（工商管理专业论文）WT公司信息系统风险管理的研究.pdf

嬉对外经济贸易大学m 学位论文信息系统风险管理 摘要 本文以w t 公司s o x 法案合规项目中的信息系统风险控制部分为研究对象，运 用c o s o 新框架e r m 和c o b i t 模型的结合，对信息系统的风险管理进行分析研究。 文章首先介绍了信息系统风险管理的基本概念、常用理论及方法，然后是研究对 象：w t 公司s o x 法案合规项目中信息系统风险控制体系的介绍，具体包括信息系统 安全、信息系统操作、程序变更和应用系统实施与维护等四大领域。 主体部分从风险评估开始，分析影响因素，界定风险管理范围，制定管理目标体 系、识别潜在风险、评估其发生的可能性和可能产生的影响，确定关键风险。在风险 控制阶段，根据风险评估的结果，确定企业的风险应对策略，参照c o b i t 模型流程设 计，制定详细控制措施降低风险；最后风险管理的持续监控是风险控制体系持续有效 的合理保障。 作为信息系统的风险管理研究，本文侧重于信息系统风险控制的流程及控制措 施，并没有涉及太多技术层面的内容，倾向于i t 治理的研究。 关键词：风险管理c o b i te r m 鲨翌盐丝塑望墨查兰竺! 垒堂竺堡苎 笪：垦墨竺墨堕篁里 a b s t r a c t t h i st h e s i s a p p l i e st h ec o m b i n a t i o no ft h em o d e lo fe r m ，t h en e w i n t e r n a lc o n t r o lf r a m e w o r kb yc o s o ，a n dc o b i t ，a n ds t u d i e st h ei n f o r m a t i o n s y s t e mr i s km a n a g e m e n tu n d e rt h ec o m p l i a n c ep r o j e c to fs o xa c to ft h ew t c o m p a n y t h ea u t h o rf i r s t l yi n t r o d u c e st h eb a s i cc o n c e p t so f t h em a n a g e m e n to f r i s kc o n t r o lo fi n f o r m a t i o n s y s t e m ，t h e o r ya n dm e t h o d o l o g y , a n dt h e n d i s c u s s e st h e s y s t e mo fr i s k c o n t r o lo fi n f o r m a t i o n s y s t e mu n d e rt h e c o m p l i a n c ep r o j e c to f s o xa c to f w tc o m p a n yi nt h ef o l l o w i n ga s p e c t s ：( 1 ) t h es e c u r i t yo f i n f o r m a t i o ns y s t e m ；( 2 ) t h eo p e r a t i o no f i n f o m a a t i o n s y s t e m ；( 3 ) a m e n d m e n to fp r o g m m ；a n d ( 4 ) i m p l e m e n t a t i o na n dm a i n t e n a n c eo ft h e a p p l i c a b l es y s t e m t h em a i nb o d yo ft h et h e s i sb e g i n sw i t hr i s ke v a l u a t i o n t h ea u t h o r a n a l y z e st h er e l a t e df a c t o r s ，t h es c o p eo fr i s km a n a g e m e n t ，t a r g e t i n go ft h e r i s ks y s t e m ，l o c a t i n gt h ep o t e n t i a lr i s ka n de v a l u a t i o no ft h e i rl i k e l i h o o do f o c c u r r e n c ea n do u t c o m e ，a n df i x a t i o no ft h em a i nr i s k i nt h es e c t i o no f r i s k c o n t r o l ，t h ea u t h o r , o nt h eb a s i so ft h er e s u l to fr i s ke v a l u a t i o n 。