科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制，能融合防范與應(yīng)對(duì)信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險(xiǎn)，并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值，以實(shí)現(xiàn)有效益的信息化。

    一、信息化面臨的風(fēng)險(xiǎn)

    九十年代以來，信息技術(shù)得到了快速的發(fā)展和廣泛的應(yīng)用，信息化已成為全球經(jīng)濟(jì)社會(huì)發(fā)展的顯著特征，并逐步向一場(chǎng)全方位的社會(huì)變革演進(jìn)。當(dāng)前，信息技術(shù)己深入到各行各業(yè)，甚至影響并改變著普通百姓的生活方式，信息資源也日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富。

    由于國(guó)內(nèi)經(jīng)濟(jì)的持續(xù)增長(zhǎng)為信息化提供了良好的外部環(huán)境和充足的投入資金，各行各業(yè)的信息化呈現(xiàn)出一派欣欣向榮的景象，我國(guó)信息化在推行電子政務(wù)、振興軟件產(chǎn)業(yè)、加強(qiáng)信息安全保障、加強(qiáng)信息資源開發(fā)利用、加快發(fā)展電子商務(wù)等方面取得了可喜的進(jìn)展。同時(shí)，信息化的應(yīng)用也有力地推動(dòng)了中國(guó)的經(jīng)濟(jì)持續(xù)增長(zhǎng)、產(chǎn)業(yè)的升級(jí)、競(jìng)爭(zhēng)力的提高，信息化與經(jīng)濟(jì)發(fā)展形成了良性循環(huán)。

    從二十多年的信息化實(shí)踐來看，目前我國(guó)的信息化正處在一個(gè)由初級(jí)水平的投入期，向中高級(jí)水平的見效期過渡的關(guān)鍵時(shí)期，信息化的重點(diǎn)己從注重對(duì)行業(yè)和企業(yè)的覆蓋，注重硬件產(chǎn)品的配備，逐步過渡到強(qiáng)調(diào)整合和開發(fā)利用信息資源，對(duì)客戶需求做出快速反應(yīng)，提高應(yīng)用水平和服務(wù)質(zhì)量，使組織的價(jià)值最大化。在這一階段信息化的機(jī)會(huì)與風(fēng)險(xiǎn)并存，許多以前還沒有涉及的深層次問題都會(huì)一一暴露出來，這將考驗(yàn)我們是否已經(jīng)做好必要的思想準(zhǔn)備和采取有效的應(yīng)對(duì)措施。

    IT治理風(fēng)險(xiǎn)

    中國(guó)的信息化建設(shè)仍然屬于"人治時(shí)代"，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關(guān)的制度，缺少對(duì)信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于最高管理層對(duì)信息化的理解和個(gè)人領(lǐng)導(dǎo)力大小的影響，這種不確定性增加了組織的信息化風(fēng)險(xiǎn)，這是IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)。

    組織在信息化過程中所涉及IT規(guī)劃、實(shí)施、運(yùn)行、檢查等一系統(tǒng)IT流程，缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制，造成IT系統(tǒng)與業(yè)務(wù)需求的“邏輯錯(cuò)位”，同時(shí)也造成了一個(gè)個(gè)的 信息“孤島”，這是IT治理風(fēng)險(xiǎn)的微觀體現(xiàn)。如何在組織中建立較完善的IT治理機(jī)制，使信息化的決策與實(shí)施成為組織中的一種完善的制度存在，己是擺在我們面前的迫切任務(wù)。

    IT可用性風(fēng)險(xiǎn)

    而隨著信息化的深入，組織的核心應(yīng)用系統(tǒng)都己構(gòu)架在IT平臺(tái)之上，越來越多的政府、商業(yè)、教育等機(jī)構(gòu)的業(yè)務(wù)正常運(yùn)行離不開IT系統(tǒng)。隨著IT技術(shù)的高速發(fā)展，IT平臺(tái)（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性越來越高，各種系統(tǒng)漏洞層出不窮，頻繁的停機(jī)事件令用戶窮于應(yīng)付；就算是IT技術(shù)系統(tǒng)沒有漏洞，也不等于就能提供優(yōu)質(zhì)的IT服務(wù)；另一方面，國(guó)內(nèi)許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務(wù)管理流程也是造成IT系統(tǒng)停機(jī)的原因；缺乏必要業(yè)務(wù)連續(xù)性計(jì)劃也是造成IT可用性降低的重要原因。

    IT系統(tǒng)的停機(jī)將使組織的業(yè)務(wù)受到巨大損失、造成聲譽(yù)下降、競(jìng)爭(zhēng)優(yōu)勢(shì)喪失。2006年幾起信息安全事件，如：銀聯(lián)計(jì)算機(jī)故障造成不能跨行取款，首都機(jī)場(chǎng)離港系統(tǒng)故障造成大量旅客滯留機(jī)場(chǎng)，5月份開始的A股交易量連續(xù)井噴造成多家證券公司出現(xiàn)“堵單”等事件，就生動(dòng)地告誡我們，由于脆弱的基礎(chǔ)設(shè)施和IT管理流程，使得這種不斷增強(qiáng)的對(duì)IT的依賴性就是潛在的風(fēng)險(xiǎn)。

    信息安全風(fēng)險(xiǎn)

