（会计学专业论文）基于it治理的企业it风险管理框架的研究.pdf

基于i t 治理的企业i t 风险管理框架的研究 摘要 近年来，从美国的安然公司破产到世通公司的财务丑闻，从中国的银广夏、 蓝田到中科创等违规案的公开无疑都将注意力集中在财务报告的各个方面。作为 美国公司的舞弊和给美国国会带来的相关压力的结果，萨班斯奥克利法案 于2 0 0 2 年夏天通过。美国证券交易委员会( s e e ) 和纽约证券交易所( n y s e ) 随 后制定的规则和管制，对于上市公司的公司治理、内部控制产生了重大的影响。 法案的3 0 2 节要求c e o 和c f o 就他们的内部控制系统进行报告，并在提交给 s e c 的财务报表上签字以此作为保证，因此，这部法律将迫使高级执行官确 保其内部控制系统的适当；而法案的4 0 4 节要求公司要：( 1 ) 陈述管理层建立和 保持适当的内部控制和财务报告的责任；( 2 ) 在上市公司的财政年度末，对内部 控制结构和财务报告程序的效果的评估。现在n y s e 第一次要求所有登记上市的 公司都要有内部审计的职能。 1 9 9 4 年经过修订的c o s o 报告诞生了，c o s o 报告也被人们形象地称作内部 控制的“圣经 。2 0 0 4 年9 月，c o s o 又提出了企业风险管理整体框架， 它既是对内部控制整体框架的超越，也标志着内部控制的转型，在内涵 界定、目标体系、构成要素等方面都进行了拓展和延伸。而c o b i t 作为国际上通 用的信息系统审计的标准自1 9 9 6 年诞生以来已经更新到了第四版，其中更加强 化了其对i t 风险控制的目标内容，为信息系统审计界提出了许多新的课题。于 此同时世界范围内多个影响范围广大的信息化安全标准都提出了自己的风险管 理的控制框架，一时间呈现出百花争鸣的景象，文中将会涉及到几个比较有影响 的内部控制框架如i t i l 、i s 0 1 7 7 9 9 、c 姗i 、p r i n c e 2 、n i s t 、i t g i 。 多数框架提出了i t 治理的理念，或者在i t 治理的前提下研究i t 风险的内 部控制。似乎i t 治理已经成为了企业治理的重要方向。的确，在当今的全球商 业环境中，信息的重要性被广泛接受，信息系统在各类组织中得到了广泛的应用。 许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、 收益和机会，使i t 治理成为了公司治理越来越关键的一部分。目前，i t 治理理 论已经成为内部控制和信息系统审计领域的研究热点。 企业对i t 的依赖性越来越强，却没有太多合理的i t 风险管理框架来为信息 化过程保驾护航，这导致了不断增长的对风险管理框架的需求。本文研究的目的 在于为于信息化成熟度较高的企业建立一个针对信息技术部门的风险管理框架。 本文研究的另一个重要内容在于收集和整合i t 风险管理的需求，并将其融 成一个系统的整体。 本文的第一章介绍了风险管理框架产生的背景、必要性，同时也概述了i t 治理的一些概念。第二章则从国内国外两个方面介绍了风险管理框架的需求，主 要侧重于规则需求方面。第三章介绍了国际流行的控制框架和标准。第四章从对 比和综合两个角度深入的对各个内部控制框架进行了分析。随后在此基础上第五 章构建了新的风险管理框架并对其进行了分析，同时提出了实施的办法。文章的 第六章在最后通过一个政务软件的案例来看在新框架的指导下对组织的i t 技术 内部控制审计有哪些启示。最后是结论。 关键字：j t 治理；内部控制；风险管理框架 c o n s t r u c t10 no fa nltrls kf r a m e w o r k b a s e d0 nitg o v e r n m e n t a b s t r a c t i nr e c e n ty e a r s ，t h e r eh a v ee m e r g e dm a n ys c a n d a l si nt h ew o r l ds u c ha st h e b a n k r u p to fe n r o n t h ef m a n c i a la b u s e so ft h ew b r l d c o ma n dt h ec h e a t so ns e v e r a l l i s t e dc o m p a n i e si nc h i n aa sw e l l ，w h i c hm a k et h ew h o l ew o r l df o c u so nm a n yf a c t s o nf i n a n c i a lr e p o r t a sar e s u l to ft h eb a de f f e c to ft h es c a n d a l sa n dt h ep r e s s u r eo ft h e c o n g r e s so fu n i t e ds t a t e s t h es a r b a n e s o x l e ya c to f2 0 0 2 、糯e n a c t e do nj u l y3 0 2 0 0 