d i s c u s s e st h e s t r a t e g yo fd e a l i n gw i t ht h er i s k ，a n db yr e f e r e n c et ot h ef l o wd e s i g no fc o b i t m o d e l ，c r e a t e st h ed e t a i l e dm e a s u r e st ol o w e r i n gt h er i s k a tl a s tt h ea u t h o r d i s c u s s e st h es u p e r v i s i o nt om e m a n a g e m e n to fr i s kc o n t r o ls y s t e m a sm er e s e a r c ho ni n f o r m a t i o ns y s t e mr i s k m a n a g e m e n t t h et h e s i s f o c u s e so nt h ep r o c e s sa n dm e a s u r e so fr i s kc o n t r o lo fi n f o r m a t i o ns y s t e m ， a n dd o e sn o td i s c u s si nd e t a i lt h er e l e v a n ti s s u e si nt e c h n i c a ll e v e l ，b u tp a y m o r ea t t e n t i o nt ot h ei tg o v e 晶a n c e k e y w o r d s ：r i s km a n a g e m e n t ，e r m ，c o b i t 2 ，满j 啡毪# 对外经济贸易大学m b a 学位论文 信息系统风险管理 前言 2 0 0 1 年1 1 月至2 0 0 2 年6 月，美国发生了被称为经济界“9 1 1 ”事件的“安然”、 “世通”等公司的财务欺诈丑闻，暴露出美国公司治理结构的不平衡和外部监督缺 失。不仅导致美国资本市场损失了7 万多亿美元的市值，更彻底打击了包括美国在内 的全球投资者对美国证券市场的信心。 为了改变这一被动的局面，美国国会于2 0 0 2 年7 月2 5 日公布了萨班斯一奥克 斯利法案( s a r b a n e s - - o x l e ya c t ，以美国参、众两院提交法案的两位议员的姓氏而 命名，以下简称s o x 法案) ，该法案的全称为2 0 0 2 年公众公司会计改革和投资者 保护法案。s o x 法案是1 9 3 0 年以来美国证券立法中最具影响的法案，其总体目标 是重建全球投资者对美国证券市场的信心，提高投资者所依赖的财务报告的内部控 制。该法案要求“上市公司的首席执行官( c e o ) 和首席财务官( c f o ) 对公司财务 年报和季报数据的真实性和完整性提供个人签字的书面保证，规定上市公司必须在年 度报告中提交一份内部控制报告。在内部控制报告中必须清楚地说明管理层有建立及 维持充分的财务报告内部控制的责任，并且要求必须在年末对其内部控制的有效性做 出评估”。1 在s o x 法案合规过程中，4 0 4 条款规定上市企业必须保证公司管理层建立和维护 内部控制系统及相应控制程序充分有效的责任体系，同时提供管理层最近财年对内部 控制体系及控制程序有效性的证明及内控机制评价报告。内部控制早在1 9 3 4 年美国 证券交易委员会( 以下简称s e c ) 就定义内部控制并且形成规章制度，在近期s a s 第 1 号2 准则中指出了如下的定义： 内部控制包含组织的计划以及业务中所采纳的各种协调方法，用以保全其资产， 核查其会计数据的准确性和可靠性，提升营运的效率，并鼓励遵守既定的管理政策。 这个定义中认识到内部控制体系超出了会计和财务部门的职能，涵盖了所有能够影响 会计数据准确性和可靠性，影响营运效率的职能。随着信息技术的广泛应用，财务报 告的准确、可靠和企业营运的效率越来越多地依赖于所采用的信息系统，因此信息系 统的内部控制成为企业内部控制体系中关键的一部分。 