虽然萨班斯法没有直接明确对IT的要求,但企业在实施符合法案要求的内控过程时,发现IT方面的工作量竟然占到了40%以上,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险,也是萨班斯法关注的重要内容,特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO为头痛的问题。
近年来,国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时,其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会,其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立,预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系,届时必将对IT风险控制提出相应的要求。
这些方面并没有涵盖所有的IT风险,反映的问题也只是冰山之一角,不同的行业在不同的时期,其IT风险有着不同的表现形式。在应对这些IT风险时,我们也曾有过各种风险控制方法和模型,但一般都是针对技术风险提出来的,偏重于某一技术领域,而且大多是采用事后反应式的控制措施。在信息化的整合见效期,这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险,传统的控制方法存在明显不足。
科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相融合,促进IT为组织持续地创造价值,以实现有效益的信息化。
二、COSO企业风险管理框架
在研究与探讨IT风险管理框架时,让我们先跳出IT,从行业监管者及企业管理者的角度来观察是如何管理企业风险,顺着这样的思路,接合我们国内IT风险控制的具体情况,我们建立一个既符合COSO要求,又能指导企业一步步实施对IT的风险控制的IT风险管理框架。
从行业监管者和企业管理层来看,对企业风险进行控制是保护企业核心竞争力的有效手段,IT风险是企业风险管理的有效组成部分。不管是什么规模的组织,都需要有一套控制指南来有效地管理企业内外各种各样的风险,并随着业务环境的变化和新技术的发展及时更新,才能保证企业健康、持续地发展,有效的风险管理己成为企业发展的主旋律。
COSO是行业监管者及企业管理者常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项,并在其风险容纳量(Risk Appetite)范围内管理风险的,为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险,对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。
COSO管理框架的主要内容:
风险管理目标
确定企业的战略
提高企业运营效率,取得好的经营效果;
保证企业报告的可靠性;
遵循相关法律法规的要求。
为达成以上目标,管理风险的主要过程有:
控制环境
任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他要素的核心。