2 t h e nt h es e ca n dn y s ep r o m u l g a t e dt h er u l e sa n dt h er e s t r i c t i o n so n ea f t e r a n o t h e r , w h i c hc a u s ed e e pi n f l u e n c e so nc o r p o r a t i o ng o v e r n a n c ea n di n t e r n a lc o n t r 0 1 b i l l3 0 2o ft h eb i l la s k sc e oa n dc f of o rt h e i ri n t e r n a lc o n t r o ls y s t e m sr e p o r t s a n di ta l s on e e dt h es i g n a t u r ei nt h ef i n a n c i a ls t a t e m e n t ss u b m i t t e dt ot h es e c a sa g u a r a n t e e 。t h e r e f o r e 。t h i sl a ww i l lf o r c es e n i o r e x e c u t i v e st oe n s u r et h a tt h e c o r p o r a t i o n si n t e r n a lc o n t r 0 1s y s t e mt ob ea p p r o p r i a t e w h i l eb i l l4 0 4r e q u i r e s c o m p a n i e st o ：( 1 ) p r e s e n t a t i o no fm a n a g e m e n tt oe s t a b l i s ha n dm a i n t a i na d e q u a t e i n t e m a lc o n t r o l sa n df i n a n c i a lr e p o r t i n gr e s p o n s i b i l i t i e s ；( 2 ) a tt h ee n do ft h ef m a n c i a l v e a ll i s t e dc o m p a n i e sm a k ee f f e c t sa s s e s s m e n to nt h ei n t e m a lc o n t r o ls t r u c t u r ea n d f i n a n c i a lr e p o r t i n gp r o c e d u r e s i t st h ef i r s tt i m et h a tn y s er e q u i r e sa l ll i s t e d c o m p a n i e sm u s tr e g i s t e rw i t ht h ei n t e r n a la u d i tf u n c t i o n i n19 9 4 ，r e v i s e dc o s or e p o r tw a sb o m ，w h i c hi sa l s or e f e r r e dt ot h ei m a g eo f t h ei n t e r n a lc o n t r o l ”b i b l e ”s e p t e m b e r2 0 0 4 c o s op r o p o s e da ”c o r p o r a t er i s k m a n a g e m e n t t h eo v e r a l lf r a m e w o r k , ”i ti sn o ti u s tt h ea d v a n c e d ”i n t e r n a lc o n t r 0 1 t h eo v e r a l lf r a m e w o r k ”i ts h o w st h em e a n i n go ft h et r a n s f o r m a t i o no fi n t e r n a lc o n t r 0 1 a n dt h ee x t e n s i o ni nt h en o t i o nd e f i n i n g ，t a r g e ts y s t e ma n de l e m e n t so ft h es t r u c t u r e c o b i ta sa ni n t e r n a t i o n a lw e l lk n o w ni n f o r m a t i o ns y s t e m sa u d i tc o m m o ns t a n d a r d s h a v eb e e nu p d a t e dt ot h eb i r t ho ft h ef o u r t he d i t i o ns i n c e19 9 6i tw a sf i r s te n a c