    在信息化的整合見效期，對(duì)組織而言信息比以往具有更高的價(jià)值，而信息固有的弱點(diǎn)決定其易傳播、易毀損、易偽造?；ヂ?lián)網(wǎng)給我們帶來便利的同時(shí)，網(wǎng)上行動(dòng)的遠(yuǎn)程化以及互聯(lián)網(wǎng)“無政府狀態(tài)”，使得信息安全面臨嚴(yán)峻的挑戰(zhàn)，即使是一個(gè)中學(xué)生，通過黑客網(wǎng)站的簡(jiǎn)單培訓(xùn)，也能發(fā)起具有危害性的攻擊。目前互聯(lián)網(wǎng)上黑客網(wǎng)站已超過3萬個(gè)，一些有影響力的黑客網(wǎng)站的會(huì)員超過萬人。黑客攻擊網(wǎng)站的行動(dòng)此起彼伏，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，大量網(wǎng)銀用戶網(wǎng)上銀行存款被盜，許多敏感機(jī)密信息被泄露。

    據(jù)統(tǒng)計(jì)去年產(chǎn)生的電腦病毒和木馬的數(shù)量達(dá)到23萬個(gè)，其中90%以上帶有明顯的利益特征，有竊取個(gè)人資料、各種賬號(hào)密碼等行為，嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個(gè)人及企業(yè)用戶中毒，直接及間接經(jīng)濟(jì)損失高達(dá)億元以上。

    IT績(jī)效風(fēng)險(xiǎn)

    國(guó)內(nèi)在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大，高投入帶來了高風(fēng)險(xiǎn)。根據(jù)商務(wù)部研究院信息咨詢中心提供的數(shù)據(jù)，2005年我國(guó)在信息化改造提升方面的投入達(dá)到了2829億，2006年是3227億元，預(yù)計(jì)2007年將達(dá)到4236億元。從2005到2007年中國(guó)行業(yè)信息化投入的絕對(duì)增加額將達(dá)到 1300億以上，未來幾年行業(yè)信息化IT投入將進(jìn)入了高增長(zhǎng)期。如果IT投資行為如果不能帶來合理的回報(bào)，將使組織面臨巨大風(fēng)險(xiǎn)。這幾年國(guó)內(nèi)信息化失敗的案例比比皆是，如果規(guī)劃不當(dāng)、控制不嚴(yán)，IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值，那么，巨額的信息化投入很可能造成新一輪的“投資黑洞”

    IT績(jī)效風(fēng)險(xiǎn)另一表現(xiàn)就是對(duì)IT的投資績(jī)效和運(yùn)行績(jī)效不能進(jìn)行有效測(cè)量。不能測(cè)量意味著無法了解當(dāng)前IT系統(tǒng)的“健康狀況”，就不能有效地發(fā)現(xiàn)存在的問題，并采取有針對(duì)性的改進(jìn)措施。

    合規(guī)性風(fēng)險(xiǎn)

    由于IT在社會(huì)和經(jīng)濟(jì)生活越來越充當(dāng)重要角色，國(guó)內(nèi)外近年來出臺(tái)了許多法律法規(guī)加強(qiáng)對(duì)IT的監(jiān)管。

    例如，2002年美國(guó)國(guó)會(huì)發(fā)布了《薩班斯—奧克斯利法案》，在這個(gè)法案中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理，建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的。在美國(guó)上市的公眾公司需要投入大量的人力、物力和財(cái)力來建立內(nèi)部控制，中國(guó)在美國(guó)上市的中石化、中國(guó)人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國(guó)Financial Executive International組織對(duì)321個(gè)公司的調(diào)查顯示，在一個(gè)規(guī)模比較大、年?duì)I業(yè)收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運(yùn)轉(zhuǎn)需要每年150萬美元。

    雖然薩班斯法沒有直接明確對(duì)IT的要求，但企業(yè)在實(shí)施符合法案要求的內(nèi)控過程時(shí)，發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上，這是因?yàn)橐环矫鍵T要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段，例如，對(duì)財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性、完整性控制，以及對(duì)業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng)；另一方面IT本身的風(fēng)險(xiǎn)，例如網(wǎng)絡(luò)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)，也是薩班斯法關(guān)注的重要內(nèi)容，特別是如何使已有的IT流程和應(yīng)用系統(tǒng)中的控制符合薩班斯法的要求是CIO最為頭痛的問題。

    近年來，國(guó)內(nèi)行業(yè)主管部門一直在要求企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理。2004年9月30日中國(guó)銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》，旨在為規(guī)范和加強(qiáng)對(duì)商業(yè)銀行內(nèi)部控制評(píng)價(jià)，督促商業(yè)銀行建立內(nèi)部控制體系，健全內(nèi)部控制機(jī)制，保證商業(yè)銀行穩(wěn)健運(yùn)行，其中包括了對(duì)建立銀行計(jì)算機(jī)系統(tǒng)內(nèi)部控制的要求。2006年3月1日銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》，直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求。與此同時(shí)，其他行業(yè)監(jiān)管部門也準(zhǔn)備出臺(tái)類似的風(fēng)險(xiǎn)管理措施。中國(guó)財(cái)政部于2006年10月發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)，其目的是為推動(dòng)企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制。企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)的成立，預(yù)示著我國(guó)企業(yè)在內(nèi)部控制方面將迎來一部類似美國(guó)《薩班斯法案》的標(biāo)準(zhǔn)體系，屆時(shí)必將對(duì)IT風(fēng)險(xiǎn)控制提出相應(yīng)的要求。