2 0 0 6 年7 月1 5 闩之后，在美国上市的中国公司将按照萨班斯法案要求提交 财务年报，这对中国在美国上市的内地公司在内部控制的要求是一个严峻的考验。比 1 友联时骏顾问，企业内部控制和风险管理s o x 法案释义，复日大学 f j 版社，2 0 0 5 年7 月第一版，p 6 3 。 2s a s 美国注册会计帅机会，“审计准则声叫第l 号”，纽约：a i c p a 2 0 0 2 年版 1 ，潲j q 鼍# 对外经济贸易大学m b a 学位论文 信息系统风险管理 如中国首批“加速”通过的企业：如新浪、搜狐、亚信、u t 斯达康等，在2 0 0 4 财年 审计中，前3 家顺利通过了该法案。u t 斯达康未获通过，给其带来了相当的负面影 响，如美国4 家律师事务所代表股东集体诉讼等。 本文以w t 公司在符合s o x 法案过程中信息系统方面的风险控制为研究对象， 利用c o s o 新框架e r m 与c o b i t 模型相结合，深入分析信息系统的风险控制，为 企业i t 治理提供参考。 - 瓣： 啡电霁对外经济贸易大学m b a 学位论文 信息系统风险管理 第一章信息系统风险管理的理论概述 第一节信息系统风险的基本概念 风险就是由于未来的不确定性，从而对未来目标的实现所产生的影响。信息系统 的风险就是指“特定的威胁利用信息资产的漏洞或弱点从而造成对资产的一种潜在损 害，风险的严重程度与资产受损害的程度和威胁发生的频率成正比”3 。这个定义指 出信息系统风险的三个组成部分：信息资产、威胁和自身的漏洞或弱点，只有这三方 面同时存在，才有可能导致风险的发生。 一、信息资产 信息资产就是“企业目标实现过程需要充分使用的与信息系统相关的所有资源” 4 ，主要包括： 1 、数据与文档：数据库和数据文件、系统文件、用户手册、培训材料、运行与 支持程序、业务连续性计划、应急预案等。 2 、书面文件：合同、指南、企业文件、包含重要业务结果的文件。 3 、软件资产：应用软件、系统软件、开发工具和实用程序。 4 、物理资产：计算机、通讯设备、存储介质( 磁盘、磁带以及光盘) ，其他技 术设备( 供电设备、空调设备) 、家具、办公场所。 5 、人员：员工、客户。 6 、企业形象与声誉。 7 、服务：计算和通讯服务，其他技术服务( 供热、照明、电力、空调) 。 信息资产构成了企业的i t 环境的主体，在不同的时期表现着不同的价值，其大 小不仅仅是由于自身的价值，更重要的方面是其对组织目标实现的重要性和一定条件 下的潜在价值。比如企业的灾难恢复计划，在企业正常运营条件下，恢复计划往往被 视为额外的成本支出，但是一旦出现灾难性的故障，有效地计划实施就会最大限度的 减少企业的损失，其价值得到充分的体现。 二、漏洞或弱点 “漏洞或弱点就是有可能导致信息资产被破坏或不能够执行其功能的任何特征” 3 信息系统风险，i t 安争管理指南( i s o l 7 7 9 9 ) ，出版机构：i s o 国际标准化组织p 4 5 4 信息资产，信息安全管理，作者：孙强陈伟壬冬红出版社；清华人学d 版社，2 0 0 4 年5 月，第一版p 1 5 9 辅： q 瞧# 对外经济贸易大学m b a 学位论文 信息系统风险管理 5 ，设计、管理和执行上的缺陷、设备硬件设计、制造上的缺点、操作系统及应用软 件设计上的不足等，这些固有存在的特征都是信息资产的漏洞或弱点，一旦被有意或 无意的利用，都会导致风险的发生。信息资产的漏洞或弱点不仅仅存在于资产本身， 在其整个生命周期6 中与其相关的任何一个环节都有不同程度的漏洞或弱点。只要企 业中存在信息资产，就不可避免要面对其客观存在的漏洞或弱点。 三、威胁 威胁就是“潜在的或有可能导致信息系统被破坏、机密数据泄露、数据篡改以及 拒绝服务的情形、事件或人”7 。由此可以看出威胁可能来源于某个特定的环境状况， 比如：地震、火灾、洪水等；也可能来自某个事件，比如系统变更、维护操作等；也 可能来自特定的人，比如黑客、病毒制造者等。威胁可以看作是系统外部因素对系统 产生的影响，与系统的漏洞或弱点是相伴而生的，可以说漏洞或弱点是由于外部威胁 引发的，如果消除了漏洞或弱点，威胁也就不复存在了。但是没有弱点的系统是不存 在的，故而威胁也是无处不在的。 第二节信息系统风险管理 一、信息系统风险管理的概念 关于信息系统风险管理目前没有一个统一的、普遍接受的概念，国际信息系统审 计师( c i s a ) 认证资格考试指导9 2 0 0 6c i s a r e v i e wm a n u a l ) ) 中给出如下定义： “风险管理是企业固有的管理活动，通过分析组织在实现其业务目标过程中所使 用的信息资产的存在的漏洞或弱点以及可能面l 临的威胁，判断j x l 险发生的可能性，在 该资产本身价值的前提下，采取相应的控制措施，把风险降低到一个组织可接受的水 平”。