t e d ， w h i c hh a ss t r e n g t h e n e di t sc o n t r o lo ft h ei tr i s kt a r g e t s p u tf o r w a r dan u m b e ro fn e w i s s u e st ot h ei n f o r m a t i o ns y s t e m sa u d i ta tt h es a m et i m e ，m a n yi n f o r m a t i o ns e c u r i t y s t a n d a r d s p u tf o r w a r dt h e i r o w nr i s km a n a g e m e n tc o n t r o lf r a m e w o r ki nt h e w o r l d w i d es c o p ew h i c ha p p e a r st ob eap e r i o do ft i m es h o w i n gap i c t u r eo ff l o w e r s c o n t e n d t m s p a p e ri n c l u d e s s e v e r a li n t e r n a lc o n t r o lf r a m e w o r k sw i t hw i d e i m p l i c a t i o i l ss u c ha si t i l ，i s o17 7 9 9 ，c m m i ，p r i n c e 2 ，n i s ta n di t g i m o s to ft h ei tg o v e r n a n c ef r a m e w o r k sb r i n gf o r w a r dt h ec o n c e p to ft h ei t g o v e r n a n c eo rp r o p o s ed o i n gi tr e s e a r c ho nt h ep r e m i s eo ft h ei n t e r n a lr i s kc o n t r 0 1 i tg o v e r n a n c es e e m st ob ea l li m p o r t a n td i r e c t i o no ft h ec o r p o r a t eg o v e r n a n c e i n t o d a y sg l o b a lb u s i n e s se n v i r o n m e n t ，t h ei m p o r t a n c eo fi n f o r m a t i o nw a sw i d e l y a c c e p t e da n dt h ei n f o r m a t i o ns y s t e m sh a v eb e e ni naw i d er a n g eu s e t h eg r o w i n g d e p e n d e n c eo ni n f o r m a t i o ns y r s t e m sa n dt h eb u s i n e s sr i s k s ，b e n e f i t sa n do p p o r t u n i t i e s m a k e si tg o v e r n a n c ei n c r e a s i n g l yb e c o m ek e yp a r to fc o r p o r a t eg o v e r n a n c e p r e s e n t l y , i tg o v e r n a n c et h e o r yh a sb e c o m eah o ts l ：i o ti n t h ef i e l do fi n t e r n a lc o n t r o l s a n da u d i ti n f o r m a t i o ns y s t e mr e s e a r c h e n t e r p r i s e sr e l yo ni ts y s t e mm o r eo f t e nt h a nb e f o r e ，b u tt h e r e r en o tt o om u c h r e a s o n a b l ei tr i s km a n a g e m e n tf r a m e w o r k sf o rt l l ec o r p o r a t i o nt om a n a g et h ei tr i s k s w e l l ，w h i c hl e dt h eg r o w i n gd e m a n df o ra l la p p r o p r i a t er i s km a n a g e m e n tf r a m e w o r k t h ep u r p o s eo ft h i sp a p e ri st oe s t a b l i s har i s km a n