    這些方面并沒有涵蓋所有的IT風(fēng)險(xiǎn)，反映的問題也只是冰山之一角，不同的行業(yè)在不同的時(shí)期，其IT風(fēng)險(xiǎn)有著不同的表現(xiàn)形式。在應(yīng)對(duì)這些IT風(fēng)險(xiǎn)時(shí)，我們也曾有過各種風(fēng)險(xiǎn)控制方法和模型，但一般都是針對(duì)技術(shù)風(fēng)險(xiǎn)提出來的，偏重于某一技術(shù)領(lǐng)域，而且大多是采用事后反應(yīng)式的控制措施。在信息化的整合見效期，這種單一的“救火模式”將使我們疲于應(yīng)付各種層出不窮的風(fēng)險(xiǎn)。特別對(duì)于像制度、流程、人員行為等方面有可能涉及組織核心價(jià)值的風(fēng)險(xiǎn)，傳統(tǒng)的控制方法存在明顯不足。

    科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制，能融合防范與應(yīng)對(duì)信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險(xiǎn)，并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值，以實(shí)現(xiàn)有效益的信息化。

    二、COSO企業(yè)風(fēng)險(xiǎn)管理框架

    在研究與探討IT風(fēng)險(xiǎn)管理框架時(shí)，讓我們先跳出IT，從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風(fēng)險(xiǎn)，順著這樣的思路，接合我們國(guó)內(nèi)IT風(fēng)險(xiǎn)控制的具體情況，我們建立一個(gè)既符合COSO要求，又能指導(dǎo)企業(yè)一步步實(shí)施對(duì)IT的風(fēng)險(xiǎn)控制的IT風(fēng)險(xiǎn)管理框架。

    從行業(yè)監(jiān)管者和企業(yè)管理層來看，對(duì)企業(yè)風(fēng)險(xiǎn)進(jìn)行控制是保護(hù)企業(yè)核心競(jìng)爭(zhēng)力的有效手段，IT風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理的有效組成部分。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險(xiǎn)，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新，才能保證企業(yè)健康、持續(xù)地發(fā)展，有效的風(fēng)險(xiǎn)管理己成為企業(yè)發(fā)展的主旋律。

    COSO是行業(yè)監(jiān)管者及企業(yè)管理者最常使用的風(fēng)險(xiǎn)管理框架。COSO企業(yè)風(fēng)險(xiǎn)管理框架于2004年4月由美國(guó)COSO委員會(huì)正式頒布。COSO委員會(huì)認(rèn)為企業(yè)風(fēng)險(xiǎn)管理是一個(gè)由企業(yè)的董事會(huì)、管理層和其他員工共同參與的，應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個(gè)層次和部門的，用于識(shí)別可能對(duì)企業(yè)造成潛在影響的事項(xiàng)，并在其風(fēng)險(xiǎn)容納量(Risk Appetite)范圍內(nèi)管理風(fēng)險(xiǎn)的，為企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理保證的過程。此框架要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待風(fēng)險(xiǎn)，對(duì)包括IT風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)進(jìn)行識(shí)別并采取措施使企業(yè)所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)容納量的范圍內(nèi)。

 

 

 

    COSO管理框架的主要內(nèi)容：

?  風(fēng)險(xiǎn)管理目標(biāo)

    確定企業(yè)的戰(zhàn)略

    提高企業(yè)運(yùn)營(yíng)效率，取得好的經(jīng)營(yíng)效果；

    保證企業(yè)報(bào)告的可靠性；
 
    遵循相關(guān)法律法規(guī)的要求。

?  為達(dá)成以上目標(biāo)，管理風(fēng)險(xiǎn)的主要過程有：

    控制環(huán)境

    任何企業(yè)的核心是企業(yè)中的人及其活動(dòng)。人的活動(dòng)在環(huán)境中進(jìn)行，人的品性包括操守、價(jià)值觀和能力等，它們是構(gòu)成環(huán)境的重要要素之一，又與環(huán)境相互影響、相互作用。環(huán)境要素是推動(dòng)企業(yè)發(fā)展的引擎，也是其他要素的核心。

    目標(biāo)制定

    在風(fēng)險(xiǎn)管理框架中，由于要針對(duì)不同的目標(biāo)分析其相應(yīng)的風(fēng)險(xiǎn)，因此目標(biāo)的制定自然就成為風(fēng)險(xiǎn)管理流程的首要步驟，并將其確認(rèn)為風(fēng)險(xiǎn)管理框架的一部分。

    事項(xiàng)識(shí)別

    企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制框架都承認(rèn)風(fēng)險(xiǎn)來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)各個(gè)層面上出現(xiàn)，并且應(yīng)根據(jù)對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險(xiǎn)。

    風(fēng)險(xiǎn)評(píng)估

    企業(yè)必須制定目標(biāo)，該目標(biāo)必須和生產(chǎn)、營(yíng)銷、財(cái)務(wù)等作業(yè)相結(jié)合。為此，企業(yè)也必須設(shè)立可辨認(rèn)、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制，以了解自己所面臨的風(fēng)險(xiǎn)，并適時(shí)加以處理。

    風(fēng)險(xiǎn)反應(yīng)

    企業(yè)風(fēng)險(xiǎn)管理框架提出對(duì)風(fēng)險(xiǎn)的四種反應(yīng)方案：規(guī)避、減少、轉(zhuǎn)移和接受風(fēng)險(xiǎn)。

    控制活動(dòng)

    企業(yè)必須制定控制政策及程序，并予以執(zhí)行，以幫助管理當(dāng)局保證其控制目標(biāo)的實(shí)現(xiàn)，其用以辨認(rèn)并用以處理風(fēng)險(xiǎn)所必須采取的行動(dòng)業(yè)已有效落實(shí)。

    信息和溝通

    圍繞在控制活動(dòng)周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過程中所需的信息，并交換這些信息。

