IT风险控制与一般风险控制的关系与比较
内控经纬 |INTERNAL CONTROL PROBE
IT风险控制与一般风险控制的关系与比较
◎ 文/周常兰 程菲
一、引言
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,而企业信息化的规划、实施、运行维护等各阶
段都存在着各种风险,是风险控制的对象,同时,信息技术也成为企业控制风险的一种手段,此外,随着网络技术和通讯技术的发展,信息技术正在改变一些企业的商业模式,从而带来新的利润增长源,因此,信息技术相关风险不仅仅包括以往大家所认识的操作层面的风险,它已经成为企业的一项战略风险,IT投资风险与价值管理已被纳入IT全面风险控制的范畴,信息化的相关风险正成为理论界和实务界研究及关注的对象,IT风险控制也逐渐成为企业
全面风险控制的重要组成部分。在企业一般风险控制领域,已经产生了相当多的优秀理论成果,这些成果可以应用到IT风险控制领域,但不能直接照搬,要考虑信息化的特点和IT领域的理论成果,弄清楚IT风险控制与一般风险控制的区别与联系,进而对企业的信息化风险控制实践提供有益的指导。
二、企业一般风险控制相关理论是IT风险控制的理论基础
1.从历史发展历程来看
笔者从企业风险管理的历史发展路径与IT风险管理的历史发展路径这一个角度,来分析IT风险控制与一般风险之间的理论渊源及关系。
风险管理最初产生并应用于金融领域,由于风险管理理论的广泛适用性,现在
已广泛应用于各国社会与经年12月,ISACA发布IT风险管济发展的诸多领域,其中包理框架,它是国际上第一个括了企业。对于企业而言,全面的IT 风险管理框架,风险管理理论的提出与应
建立了一个风险识别、治用还是源于内部控制发展理及管理风险的框架,为企的需要。21世纪的企业环境业管理IT风险提供了程序对内部控制提出了新要求,不仅和方法,它与COSO的《企业风要求把风险控制作为一个控制目标,险管理—整合框架》是同层次的。还要把风险本身作为一个特定的要素进2.从风险管理角度的标准比较来看行管理。
下面从风险管理角度的标准比较这一
20世纪40年代诞生了第一台计算机,角度来分析IT风险控制与一般风险控制的随后信息技术逐步得到快速发展,早在理论渊源与关系。
计算机进入实用阶段时,美国就开始提对于企业风险管理,不同国家的不同组出系统审计(Sys t e m Aud i t),1969年在织有不同的定义,比如,COSO的定义为:“企洛杉矶成立了电子数据处理审计师协会
业风险管理是一个过程,它由一个主体的,1984年美国EDPAA协会发布一董事会、管理层和其他人员实施,应用于战套EDP控制标准—
《EDP控制目的》,该略制定并贯穿于企业之中,旨在识别可能会标准源于早期的内部控制(上个世纪年代)。
影响主体的潜在事项,管理风险以使其在1994年该协会更名为信息系统审计该主体的风险容量之内,并为主体目标的实与控制协会(ISACA),1996年,I SACA协
现提供合理保证。” COSO于2004年发布
会发布了COBIT(Control Ob jec t i ve s 的《企业风险管理—整合框架》拓展了内f o r I n f o r m a t i o n a n d r e l a t e d 部控制,更有力、更广泛地关注于企业风险Technology)标准, COBIT作为一项IT安管理这一更加宽泛的领域。并且,它将内部全与控制的实践标准,是由ISACA及其所属
控制框架纳入其中,从而构建了一个更强的IT治理研究所(ITGI)共同开发、公布的业有力的概念和管理工具。公司不仅可以借界标准,目前已经更新至第4.1版和第5版,但助这个企业风险管理框架来满足它们内部COBIT5旨在提供一个通用的高层次的原则控制的需要,还可以借此转向一个更加全导向,它只是用来作为一个通用的框架,不提面的风险管理过程。COSO在其企业风险供最详细的实践指南,ISACA的COBIT源管理框架里说明了风险管理的八个相互关于COSO的《内部控制—整合框架》
。联的构成要素即内部环境、目标设定、事项进入21世纪,随着《内部控制—整合识别、风险评估、风险应对、控制活动、信息框架》升级为《企业风险管理—整合框与沟通、监控。
架》,COBIT也需要随之扩展并补充。2009
除了COSO以外,澳大利亚-新西兰风
69
(EDPAA)
内控经纬 |INTERNAL CONTROL PROBE
表1:IT 风险管理框架与一般企业风险管理标准的比较
资料来源:ISACA ,Risk IT Framework,USA ,2009. 12.