a g e m e n tf r a m e w o r ka g a i n s tt h e i n f o r m a t i o nt e c h n o l o g ys e c t o rm a t u r i t yi nt h ec o m p a n i e sw h o s ei n f o r m a t i o n t e c h n o l o g yi sa tah i g h e rm a t u r el e v e l t 1 1 i sp a p e r sf i r s tc h a p t e ri n t r o d u c e st h eb a c k g r o u n d n e c e s s i t y , b u ta l s oo u t l i n e s t h ei tg o v e r n a n c ec o n c e p t so ft h er i s k m a n a g e m e n tf r a m e w o r k c h a p t e r i i i n t r o d u c e dt h ed e m a n df o rr i s km a n a g e m e n tf r a m e w o r kf o c u s i n gm a i n l yo nr u l e s r e q u i r e m e n t sf r o mb o t hd o m e s t i ca n da b r o a d t h et h i r dc h a p t e ri n c l u d e st h e i n t e m a t i o n a le p i d e m i cc o n t r o lf r a m e w o r ka n ds t a n d a r d s c h a p t e r si va n dvi st h e c o r eo ft h i sp a p e r , c h a p t e ri vg i v e sac o m p r e h e n s i v ep e r s p e c t i v eo ft h ev a r i o u s i n t e r n a lc o n t r o lf r a m e w o r ka f t e rt h ei n - d e p t hc o m p a r i s o n t h e nc h a p t e rvb u i l d sa n e wr i s km a n a g e m e n tf r a m e w o r kw i t hd e e pa n a l y s i s ，a n dp r o p o s e dt h ea p p r o a c ho f i m p l e m e n t a t i o n c h a p t e rv io f t h ea r t i c l e sg i v e ss u g g e s t i o n sa n de n l i g h t e n m e n to ni t t e c h n i c a la u d i to fi n t e r n a lc o n t r o lt h r o u g hac a s eu n d e rm ed i r e c t i o no fan e w f r a m e w o r k f i n a l l yg o e st h ec o n c l u s i o n s k e yw o r d s ：itg o v e r n m e n t i n t e r n aic o n t r oi ，ris km a n a g e m e n tf r a m e w o r k 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含其他教育机构的学位或证书使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 学位论文作者签名：臼殉 签字日期：2 6 年j 月? 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人 授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解密后 适用本授权书) 学位论文作者签名：臼殉 签字日期：2 c 刀彦年s 月2 日 学位论文作者毕业后去向： 工作单位： 通讯地址： 电话： 邮编 爸 基于i t 治理的企业风险管理框架的研究 1 背景 1 1 lt 治理下风险管理框架产生的背景 在当今的全球商业环境中，信息的重要性被广泛接受，信息系统在各类组织 中得到了广泛应用。许多组织在运营过程中对其信息系统依赖性越来越强，面对 不断变化的在信息系统上运作业务的风险、收益和机会，i t 治理已逐渐成为公 司治理中十分关键的一部分。最高管理层和执行管理层需要确保i t 适应企业战 略，同时企业战略也恰当利用i t 的优势。 