    監(jiān)督

    整個(gè)內(nèi)部控制的過程必須施以恰當(dāng)?shù)谋O(jiān)督，通過監(jiān)督活動(dòng)在必要時(shí)對(duì)其加以修正。監(jiān)控是一個(gè)評(píng)價(jià)內(nèi)部控制運(yùn)行組織的過程。

    實(shí)施控制的地點(diǎn)

    組織的各個(gè)層面實(shí)施控制，例如，在總公司、分公司、業(yè)務(wù)單位、單位部門、實(shí)體層都需要建立相應(yīng)的控制。

    COSO風(fēng)險(xiǎn)管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國(guó)銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》也采用了COSO內(nèi)控體系的方法論，其中也涉及了IT內(nèi)控制的內(nèi)容。COSO風(fēng)險(xiǎn)管理框架給我們有以下啟發(fā)：

    要站在企業(yè)管理者的角度來看待風(fēng)險(xiǎn)，企業(yè)風(fēng)險(xiǎn)是由包括IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成。

    強(qiáng)調(diào)“人”的重要性，組織中的每一個(gè)人對(duì)風(fēng)險(xiǎn)管理都負(fù)有責(zé)任；

    強(qiáng)調(diào)“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物，如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識(shí)等，“軟控制”影響人的行為。

    強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過程”，風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的PDCA過程。

    明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。

    沒有不花錢的內(nèi)部控制，也不存在完美無缺的內(nèi)部控制。

    三、COSO框架下的IT風(fēng)險(xiǎn)管理框架

    企業(yè)在實(shí)施風(fēng)險(xiǎn)管理過程中，四個(gè)目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容，其八個(gè)過程也有相應(yīng)的IT內(nèi)容，例如：COSO的“控制環(huán)境”對(duì)應(yīng)著IT的“IT治理、法規(guī)及標(biāo)準(zhǔn)符合性”，“風(fēng)險(xiǎn)評(píng)估”對(duì)應(yīng)著“IT風(fēng)險(xiǎn)評(píng)估及影響分析”等。

    這八個(gè)方面的各項(xiàng)控制又可進(jìn)一步分三個(gè)層次的控制，一是公司層控制、二是應(yīng)用層控制，三是一般控制層或稱基礎(chǔ)層控制。

    公司級(jí)控制

    公司級(jí)控制主要與COSO中的控制環(huán)境及風(fēng)險(xiǎn)評(píng)估有關(guān)，為一般控制和應(yīng)用控制設(shè)置基調(diào)。公司級(jí)控制一般包括以下內(nèi)容：

    最高管理層設(shè)定的基調(diào)與方向

    職業(yè)道德中的正直性、價(jià)值觀、勝任能力

    IT管理哲學(xué)和業(yè)務(wù)運(yùn)行類型

    對(duì)IT管理層的授權(quán)與責(zé)任

    IT政策與程序

    IT組織中人員的責(zé)任與技能

    一般控制

    一般控制就是保證計(jì)算機(jī)信息系統(tǒng)能夠以持續(xù)、正確的方式運(yùn)行的政策與程序，包括數(shù)據(jù)中心運(yùn)營(yíng)、系統(tǒng)軟件獲取與維護(hù)、訪問安全、應(yīng)用系統(tǒng)開發(fā)和維護(hù)等內(nèi)容。一般控制能對(duì)通過編程實(shí)現(xiàn)的應(yīng)用系統(tǒng)控制機(jī)能提供支持，一般控制有時(shí)也稱為一般計(jì)算機(jī)控制和信息技術(shù)控制。一般控制過程主要包括：

    安全管理

    應(yīng)用系統(tǒng)變更控制

    數(shù)據(jù)管理

    災(zāi)難恢復(fù)

    數(shù)據(jù)中心運(yùn)營(yíng)

    問題管理

    資產(chǎn)管理

?  應(yīng)用控制

    應(yīng)用控制是為保證業(yè)務(wù)過程的正常運(yùn)行，而設(shè)計(jì)在應(yīng)用系統(tǒng)中控制措施，以防止和檢測(cè)錯(cuò)誤的和非授權(quán)的交易，保證交易處理的完整性、準(zhǔn)確性、合法性及適當(dāng)授權(quán)。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制：

    進(jìn)行計(jì)算時(shí)；

    實(shí)施數(shù)據(jù)合法性驗(yàn)證和編輯檢查時(shí)；

    與其他系統(tǒng)有數(shù)據(jù)接口時(shí)；

    管理層需要依靠應(yīng)用系統(tǒng)進(jìn)行完整、準(zhǔn)確的排序、匯總和報(bào)告關(guān)鍵信息時(shí)；

    限制對(duì)交易和數(shù)據(jù)訪問時(shí)。

    IT風(fēng)險(xiǎn)管理的過程也類似于企業(yè)風(fēng)險(xiǎn)的過程，主要有以下風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)監(jiān)督、風(fēng)險(xiǎn)報(bào)告及改進(jìn)的過程：

 

 

    以上三個(gè)層次的IT風(fēng)險(xiǎn)管理，在組織中可以分階段地通過一個(gè)個(gè)的IT風(fēng)險(xiǎn)控制項(xiàng)目，例如COBIT、ISMS、ITSM、BCP、CMMI等進(jìn)行實(shí)施，也可以選擇其中的某些過程進(jìn)行整合后實(shí)施。

 

 

    對(duì)于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險(xiǎn)，還需要通過第三方對(duì)組織內(nèi)部措施的有效性進(jìn)行獨(dú)立審計(jì)，出具審計(jì)報(bào)告，以證明內(nèi)部控制措施完備性。

