IT风险管理研究框架

IT风险管理框架风险管理研究框架本文编者：北京谷安天下科技有限公司网址：地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033IT风险管理框架风险管理管理框架作者：陈伟谷安天下技术总监一、信息化面临的风险九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息技术己深入到各行各业，甚至影响并改变着普通百姓的生活方式，信息资源也日益成为重要生产要素、无形资产和社会财富。由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金，各行各业的信息化呈现出一派欣欣向荣的景象，我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时，信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高，信息化与经济发展形成了良性循环。从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业和企业的覆盖，注重硬件产品的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化。在这一阶段信息化的机会与风险并存，许多以前还没有涉及的深层次问题都会一一暴露出来，这将考验我们是否已经做好必要的思想准备和采取有效的应对措施。IT治理风险中国的信息化建设仍然属于人治时代，信息化的随意性较大，企业还没有就信息化形成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息IT风险管理框架化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响，这种不确定性增加了组织的信息化风险，这是IT治理风险的宏观体现。组织在信息化过程中所涉及IT规划、实施、运行、检查等一系统IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”，同时也造成了一个个的信息“孤岛”，这是IT治理风险的微观体现。如何在组织中建立较完善的IT治理机制，使信息化的决策与实施成为组织中的一种完善的制度存在，己是摆在我们面前的迫切任务。IT可用性风险而随着信息化的深入，组织的核心应用系统都己构架在IT平台之上，越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。随着IT技术的高速发展，IT平台（如硬件、网络、系统）的复杂性越来越高，各种系统漏洞层出不穷，频繁的停机事件令用户穷于应付；就算是IT技术系统没有漏洞，也不等于就能提供优质的IT服务；另一方面，国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的原因；缺乏必要业务连续性计划也是造成IT可用性降低的重要原因。IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006年几起信息安全事件，如：银联计算机故障造成不能跨行取款，首都机场离港系统故障造成大量旅客滞留机场，5月份开始的A股交易量连续井喷造成多家证券公司出现“堵单”等事件，就生动地告诫我们，由于脆弱的基础设施和IT管理流程，使得这种不断增强的对IT的依赖性就是潜在的风险。信息安全风险在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上行动的远程化以及互联网“无政府状态”，使得信息安全面临严峻的挑战，即使是一个中学生，通过黑客网站的简单培训，也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个，一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏，造成许多商业网站、政府网站被入侵，大量网银用户网上银行存款被盗，许多敏感机密信息被泄露。IT风险管理框架万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。IT绩效风险国内在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据，2005年我国在信息化改造提升方面的投入达到了2829亿，2006年是3227亿元，预计2007年将达到4236亿元。从2005到2007年中国行业信息化投入的绝对增加额将达到1300亿以上，未来几年行业信息化IT投入将进入了高增长期。IT投资行为如果不能带来合理的回报，将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是，如果规划不当、控制不严，IT系统不能带来预期的业务价值，那么，巨额的信息化投入很可能造成新一轮的“投资黑洞”。IT绩效风险另一表现就是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”，就不能有效地发现存在的问题，并采取有针对性的改进措施。合规性风险由于IT在社会和经济生活充当越来越重要角色，国内外近年来出台了许多法律法规加强对IT的监管。例如，2002年美国国会发布了《萨班斯—奥克斯利法案》，在这个法案中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架，以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制，中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国FinancialExecutiveInternational组织对321个公司的调查显示，在一个规模比较大、年营业收入超过50亿美元的公司，建立此体系至少需要470万美元，维系其运转需要每年150万美元。IT风险管理框架的要求，但企业在实施符合法案要求的内控过程时，发现IT方面的工作量竟然占到了40%以上，这是因为一方面IT要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密性、完整性控制，以及对业务交易信息的监督与数据采集都离不开IT系统；另一方面IT本身的风险，例如网络风险、系统风险、应用风险，也是萨班斯法关注的重要内容，特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。近年来，国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》，旨在为规范和加强对商业银行内部控制评价，督促商业银行建立内部控制体系，健全内部控制机制，保证商业银行稳健运行，其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》，直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时，其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立，预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系，届时必将对IT风险控制提出相应的要求。这些方面并没有涵盖所有的IT风险，反映的问题也只是冰山之一角，不同的行业在不同的时期，其IT风险有着不同的表现形式。在应对这些IT风险时，我们也曾有过各种风险控制方法和模型，但一般都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式的控制措施。在信息化的整合见效期，这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险，传统的控制方法存在明显不足。科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制，能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险，并能有效地指导组织控制IT风险，使IT战略与企业战略相融合，促进IT为组织持续地创造价值，以实现有效益的信息化。二、COSO企业风险管理框架IT风险管理框架风险管理框架时，让我们先跳出IT，从行业监管者及企业管理者的角度来观察是如何管理企业风险，顺着这样的思路，接合我们国内IT风险控制的具体情况，我们建立一个既符合COSO要求，又能指导企业一步步实施对IT的风险控制的IT风险管理框架。从行业监管者和企业管理层来看，对企业风险进行控制是保护企业核心竞争力的有效手段，IT风险是企业风险管理的有效组成部分。不管是什么规模的组织，都需要有一套控制指南来有效地管理企业内外各种各样的风险，并随着业务环境的变化和新技术的发展及时更新，才能保证企业健康、持续地发展，有效的风险管理己成为企业发展的主旋律。COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险容纳量(RiskAppetite)范围内管理风险的，为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险，对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。COSO管理框架的主要内容：λ风险管理目标IT风险管理框架确定企业的战略提高企业运营效率，取得好的经营效果保证企业报告的可靠性遵循相关法律法规的要求λ为达成以上目标，管理风险的主要过程有：控制环境任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他要素的核心。目标制定在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。事项识别企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。风险评估企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。风险反应企业风险管理框架提出对风险的四种反应方案：规避、减少、转移和接受风险。控制活动企业必须制定控制政策及程序，并予以执行，以帮助管理当局保证其控制目标的实现，用以辨认并用以处理风险所必须采取的行动也已有效落实。IT风险管理框架信息和沟通围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。监督整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。实施控制的地点组织的各个层面实施控制，例如，在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论，其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发：