现实世界的任何系统都包括一连串复杂的环节，其中一些甚至复杂到连系统 的设计者、实现者和使用者自己都搞不清楚，由此产生的不安全因素总是存在， 因此，必要的安全措施必须渗透到系统的所有地方。必须相信没有一个系统是完 美的，没有一项技术是灵丹妙药。 事实上针对系统安全的攻击越来越普遍。早在1 9 9 6 年，美国会计总署( g a o ) 的报告就指出，美国国防部一年有1 5 0 0 0 个系统遭到高达2 5 0 0 0 0 次攻击，其中 6 5 攻击成功，防范和弥补损失的费用高达数亿美元。更值得注意的是，这些攻 击中只有4 0 0 个被查明，2 0 个被报告。如果说1 9 9 6 年容易受到攻击很大程度上 被称之为系统的弱点，那么今天，它已经成为一种威胁。正如美国联邦调查局针 对电子商务网站的1 0 0 个敲诈案件表明，攻击者扬言要公开客户信息，在提出的 要求得不到满足时他们就肆意践踏保障个人隐私的权利。许多国家的政府已经认 识到安全的重要性，并积极采取措施保证信息系统安全，如根据敏感度物理隔开 信息基础设施，投资于更好的认证方法，以及迫使信息基础设施使用者对其行为 负责等。以美国政府为例，“9 1 1 事件后美国信息基础保护委员会( p c i p b ) 列出了5 3 个信息安全方面的重点问题，把信息安全列入国家战略。在这个战略 中，信息安全被分成5 个等级；第l 级是家庭用户和小型商业机构，第2 级是大 型企业，第3 级是高等教育、联邦政府、州与地方政府等关键部门，第4 级是国 家优先任务，第5 级是全球性合作网络。但是，在2 0 0 2 年g a r t n e r 举办的研讨 会上，与会人士普遍认为“9 1 1 ”后企业依然没有提高警惕，这一点从g a r t n e r 研究主管d o n n as c o t t 进行的调查中就可以明显的看出来，这次调查是s c o t t 于 2 0 0 2 年关于保持业务持续发展问题的研究报告的一部分。该报告显示全球2 0 0 0 强企业中只有不到2 5 的企业在全面的业务持续性计划上进行了投资，而就在这 基于i t 治理的企业风险管理框架的研究 些进行了投资的企业当中，只有5 0 对自己的持续性计划进行了全面的控制测试。 针对严峻的现状，s c o t t 警告说：“随着实时企业的观念的演进，即使是最小的 中断关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部供应 商服务的中断等可能引发的潜在业务冲击都有可能带来极为严重的商业后果。 美国政府在2 0 0 3 年投资5 0 0 多亿元，用于改造工t 基础设施及其性能。其中 政府机构用于网络安全的支出将增长6 4 ，达到约3 0 亿美元。原本认为，随着 网络安全支出的增长，政府部门的计算机安全环境将会得到极大的改善，而且能 够抵御任何形式的网络威胁。然而事实并非如此。g a r t n e r 的副总裁j o h n p e s c a t o r e 预言，政府网络安全的显著改善至少需要花费3 年的时间。他认为， 与个人网络安全相比，政府网络安全现在还处于远远落后的状态，要想解决一些 比较大的问题，必须先要建立网路安全的基础和机制。 目前业界普遍认为，信息安全是政府和企业必须携手解决的问题。政府和企 业管理执行层( 董事会) 有责任为所有使用者提供一个安全的信息系统环境，而 且，政府部门和企业在认识到安全信息系统的同时，应该自我保护以避免信息系 统固有的风险。 1 2 风险管理框架产生的必要性 近年来世界范围内的商业丑闻不断发生、网络世界黑客行为导致的电子盗窃 案愈发猖獗、以及先后颁布的如萨班斯奥克斯利法案等一系列新的法规需要 得到不断适应，这导致了对有效的风险管理框架的需求的产生。而与此同时，企 业信息化过程中的商业流程自动化等现象使得企业的日常生产经营活动对工t 技 术的依赖愈发的严重，另一方面却没有太多合理的i t 风险管理框架来为信息化 过程保驾护航，这在某种程度上进一步放大了这种需求。本文将回答以下一个十 分关键的问题：如何在组织建立了i t 治理的框架后对信息化中的风险进行内部 控制? 目前对这个问题还存在很多争论，许多概念也存在混淆的情况。在进行更 深一步的研究以前必须对一些广泛而且基本的概念进行清楚的界定。本文在按部 就班的解决如何在审计信息系统过程中控制风险这一基本问题的同时，也会对目 前流行的风险管理框架进行一个总的概览。每一个风险框架的最有用或者最具优 势的方面都会得到系统的阐释和分析，最后将会形成一个融合了众多的风险管理 2 基于i t 治理的企业风险管理框架的研究 框架特点的新的解决方案来为各种组织提供普遍的参考。本文还将通过一个电子 政务信息风险审计的案例来印证这一新的框架。 风险管理控制就是一个确认、评估并且采取步骤将风险降低到可接受水平的 一个过程。组织的领导单位必须确信组织有完成这一项任务的能力。这些组织的 领导有责任决定暴露于现实世界的各种威胁所形成的风险的可接受水平。而组织 的风险管理进程也应当允许管理者去平衡采取保护措施的成本与其所获得的收 益。 为了找到正确的解决方法，应当首先探求问题的实质。通常来说问题的大小 决定了解决过程中所遇到的困难的大小，问题越大，困难越大。以美国银行业为 例，1 9 8 9 年颁布了金融系统改革、恢复和实行法案( f i r r e a ) ，其中发布了8 0 1 个最终的规则。