    以上過程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險(xiǎn)控制框架時(shí)的主要方法，這種方法的主要優(yōu)點(diǎn)是把IT風(fēng)險(xiǎn)放在企業(yè)風(fēng)險(xiǎn)的高度進(jìn)行管理，容易得到管理層的理解與支持，涉及的風(fēng)險(xiǎn)較全面，控制與改進(jìn)的方法較完備。缺點(diǎn)是控制的粒度還較粗，還不能適當(dāng)對(duì)IT進(jìn)行精細(xì)控制的要求。

    四、適用的IT風(fēng)險(xiǎn)管理框架

    我們結(jié)合以上內(nèi)容，進(jìn)行合理擴(kuò)充并增加控制的粒度，提出了一套適應(yīng)我國(guó)IT風(fēng)險(xiǎn)實(shí)際情況的控制框架。

    建立信息化的“游戲規(guī)則”

    建造一個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)正常地運(yùn)轉(zhuǎn)起來并能實(shí)現(xiàn)業(yè)務(wù)價(jià)值，則是現(xiàn)實(shí)的難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險(xiǎn)，但并不十分保險(xiǎn)，只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，使IT在“他律”（IT治理）的基礎(chǔ)上進(jìn)行“自律”（IT管理），才能使得IT風(fēng)險(xiǎn)在一定的框架內(nèi)上下左右浮動(dòng)，不超過企業(yè)計(jì)劃中的風(fēng)險(xiǎn)范圍。

    這個(gè)框架就是IT風(fēng)險(xiǎn)管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國(guó)內(nèi)信息化成功率低的根源，我們應(yīng)當(dāng)把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。

    IT風(fēng)險(xiǎn)管理框架的目標(biāo)

    完善IT風(fēng)險(xiǎn)控制體系，降低IT成本，實(shí)現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價(jià)值，有效率并有效果地進(jìn)行信息化。

    IT風(fēng)險(xiǎn)管理框架的原則

    建立IT治理機(jī)制，使IT治理成為公司治理的一部分，在組織的最高決策層上對(duì)信息化的進(jìn)行監(jiān)管與制衡；

    對(duì)IT進(jìn)行規(guī)劃，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致，信息化一定要為業(yè)務(wù)所想、為業(yè)務(wù)所用，IT與業(yè)務(wù)的分離是信息化面臨的最大風(fēng)險(xiǎn)。在總體規(guī)劃指導(dǎo)下進(jìn)行應(yīng)用、數(shù)據(jù)和技術(shù)方面的架構(gòu)設(shè)計(jì)，以獲得標(biāo)準(zhǔn)化的技術(shù)規(guī)范與指南。

    在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下，實(shí)現(xiàn)協(xié)同工作、無縫地進(jìn)行數(shù)據(jù)交換。

    采用國(guó)際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)（例如：COBIT、ITIL、ISO27001）及行業(yè)最佳實(shí)踐，為信息化管理提供規(guī)范和標(biāo)準(zhǔn)；

    識(shí)別組織中的重要IT過程，確定其目標(biāo)、功能與職責(zé)。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務(wù)過程，推行過程管理的思想；

    持續(xù)地評(píng)估IT績(jī)效，可以從整體信息化績(jī)效、IT項(xiàng)目績(jī)效及IT人員績(jī)效等多個(gè)方面進(jìn)行評(píng)估，以了解當(dāng)前IT狀況，為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù)；

    通過PDCD的過程，即計(jì)劃、實(shí)施、調(diào)整、改進(jìn)的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進(jìn)行信息系統(tǒng)審計(jì)，以發(fā)現(xiàn)存在的偏離，及時(shí)調(diào)整到信息化的最終目標(biāo)上來。

    IT風(fēng)險(xiǎn)管理框架的內(nèi)容

    根據(jù)IT風(fēng)險(xiǎn)管理的目標(biāo)和原則，我們給出IT風(fēng)險(xiǎn)管理框架的一種具體實(shí)現(xiàn)，其步驟如圖所示：

 

    IT風(fēng)險(xiǎn)管理框架各環(huán)節(jié)描述如下：

    完善IT治理結(jié)構(gòu)

    從宏觀上來說，IT治理要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，也就是要確定IT原則、IT架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用設(shè)施和投資優(yōu)先順序的決策權(quán)歸屬和職責(zé)分工。通過建立IT委員會(huì)的方式來建立良好的治理結(jié)構(gòu)，通過對(duì)權(quán)力的監(jiān)督與平衡，就可把IT戰(zhàn)略風(fēng)險(xiǎn)與管理風(fēng)險(xiǎn)控制在一定范圍內(nèi)，那么無論由誰來領(lǐng)導(dǎo)，IT的建設(shè)就不會(huì)大起大落。

    從微觀上來說，為保護(hù)IT與業(yè)務(wù)目標(biāo)一致，有限利用IT資源，提高績(jī)效，降低風(fēng)險(xiǎn)與控制成本，需按照國(guó)際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)COBIT，在IT的計(jì)劃與組織、獲得與實(shí)施、交付與支持、監(jiān)控四個(gè)領(lǐng)域建立IT控制過程，有效地控制IT建設(shè)的整個(gè)生命周期的風(fēng)險(xiǎn)。