险管理标准AS/NZS4360是世界上第一督和复核这五个步骤。 个国家风险管理标准,是澳大利亚和新西在IT风险管理需求日益膨胀的情况下,兰的联合标准。它于1995年首次发布。当时需要把IT风险作为特定的要素来管理,IT 制定此标准的目的是为了制定一个统一的风险管理框架是把IT相关风险本身作为一标准,以期对若干澳大利亚和新西兰上市个特定的要素进行管理的一个持续性过或私有企业在风险管理应用问题上有所帮程模型。企业必须面对各种风险(包括IT相助。此标准参考了1993的《澳洲新南威尔士关风险),管理层要管理IT相关风险,并在一洲风险管理指南》,AS/NZS 4360分别于定范围内处理和控制它们。所以,企业需要
1999年2004年进行修订。到目前为止,AS/去识别可能对企业有影响的潜在的事项,NZS 4360标准已经被澳大利亚政府和世让管理层在企业可能承受的风险范围内,界上许多上市公司采用。ISO 31000基本上对IT相关风险进行管理,保证企业实现经是由AS/NZS 4360:2004延伸而来。
营目标。ISACA发布的《IT风险管理框架》2002年,英国风险管理协会(IRM)、保险提供了对IT相关风险进行风险管理的原和风险管理师协会(AIRMIC)以及公共部门
则、程序与方法,这些原则、程序与方法参考
风险管理协会(ALARM)颁布的ARMS(A 了COSO的《企业风险管理—整体框架》Risk Management Standard,风险管理及其他一般企业风险管理框架与规范如准则),该准则指出,风险管理是任何组织战前述的AS/NZS4360与ARMS,包括了企略管理的中心,是组织以一定方式处理其活业风险管理的原则,以及事项识别、风险评动相关的风险,以便从每项活动及所有活动估以及风险的应对措施。通过这些原则和的组合当中获取持续性利益的过程。良好风程序方法,将企业的IT相关风险控制在可险管理的核心是识别并处理风险,其目标是以管理的范围之内。所以,可以认为,《IT风险使组织所有活动的可持续价值最大化。该准管理框架》的优点在于提供的程序方法能则将风险管理过程划分为确定组织战略目够帮助企业更好地识别和控制风险。
标、风险评估、风险报告与交流、风险处理、监
ISACA在《IT风险管理框架》的附录
70
部分,比较了《IT风险管理框架》与国际上其他主要风险管理框架或规范的原则及特征的覆盖程度。《IT风险管理框架》与其他风险管理框架或规范在六大风险管理原则及四个特征方面的比较如下表所示:(表中的完全、部分、无分别表示完全包括、部分包括、不包括)。
三、IT风险控制与一般风险控制的不同点
1.IT价值管理构成了IT风险控制整合框架的特有维度
IT风险控制与一般风险控制相比,最大的不同在于IT风险控制包含IT价值管理,这是因为,IT对于企业而言是一把“双刃剑”,体现在以下两个方面:
第一方面有两种情况,一种情况是IT
会给企业带来新的机遇或利益,比如,IT投
资转化为IT能力,通过组织学习、竞争行动、生产过程、企业决策等中间变量提高了企业的绩效,特别是在当前网络技术与通信技术发展与深入应用的情况下,IT还给某些行业的企业带来商业模式的改变进而产生新的利润增长点,等等,因此,IT具有商业价值;第二种情况是IT自身还是企业加强风
险控制的有效手段之一,
企业能够利用IT手段加强对业务的控制,进而实现价值增值。在这两种情况下,信息技术是企业获取利益或风险控制的手段。
第二方面是信息技术本身给企业带来的各种风险,这时,信息技术是企业风险控制
的对象。IT带来的风险和机会是一枚硬币的两面,企业每一个IT活动都包含了风险和机会,风险与机遇同行,为了给企业的利益相关者增加企业价值,企业必须在经营中抓住各种机会,而所有机会伴随着不确定性,因此,管理风险和机会已经成为企业要获取成功必须考虑的一项战略活动。
IT价值管理需要包含IT投资评估选择相关的指导原则以及支持流程,帮助企
业从它们在信息技术和IT支持的变革上的
投资中实现价值。企业的IT投资如能在行之有效的治理框架内运行良好,就能够为企业提供创造价值的重要机会。相反,如果没有高效的治理框架和良好的管理,那么IT投资就会对价值造成损毁。IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式。IT价值管理方法能够给领导人的,归纳起来,主要有IT服务管理、IT项目管理、信息安全管理三个IT特定领域的风险控制,随着信息技术及应用的发展,这三个领域相应的风险控制规范或标准也得到了逐步发展与完善。这些规范或标准分别从不同领域和角度吸取并综合了全球相关专
家。PMBOK (A Guide to the Project Management Body of Knowledge)是由美国项目管理协会PMI(1996)年综合大量专家和会员的意见开发完成的,后经过多次更新,目前最新版本为2008版。它是美国项目管理协会对项目管理所需的知识、技能