虽然每一条规则看似都有其存在的足够的理由，但是对这些银行 来说1 5 年内的有8 0 1 项规则发生改动无疑让他们难以对这些规则进行消化，更 别提那些员工数量有限的小型银行了。让如此众多的规则变得有效就必须在原有 基础上削减规则，而削减规则行为本身让原本的问题变得更加复杂，工作量也更 大。 这些规则不仅数量庞杂而且彼此之间很难进行关联。它们对目前的风险管理 来说是不系统的、彼此交迭的、模糊的甚至是相互抵触的。风险管理审查和信息 化系统审计的强度和频率都在不断的增强，而这正是缺乏系统性的规则体系形成 的重要原因。需求产生了供给，但是这些规则最初建立的时候并没有事先进行系 统的规划和分析，也没有约束在一个合理有效的框架内，因此这个体系变得混乱、 无序也就不难理解了。我国的信息系统审计准则还在组织建立过程中，有关风险 管理的内容也没有成型，无论如何，美国银行业的经验都将给我们一个可靠的警 示。 这些规则的数量和重要性的增加都有很好的理由。据联邦贸易委员会( f t c ) 统计，“导致私人身份盗取的网络案件每年大约影响一千万美国人。 n b c 新闻透 露美国银行丢失了一些电脑数据，涉及1 2 0 万联邦雇员的社会保险号码其中甚至 包括一些国会议员。c n n 详细的报道了w a c h o v i a 的雇员和其他三家银行曾经诈 骗性的销售了高达一百万的信用卡号和资产平衡表。受到影响的银行虽然被要求 对受到影响的客户提供一整年的免费信用监督服务但这仍然大大打击了公众的 基于i t 治理的企业风险管理框架的研究 信心。在另一个案例中旧金山的一家企业承包人的电脑被盗。窃贼盗取了该公司 客户的姓名、地址及其他重要信息。这显然不是组织可接受的风险。事实上，这 些受到影响的组织都相应的采取了一些措施来应对这些风险事件，但是事后才对 风险采取相应的措施并不是最理想的解决问题的办法。 业务流程本身中存在的问题也是阻止难以找到有效的解决风险管理问题办 法的因素之一。例如，美国银行和金融系统不断采用一些新的工具来应对黑客入 侵和网络诈骗。c e l e n t 认为2 0 0 5 、2 0 0 6 两年北美的银行将花费高达1 6 亿和1 7 亿元的费用用于保障i t 安全。而我们都知道，有没有必要在安全方面进行投资 是要看是否存在实在的需求。但是我们还要看这些需求有没有得到可靠的评估， 是不是能够真实反映的组织的需求，如果不是就难以保证组织避免在此问题上花 冤枉钱的情况发生。同样如果不能够建立一个合理有效的i t 风险管理框架，组 织的安全投资还有可能偏离其真正的业务需求。 无效的i t 风险管理的后果是严重的，比如更高的无效的资本投入，更为重 要的是组织在公众面前的形象受损，比如组织在经常遭受来自的网络威胁并造成 重大损失的同时需要不断向外界澄清事实和表明处理问题的决心以维持公众信 心。此时工t 治理理论是一个有效的办法。i t 治理是执行官和董事会的重要职责 之一，而这一职责是不容回避的。 目前，企业在i t 方面的投资越来越大，越来越多的组织业务在电脑系统的 控制下有条不紊的运行着，与此同时，越来越多原本属于业务的风险逐渐转嫁到 管理它们的信息系统中。越来越多的有关i t 风险事件的问题得到曝光，这些变 化似乎都在不断提醒我们有关i t 风险的问题与以往相比较更多、更普遍也更加 严重了。 所谓的工t 风险产生于人、技术和流程。目前存在的事实是负责企业信息化 的i t 工作人员似乎对风险管理领域缺乏系统而且深入的了解。而很多所谓的风 险管理专家也似乎不是i t 技术和信息系统结构流程方面的行家。这无疑使得企 业信息化过程中两股重要力量在i t 技术的应用和i t 技术的理解之间产生了一道 巨大的鸿沟。虽然目前市面上已经出现了很多风险管理的软件，但是这些软件的 数量很少而且很多软件还远远算不上成熟，正因如此，真正有效的风险管理很难 在组织的整体范围上得到充分的实现。也有很多企业选择采用外包的方式来完成 4 基于l t 治理的企业风险管理框架的研究 信息化的进程，但是他们并没有重视企业的风险管理，于是它们也不太可能对外 包的i t 公司在风险管理控制方面赋予很高的期望，或有深刻的需求。于是很多 i t 公司把绝大多数精力投入到满足各式各样流程信息化的需求当中，他们难以 投入足够的精力去帮助企业完美的应对风险。此外企业也很难让它们帮助企业实 现业务重组，更为重要的是很难让他们帮助企业重视并建立有效合理的风险管理 措施。 不界定好i t 风险管理框架就不能真正让这些问题得到解决。目前的风险管 理框架涉及范围甚广而且可能存在重大的缺陷。一些框架彼此之间相互抵触，一 些框架内容重复而且缺乏新意，一些框架对风险及其可接受水平的认识存在分 歧，一些框架内容停留于表面而且过于笼统不禁让人对其可用性产生质疑。所有 这些风险管理框架的一个共同问题便是不能将很大范围内的风险进行清楚地界 定 在回答这个问题前，我们先来看几个信息安全领域的术语定义。 风险( r i s k ) ：某一特定的威胁利用某资产或某一群资产的弱点致使该资产 受到损失或损坏的潜在可能性。一般是通过威胁发生的可能性和它造成的结果进 行组合来衡量的。1 风险处置( r i s kt r e a t m e n t ) ：选择和实施修正风险的控制的过程。