    業(yè)務(wù)需求識(shí)別

    當(dāng)前企業(yè)競(jìng)爭(zhēng)激烈、內(nèi)部變革頻繁，要實(shí)現(xiàn)IT與業(yè)務(wù)的融合，就需要建立一套具備一定適應(yīng)能力，能夠識(shí)別不斷變化的業(yè)務(wù)需求，并能夠快速有效地作為響應(yīng)的機(jī)制。業(yè)務(wù)需求是促進(jìn)IT發(fā)展的源動(dòng)力，準(zhǔn)確、及時(shí)地捕捉組織的業(yè)務(wù)需求，并使之成為信息化建設(shè)與調(diào)整的依據(jù)，這是降低IT風(fēng)險(xiǎn)的可靠保證。

    對(duì)業(yè)務(wù)需求的識(shí)別，需要IT人員了解企業(yè)的業(yè)務(wù)流程，并站在業(yè)務(wù)管理者的角度思考企業(yè)發(fā)展的重大問題，這對(duì)IT人員的提出了新的挑戰(zhàn)。

    業(yè)務(wù)建模

    信息化項(xiàng)目無論是網(wǎng)絡(luò)建設(shè)、安全建設(shè)，還是應(yīng)用開發(fā)，都需要了解組織特征，確定業(yè)務(wù)流程，應(yīng)當(dāng)在信息化之前就為組織建立可靠的業(yè)務(wù)模型。業(yè)務(wù)建模可以創(chuàng)建一個(gè)復(fù)雜業(yè)務(wù)的抽象描述，使其成為同業(yè)務(wù)中各項(xiàng)目相關(guān)人員(如擁有者、管理者、雇員和客戶)交流的基礎(chǔ)。一旦能更好地理解業(yè)務(wù)功能，我們就能較容易地完善業(yè)務(wù)流程，較容易地發(fā)現(xiàn)、識(shí)別新的業(yè)務(wù)機(jī)會(huì)(即業(yè)務(wù)的完善或革新)，并為網(wǎng)絡(luò)建設(shè)、安全建設(shè)及應(yīng)用開發(fā)提供準(zhǔn)確的需求定義。
    數(shù)據(jù)標(biāo)準(zhǔn)化

    “信息孤島現(xiàn)象”是信息化的另一個(gè)較大風(fēng)險(xiǎn)，現(xiàn)在許多行業(yè)都在進(jìn)行數(shù)據(jù)大集中，但遇到很多問題，進(jìn)展緩慢，這都與沒有做好前期數(shù)據(jù)規(guī)劃、實(shí)施數(shù)據(jù)標(biāo)準(zhǔn)化有關(guān)。IT系統(tǒng)的建設(shè)首先要以數(shù)據(jù)為中心，數(shù)據(jù)是穩(wěn)定的，處理是多變的。數(shù)據(jù)標(biāo)準(zhǔn)化可以根本上解決數(shù)據(jù)質(zhì)量控制問題，減少數(shù)據(jù)處理系統(tǒng)中數(shù)據(jù)元素總數(shù)，提供便捷而準(zhǔn)確的信息，用戶方便快速地檢索到所需信息。數(shù)據(jù)標(biāo)準(zhǔn)化為提高信息的互操作性、減少信息孤島、降低信息化的風(fēng)險(xiǎn)奠定了基礎(chǔ)。

    IT規(guī)劃與架構(gòu)設(shè)計(jì)

    IT系統(tǒng)規(guī)劃是以組織的目標(biāo)、戰(zhàn)略、目的、過程以及信息需求為基礎(chǔ)，識(shí)別并選擇建立哪種IT系統(tǒng)以及什么時(shí)間建立的過程。通過IT規(guī)劃，明確IT的投資方向，實(shí)現(xiàn)可控的IT投資成本，在有效地管理信息化有關(guān)風(fēng)險(xiǎn)的基礎(chǔ)上，獲得可持續(xù)改進(jìn)和提升的IT能力。有效的IT規(guī)劃可以將組織戰(zhàn)略目標(biāo)轉(zhuǎn)化為IT系統(tǒng)的戰(zhàn)略目標(biāo)的過程，是現(xiàn)代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分，是企業(yè)商業(yè)模式創(chuàng)新的最好機(jī)會(huì)，是企業(yè)管理系統(tǒng)變革的準(zhǔn)備和前奏。

    在總體規(guī)劃的指導(dǎo)下，需要進(jìn)行企業(yè)的整體IT框架設(shè)計(jì)，IT架構(gòu)由應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)構(gòu)成，架構(gòu)為IT標(biāo)準(zhǔn)化提供了依據(jù)和框架，有力地指導(dǎo)IT標(biāo)準(zhǔn)化的工作。IT標(biāo)準(zhǔn)化是架構(gòu)應(yīng)用的手段，是架構(gòu)“落地”的工具，同時(shí)，在標(biāo)準(zhǔn)化過程中整個(gè)架構(gòu)逐步完善。

    IT業(yè)務(wù)流程優(yōu)化

    按照國(guó)際通行的IT控制框架，建立并優(yōu)化從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面的多個(gè)信息技術(shù)處理過程。從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性。

    建立信息安全管理體系

    建立信息安全管理體系是建立信息安全防線的起點(diǎn)，ISO27001是一個(gè)可以指導(dǎo)組織安全實(shí)踐的信息安全管理標(biāo)準(zhǔn)，它從管理、技術(shù)、人員、過程的角度來定義、建立、實(shí)施信息安全管理體系，保障組織的信息安全“滴水不漏”，確保組織業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，維護(hù)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。

    IT服務(wù)管理

    IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力及其水平。建立有效的IT服務(wù)管理體系有助于為組織提高IT服務(wù)的有效性與經(jīng)濟(jì)性，可以消除 “信息技術(shù)人員充當(dāng)救火隊(duì)員”的局面。通過對(duì)業(yè)務(wù)支撐系統(tǒng)實(shí)施IT服務(wù)管理，對(duì)組織的各種資源進(jìn)行優(yōu)化，形成全面、統(tǒng)一、集中的管理構(gòu)架及服務(wù)管理流程，確保信息系統(tǒng)企業(yè)發(fā)展提供可靠、經(jīng)驗(yàn)、高效的信息服務(wù)