家的理论研究成果和最佳专业实践经验,和工具进行的概括性描述。国际标准化组员提供清晰、切实可行的指导方针和配套的措施,此外,它还能协助董事和管理层理解和执行自己在IT投资中扮演的角色。它着眼于投资决定(做得是否正确?)以及收益的实现(赚钱了吗?),而信息化“流程环节”中的控制活动关注的是实行(做得正确吗?完成得好吗?),IT价值管理与IT风险管理是对同一项IT活动的两个方面的管理,着眼于平衡风险与价值。
在ISACA的《IT价值管理框架》中,IT 价值管理被分为三个部分:即价值治理、组合管理、投资管理。其中,价值治理包括建立治理框架,并且将其集成到整个企业的治理当中去,为投资决策提供战略方向,确定所需投资组合的特点,用以支持新的投资和由此产生的IT服务、资产和其他资源,并在经验教训的基础上不断完善价值治理。组合管理包括建立和管理资源概况,确定投资门槛,评估、优选次序、筛选、推迟、或者拒绝新的投资和优化整体投资组合,监测和报告投资组合的业绩表现。投资管理包括明确业务需求,制定一个明确了解候选投资项目的方案,分析各种途径的实施方案,明确每一个方案和每一份文档,并且了解详细的业务情况包括在整个投资的经济生命周期中详细的收益情况,明晰权责,通过整个经济生命周期对每个方案的实施进行管理,对每项方案的业绩进行监测和报告。IT价值管理与IT风险管理的原则与过程对同一项IT活动的管理是相互联系、相互补充的。
2.IT的流程环节中存在特定领域的风险控制
IT特定领域的风险控制是IT风险控制的专门领域,这是一般风险控制所不具有
从各个方面对IT相关特定领域的风险进行控制或提供理论指导及实践指南,或提出明确要求。这些风险控制规范或标准可以用于指导信息化相对应的各个流程环节的具体风险控制实践,适用于IT风险控制整合框架中“流程环节”这一维度在特定领域的具体控制活动。(1)IT服务管理
ITIL (In for mat ion Tec h nolog y In fras tr u c t ur e Li brar y)是英国政府中央计算机与电信管理中心(CCTA)在20世纪90年代初期发布的一套IT服务管理最佳实践指南,旨在解决IT服务质量不佳
的情况。ISO/IEC20000源于ITIL,2001年,英国标准协会(BSI)正式发布了以ITIL为核心的英国国家标准BS15000。2005年12
月,国际标准组织正式发布成为ISO20000,ISO20000基本上就是从BS15000延伸而来。ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。 (2)IT项目管理
PRINCE (PRojects IN Controlled En v iron m e n t s)是一种对项目管理的某些特定方面提供支持的方法。1979年英国政府计算机和电信中心(CCT A)采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在P R O M P T 项目管理方法的基础上,20世纪80年代,CCTA出资研究开发PRINCE,1989年Pri n ce正式替代PROMPT成为英国政府IT项目的管理标准。目前,PRINCE2已风行欧洲与北美等国
织以该文件为框架,制订了ISO10006关于项目管理的标准。 (3)信息安全管理
ISO/IEC 27001-2005及ISO/IEC 27002-2005来源于BS7799,BS7799是英国标准协会(BSI)于1995年2月制定的信息安全标准,2000年12月,BS7799-1被国际标准化组织(ISO)采纳,正式成为ISO 17799标准。ISO
于2005年6月发布了新版本即ISO17799-2005(ISO/IEC 27002),该标准涉及以下几个重要控制域,包括:安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,发展和
保持、访问控制、信息安全事件管理、业务连续性管理、合规性。此外,BS7799-2也被国际标准化组织采纳为国际标准,版本号为ISO/
IEC27001-2005,于2005年11月发布。 四、结论
无论从历史发展历程来看还是从风险管理角度的标准比较来看,企业一般风险控制相关理论是IT风险控制的理论基础。企业一般风险控制领域的优秀理论成
果可以应用到IT风险控制领域,但应考虑信息化的特点,还应吸收IT领域的理论成果。IT风险控制与一般风险控制的区别表现在两个方面:I T 价值管理包含在IT风险控制之中,构成了IT风险控制的特有维度;IT特定领域的风险控制是IT风险控制的专门领域,这些特定领域的实践和理论成果可以帮助企业实现IT特定领域的风险控制。
作者单位:北京服装学院
71
IT风险控制与一般风险控制的关系与比较
作者:作者单位:刊名:英文刊名:年,卷(期):
周常兰, 程菲北京服装学院财会学习
Accounting Learning2015(6)
引用本文格式:周常兰. 程菲 IT风险控制与一般风险控制的关系与比较[期刊论文]-财会学习 2015(6)