( p r o c e s s s e l e c t i o na n di m p l e m e n t a t i o no fc o n t r o l st om o d i f yr i s k ) 2 控制措施( s a f e g u a r d ) ：降低风险的实践、过程或机制。( ap r a c t i c e ， p r o c e d u r eo rm e c h a n i s mt h a tr e d u c e sr i s k ) 3 实际中存在的风险管理框架常常与组织的真实业务情况相背离，因此很大程 度上我们可以说目前可用的风险管理框架并不能显著的帮助企业进行信息化。图 1 4 可以直观的反映相互冲突的管理框架存在的问题，它说明了在狭窄的软件工程 领域汇集了多么多的具有显著影响的管理框架。我们似乎很难从中看到有效的风 险控制的方案。 1 参考i s o ，i e ct r1 3 3 3 5 1 和b s7 7 9 9 - 2 ：2 0 0 2 2 参考b s7 7 9 9 2 ：2 0 0 2 3 参考b s7 7 9 9 2 ：2 0 0 2 4 p h i l i p s ，m i k e ，“c m m iv 1 1o v e r v i e w ，c m m it e c h n o l o g yc o n f e r e n c e ，n o v e m b e r1 4 ，2 0 0 1 5 基于i t 治理的企业风险管理框架的研究 图1 1 软件工程领域相互冲突的管理框架 本文研究的另一个重要内容在于收集和整合i t 风险管理的需求，并将其融 成一个系统的整体。并将国外流行的一些规则作为研究对象将其合理、一致、有 效的部分整合入一个新的风险管理框架。本文将详尽的讨论具体的需求和以及必 要的组织或个人在信息化过程中承担的责任，以帮助组织应对信息系统的内部和 外部审计。 一个十分关键的问题就是组织如何选择并建立一个应用广泛、内容深刻而且 足够有效的风险管理框架。 1 3l t 治理的相关理论研究 1 3 1 什么是i t 治理 i t 治理是公司治理的一部分，对于公司治理，1 9 9 9 年出版的公司治理的 基本原则一书所下的定义为：为确定组织目标和确保目标实现的绩效监控所提 供的治理结构。 关于i t 治理，中外学者给出了很多的定义，美国工t 治理协会给i t 治理的 定义是：“i t 治理是一种引导和控制企业各种关系和流程的结构，这种结构安排， 旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。 德勤事务所认为，“i t 治理是一个含义广泛的术语，包括信息系统、技术、 通讯、商业、所有利益相关者、合法性和其他问题，其主要任务是：保持i t 与 6 基于i t 治理的企业风险管理框架的研究 业务目标一致，推动业务发展，促使收益最大化，合理利用i t 资源，i t 相关风 险的适当管理 。 而国际信息系统审计与控制协会( i s a c a ) 和i t 治理研究所( i t g i ) 则提出： “i t 治理由高层管理机构负责，由领导、组织结构和过程构成，其目的在于确 保工t 能够支撑和扩展组织的战略和目标。 美国麻省理工学院的学者彼得维尔和珍妮罗斯在其所撰写的i t 治理 一书中指出，i t 治理就是为鼓励i t 应用的期望行为，而明确的决策权归属和责 任担当框架。他们认为是行为而不是战略创造价值，任何战略的实施都要落实到 具体的行为上。从i t 中获得最大的价值，取决于在i t 应用上产生我们期望的 行为。期望行为是组织信念和文化的具体体现，它们的确定和颁布不仅基于战略， 而且基于公司的价值纲要、使命纲要、业务规则、约定的行为习惯以及结构等。 在每一家公司里，期望行为都各不相同。 i t g o v 中国i t 治理研究中心在综合研究的基础上提出如下定义：i t 治理用 于描述企业或政府是否采用有效的机制( 就是为鼓励i t 应用的期望行为而明确 决策权归属和责任承担的框架) ，使得i t 的应用能够完成组织赋予它的使命，同 时平衡信息技术与过程的风险、确保实现组织的战略目标。 通过上述定义可以总结出以下共同点： i t 治理必须与企业战略目标一致，i t 对于企业非常关键，也是战略规划的 组成，影响战略竞争。 i t 治理和其它治理主体一样，是管理执行人员和利益相关者的责任( 以董 事会为代表) 。 i t 治理保护利益相关者的权益，使风险透明化，指导和控制i t 投资、机遇、 利益、风险。 综合分析后我们可以做出如下定义：i t 治理就是要明确有关i t 决策权的归 属机制和有关i t 责任的承担机制，以鼓励i t 应用的期望行为的产生，以联接战 略目标、业务目标和i t 目标，从而使企业从i t 中获得最大的价值。 1 3 2i t 治理与i t 管理 i t 治理不同于i t 管理。从工作内容看，i t 管理一般是从具体的操作层面出 发，针对信息系统具体目标的实现所采取的行动。而i t 治理则是在宏观层面的 7 基于i t 治理的企业风险管理框架的研究 战略角度上，对i t 战略上的过程、结构和联系进行梳理和监控，以确保组织信 息系统的运营管理能够始终沿着正确的方向进行。 