    IT項(xiàng)目管理與監(jiān)理

    IT項(xiàng)目管理就是以項(xiàng)目為對(duì)象的系統(tǒng)管理方法，通過一個(gè)臨時(shí)性的、專門的柔性組織，運(yùn)用相關(guān)的知識(shí)、技術(shù)和手段，對(duì)項(xiàng)目進(jìn)行高效率的計(jì)劃、組織、指導(dǎo)和控制，以實(shí)現(xiàn)項(xiàng)目全過程的動(dòng)態(tài)管理和項(xiàng)目目標(biāo)的綜合協(xié)調(diào)與優(yōu)化。在IT項(xiàng)目管理中，可結(jié)合PMBOK和 PRINCE2的方法，使PMBOK定位于項(xiàng)目管理知識(shí)架構(gòu)，PRINCE2定位于項(xiàng)目管理實(shí)施指南。

    IT項(xiàng)目監(jiān)理的中心任務(wù)是要規(guī)劃和控制工程項(xiàng)目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃、動(dòng)態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收的全過程。信息工程監(jiān)理正是通過投資控制、進(jìn)度控制、質(zhì)量控制以及合同管理和信息管理來對(duì)工程項(xiàng)目進(jìn)行監(jiān)督和管理，保證工程的順利進(jìn)行和工程質(zhì)量。具體的監(jiān)理辦法可參照信息產(chǎn)業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》。

    IT應(yīng)急計(jì)劃

    組織應(yīng)當(dāng)制定和執(zhí)行應(yīng)急計(jì)劃，通過預(yù)防性和恢復(fù)性措施的結(jié)合，把災(zāi)難或者安全事故（例如可能由于自然災(zāi)害、突發(fā)事件、設(shè)備故障和故意的行為）所導(dǎo)致的破壞減少到一個(gè)可以接受的水平。IT應(yīng)急計(jì)劃呈現(xiàn)了在緊急事件發(fā)生后為了維持和恢復(fù)關(guān)鍵的IT服務(wù)所進(jìn)行的范圍廣泛的活動(dòng)。IT應(yīng)急計(jì)劃適合于廣泛的緊急事件準(zhǔn)備環(huán)境，包括組織和業(yè)務(wù)處理連續(xù)性及恢復(fù)計(jì)劃。為了對(duì)影響組織IT系統(tǒng)、業(yè)務(wù)處理和設(shè)施的外部威脅作出反應(yīng)，并恢復(fù)和保持連續(xù)性的活動(dòng)，組織通常會(huì)應(yīng)用一系列計(jì)劃進(jìn)行準(zhǔn)備工作。

    IT資源協(xié)同

    IT資源協(xié)同可以通過架構(gòu)設(shè)計(jì)、技術(shù)產(chǎn)品、管理協(xié)調(diào)、業(yè)務(wù)外包及建立共享服務(wù)中心等多種方式實(shí)現(xiàn)。其目的是實(shí)現(xiàn)信息共享、業(yè)務(wù)整合和資源優(yōu)化，以破解“信息孤島”、“應(yīng)用孤島”和“資源孤島”三大難題。

    IT資源協(xié)同首先是對(duì)信息的高度共享。信息共享是為了最大限度的發(fā)揮其本身的價(jià)值，無論是企業(yè)管理者、員工、還是外部的合作伙伴，都可以很方便的查找到相關(guān)的信息以支持事務(wù)的處理，并利用信息創(chuàng)造新的價(jià)值。

    其次是對(duì)各個(gè)業(yè)務(wù)的整合。這些業(yè)務(wù)盡管更多的時(shí)候從屬于企業(yè)的不同人員、不同部門，但本質(zhì)上來說它們都是緊密關(guān)聯(lián)的，并形成企業(yè)特有的業(yè)務(wù)體系，企業(yè)需要對(duì)各個(gè)業(yè)務(wù)進(jìn)行充分的整合以使業(yè)務(wù)能夠協(xié)調(diào)和平滑運(yùn)作，任何業(yè)務(wù)鏈的“斷折”或業(yè)務(wù)的“死角”都會(huì)對(duì)企業(yè)的運(yùn)營(yíng)產(chǎn)生影響。

    第三是對(duì)各種資源的調(diào)配和優(yōu)化。這些資源包括企業(yè)的人、財(cái)、物、信息和流程，當(dāng)企業(yè)實(shí)現(xiàn)了信息共享和業(yè)務(wù)整合后，企業(yè)的“神經(jīng)網(wǎng)絡(luò)體系”才能夠高效和通暢的運(yùn)轉(zhuǎn)，并使這些資源能夠突破各種壁壘和障礙，在企業(yè)統(tǒng)一管理和協(xié)調(diào)下為共同的目標(biāo)實(shí)現(xiàn)而服務(wù)。

    IT績(jī)效測(cè)量

    對(duì)IT進(jìn)行績(jī)效測(cè)量無論是在國(guó)內(nèi)還是國(guó)外都是一個(gè)難點(diǎn)。對(duì)IT進(jìn)行績(jī)效測(cè)量首先應(yīng)當(dāng)進(jìn)行IT投資效益分析，使投資的成本和收益都明細(xì)化和具體化，以輔助進(jìn)行IT投資決策和IT投資風(fēng)險(xiǎn)控制。