从执行主体看，i t 管理是由专业的信息系统管理人员执行，而i t 治理则是 组织高层领导机构的工作。从技术深度看，进行i t 管理涉及到很多具体的信息 技术，要求具有充分的专业知识；i t 治理则更多地运用管理学等知识，从组织 整体战略和目标角度描述和控制信息系统状态，而很少使用具体的信息技术。 因此可以说，i t 治理为组织的i t 运作定义了一个战略性的框架，指明了具 体i t 管理工作的目标和权责范围，使信息系统专业人员能够准确地按照组织高 层领导的要求开展工作。 1 3 3 公司治理和i t 治理 公司治理主要关注利益相关者权益和管理，包括一系列责任和条例，由最高 管理层( 董事会) 和执行管理层实施，目的是提供战略方向，保证目标能够实现， 风险适当管理，企业的资源合理使用。公司治理，驱动和调整i t 治理。同时， i t 能够提供关键的输入，形成战略计划的一个重要组成部分，这被认为是公司 治理的一个重要功能i t 影响企业的战略机遇。 i t 治理的一个关键性问题是：公司的i t 投资是否与战略目标相一致，从而 构筑必要的核心竞争力。因为企业目标变化太快，很难保证i t 与商业目标始终 保持一致，因此需要多方面的协调，保证i t 治理继续沿着正确的方向走，这也 是i t 投资者真正关心的问题。对i t 治理而言，要能体现未来信息技术与未来企 业组织的战略集成。既要尽可能地保持开放性和长远性，以确保系统的稳定和延 续性；同时又因为规划赶不上变化，再长远的规划也难以保证能跟上企业环境的 变化。i t 治理中一个相对有效的做法是，在信息化规划时，认真分析企业的战 略与工t 支撑之间的影响度，并合理预测环境变化可能给企业战略带来的偏移， 在规划时留有适当的余地，从业务战略到信息战略，做务实的牵引，不要追求大 而全。 i t 治理有助于建立一个灵活的、具有适应性的企业。i t 治理能够影响信息 和指示：企业能够感知市场正在发生的事，使用知识资产并从中学习，创新新产 品、服务、渠道、过程；迅速变化，将革新带入市场，衡量业绩。i t 治理应该 体现“以组织战略目标为中心”的思想，通过合理配置i t 资源创造价值。企业 8 基于i t 治理的企业风险管理框架的研究 治理侧重于企业整体规划，i t 治理侧重于企业中信息资源的有效利用和管理。企 业目标在于远景和商业模式，i t 目标在于商业模式的实施。 i t 治理主要涉及两个方面：i t 要为企业交付价值，i t 风险要降低。前者受 i t 与企业的战略一致性驱动，后者由责任义务落实到企业驱动。这两者都需要 衡量，如使用平衡计分卡。这就可以看出工t 治理的四个核心领域，都是由利益 相关者价值驱动的，其中两个是成果：价值交付和风险降低，另外两个是驱动力： 战略一致性和业绩衡量。 概括地说，公司治理和i t 治理都是市场( 含政府) 他律的机制，是如何“管 好管理者的机制，其目标也是一致的：达到业务永续运营，并增加组织的长期 获利机会。无论大环境是好是坏，最高管理层( 董事会) 均应以达成其目标为责 任，而且管理阶层需有能力协助其达成目标，因此最高管理层( 董事会) 必须常 常监督管理部门对决策判断与政策实施的绩效。 2 产生风险管理框架的需求 2 1i t 风险管理需求的膨胀 目前世界范围内各种商业丑闻出现得越来越多，网络骇客的活动越来越猖 獗。此外各个国家都先后不断颁布各项信息系统安全有关的规则和法律要求企业 去遵从，与此同时信息系统审计不断得到重视，相应的审计准则的约束也给企业 带来很大的压力。以上情况对大多数目前已经形成i t 依赖的企业来说，建立风 险管理框架已经十分必要。而企业自身更加智能更加自动化的业务流程和少之又 少的企业i t 风险管理项目也都进一步扩大了这种需求。“如何控制企业的i t 风 险? 成为困扰大多数企业的重要问题。虽然目前信息技术与企业业务流程相关 的很多问题已经在学术及实业界得到广泛的讨论，但是在明确提出更深层次更细 节性的问题之前，上文提出的这一根本问题必须得到解决。 2 2 国际范围内的法规遵从 风险框架需要建立在满足相应需求的基础上，这一部分内容将考虑风险管理 框架的需求。 需求应当具有可重复性、可扩展性以及非重叠性。下面就来详细分析这些需 求，在此过程中，本文将尽力涉及牵扯问题的各个方面，比如总结和归纳包括关 9 基于i t 治理的企业风险管理框架的研究 于此问题的国外学者的一些观点、一些软件运营商的观点、公司股东的观点、组 织负责风险管理的部门的观点，以及一些引起业界争论不休的观点。 2 2 1 范围 从i t 应用的角度建立一个满足所有需求并符合所有规则的风险管理项目是 不经济的其效用也很难得到保证。企业面对一些法规例如b a s e li i 所提出的风险 管理目标的时候，往往还被要求兼顾其他法规尤其是刚刚颁布的萨奥法案所要求 的目标，这必然给企业带来极大的工作量。但是即使萨奥法案没有颁布的话，风 险管理方面的工作仍然要加强，但是更多的是在b a s e li i 的要求下的一种补充。 因此，新的法令的颁布应当意味着不再是在原来工作的基础上换汤不换药，而是 要尽可能有创新，以避免相互之间的重叠和抵触。因此我们不难看出，将风险控 制