    其次，是對(duì)IT進(jìn)行財(cái)務(wù)管理。IT財(cái)務(wù)管理包括IT預(yù)算、IT會(huì)計(jì)及IT計(jì)費(fèi)。IT預(yù)算為IT的運(yùn)營(yíng)提供預(yù)算計(jì)劃，從而為維持和改善服務(wù)預(yù)測(cè)未來的花費(fèi)。IT會(huì)計(jì)核算保證了花費(fèi)在批準(zhǔn)的計(jì)劃范圍之內(nèi)，并且使資金得到很好的利用。IT計(jì)費(fèi)使我們對(duì)向一個(gè)特定業(yè)務(wù)單元提供服務(wù)的成本有一個(gè)更好的了解，并且使業(yè)務(wù)部門對(duì)自己的服務(wù)消費(fèi)更加負(fù)有責(zé)任。

    第三是進(jìn)行IT績(jī)效分析。持續(xù)地評(píng)估IT績(jī)效，可以從整體信息化績(jī)效、IT項(xiàng)目績(jī)效及IT人員績(jī)效等多個(gè)方面進(jìn)行評(píng)估，以了解當(dāng)前IT狀況，使IT和業(yè)務(wù)部門都知道IT對(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的貢獻(xiàn)是怎樣的，幫助IT組織將工作與關(guān)鍵業(yè)務(wù)目標(biāo)結(jié)合在一起，并通過客觀評(píng)價(jià)報(bào)告和改進(jìn)績(jī)效，幫助組織獲得業(yè)務(wù)部門領(lǐng)導(dǎo)的信任，為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù)。

    信息系統(tǒng)審計(jì)

    信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中，成為審計(jì)全過程的一部分。信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式，它是從獨(dú)立的、第三方的的角度來審視信息化過程中的各種風(fēng)險(xiǎn)，合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與可靠性，政策遵循的一貫性，并可對(duì)IT的績(jī)效進(jìn)行審計(jì)，以發(fā)現(xiàn)偏離，促進(jìn)及進(jìn)進(jìn)行調(diào)整。

    五、IT風(fēng)險(xiǎn)控制框架的實(shí)施步驟

    建立IT風(fēng)險(xiǎn)管理框架是組織控制IT風(fēng)險(xiǎn)、確保組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的有效方式，以上所介紹IT風(fēng)險(xiǎn)控制框架是通過多年的研究及實(shí)踐總結(jié)出來的通用方法論，不同的組織在建立控制框架的過程中，還要根據(jù)自身的實(shí)際情況應(yīng)地制宜，靈活應(yīng)用。

    一般來說，組織在建立與完善IT風(fēng)險(xiǎn)管理框架時(shí)，可以分以下幾個(gè)階段實(shí)現(xiàn)：

 

    第一階段：IT資源普查、建立初步控制

    目標(biāo)

    總體治理框架的指導(dǎo)下，初步建立IT風(fēng)險(xiǎn)控制體系，為業(yè)務(wù)系統(tǒng)運(yùn)行提供較可靠的保障。

    主要措施：

    業(yè)務(wù)流程調(diào)查，識(shí)別主要業(yè)務(wù)流程，并進(jìn)行初步建模；

    為企業(yè)的業(yè)務(wù)活動(dòng)建立標(biāo)準(zhǔn)的數(shù)據(jù)體系，并具有快速識(shí)別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力；

    進(jìn)行IT架構(gòu)設(shè)計(jì)，形成應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)方面的規(guī)范與指南；

    梳理IT流程、劃分安全域及識(shí)別信息資產(chǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估；

    按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系；

    建立信息系統(tǒng)審計(jì)制度，從獨(dú)立、客觀的角度保證系統(tǒng)安全；

    建立內(nèi)部員工培訓(xùn)制度，實(shí)施全員培訓(xùn)。

    第二階段：資源協(xié)同、全面控制

    目標(biāo)：

    實(shí)現(xiàn)有效的資源協(xié)同，為業(yè)務(wù)活動(dòng)提供可靠的支撐，深化IT風(fēng)險(xiǎn)控制，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。

    主要措施：

    建立統(tǒng)一的應(yīng)用系統(tǒng)平臺(tái)，實(shí)現(xiàn)IT資源協(xié)同，為己有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺(tái)；

    建立統(tǒng)一安全保障平臺(tái)，實(shí)現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成；

    建立IT服務(wù)管理機(jī)制，提高客戶對(duì)IT服務(wù)的滿意度；

    深化信息安全管理、信息系統(tǒng)審計(jì)，建立較為完善的IT治理環(huán)境；

    對(duì)IT組織、人員、流程、項(xiàng)目建立較為科學(xué)的績(jī)效考核制度。

    第三階段：業(yè)務(wù)創(chuàng)新、完善控制

    目標(biāo)：

    IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合，IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競(jìng)爭(zhēng)機(jī)遇。

    主要措施：

    IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤(rùn)增長(zhǎng)點(diǎn)；

    為整個(gè)組織提供高質(zhì)量的IT服務(wù)，建立全組織的IT共享服務(wù)中心；

    IT成為利潤(rùn)中心，對(duì)IT進(jìn)行財(cái)務(wù)核算和全面的績(jī)效評(píng)估；

    IT控制進(jìn)一步完善，IT風(fēng)險(xiǎn)控制與企業(yè)風(fēng)險(xiǎn)控制高度融合，形成良好的信息安全企業(yè)文化，IT成為提升組織核心競(jìng)爭(zhēng)力的“發(fā)動(dòng)機(jī)”。