8 由此定义可以看出： 1 、i t 的风险管理是一个过程，包括识别风险、评估风险、采取适当的控制措施 降低风险，是一种持续的管理活动。 2 、风险管理的主体是组织在实现其业务目标所使用的信息资产。 3 、风险通常是配对出现的，即信息资产存在漏洞或弱点，并且面临着特定的威 5 胡克瑾，( i t 审计，电子工业出版社，2 0 0 4 年1 月第二版，p 3 8 5 。 胡克瑾，( i t 审计，电子工业出版社，2 0 0 4 年1 月第二版，p 1 8 7 。 7 孙强信息安全管理，清华大学出版社2 0 0 4 年5 月，第一版，p 1 7 9 。 8 信息系统审计和控制坍会( i s a c a ) ，( c i s a r e v i e wm a n u a l2 0 0 6 ，2 0 0 6 年5 月，p 7 8 。 4 犊对外经济贸易大学m b a 学位论文 信息系统风险管理 胁，一旦威胁成功的利用了漏洞或弱点，就会对企业造成损失。 4 、风险是对这种损失出现的一种估算，出现的概率比较高，就是高风险；反之 则为低风险。 5 、风险的控制措施实施成本必须基于该资产为组织所提供的价值，就是风险管 理的成本的最优。 6 、采取相应的措旋主要是为了降低风险、转移风险、避免风险、接受或容忍风 险。 7 、风险管理的目标是把总体风险降低到一个组织可以接受的水平。 二、风险管理过程 风险管理就是一个评估风险并采取应对措施把风险降低到一个企业可以接受的 水平以及对风险管理过程进行持续监控和评估并不断改进完善的循环的过程。下图是 风险管理过程示意图： 图卜1 风险管理过程 1 、风险评估 风险评估是一个很耗时的过程，主要任务是潜在风险的识别，风险分析( 可能性 和影响分析) ，确定关键风险，制定控制措施。在分析过程中要避免出现“分析盲区” 的危险，即忽略了关键风险。因此为了保证风险分析的有效性和及时性，管理层面的 讨论会是必不可少的，讨论会应该有具有丰富的风险知识和各业务单元的代表参加， 溥对外经济贸易人学m b a 学位论文信息系统风险管理 包括部门经理和关键用户、i t 人员、审计人员、专家顾问，他们能够帮助快速的指出 关键风险，确定风险重要性的优先等级。 2 、风险控制 风险控制就是依据风险评估过程的结果，确定风险管理的优先顺序，利用成本 收益的方法评估选择备选的控制措施，选择降低、转移、接受和避免等不同的应对策 略9 ： 1 ) 减少风险：实施相应的控制措施以减少风险发生的概率，比如购买和实施安 全技术保护i t 的基础架构安全。 2 ) 转移风险：与合作者分担风险或购买保险。 3 ) 接受风险：如果减少或转移风险的成本大于其可能造成的损失，企业就选择 接受该风险。 4 ) 避免风险：如果风险降低、转移和接受的成本过大，那么就通过放弃、停止 或中断该项系统而避免风险。 3 、监控和评估 随着信息技术的不断更新和信息系统变更、升级等，必须对已实施的风险管理进 行有效的监控、评估。依据关键成功因素和关键绩效指标对风险管理的效果和效率 进行持续的监控和评估，及时发现缺陷和不足，改正和完善风险管理体系。常见风险 管理的关键成功因素如下： 1 ) 管理层重视和支持； 2 ) i t 团队的全力支持和参与； 3 ) 风险评估团队的能力和经验； 4 ) 风险意识的培训和教育； 5 ) 用户的风险意识、职责和合作意识； 9c o s o ，内部控制综合控制1 9 9 4 年9 月，p 1 7 7 。 o i t 治理协会， c o b f r 4 0 ，2 0 0 5 年7 月，p 3 8 - 4 1 。 6 ，满： 嗡对外经济贸易大学m b a 学位论文 信息系统风险管理 第三节风险管理的常用理论和分析方法 一、风险管理理论 风险管理涉及到很多理论，常见的如下： l 、帕雷托法则( p a r e t o sl a w ) 帕雷托法则( p a r e t o sl a w ) “就是8 0 2 0 法则：“概括性地指出了管理和营销 中大量存在的一种现象，比如：2 0 的顾客为企业产生了8 0 的利润，或2 0 的员：e g , j 造了企业8 0 的绩效”“。在信息系统风险管理中，是指少数的关键风险，却可能造成 严重的损失。恰当的利用这个法则分析信息系统面i 临的威胁，识别关键风险，可以把 有限的资源分配到关键的控制措施上，从而可以减少总的成本支出，获得风险管理的 最大收益。 2 、混沌理论 混沌理论”最初源于早在2 0 世纪6 0 年代早期的一个故事：一个叫爱德华洛伦茨 的气象学家用一台比较老式的电脑模拟天气的变化。模拟程序使用了1 2 个回归方程来 模拟影响天气的初始因素，每次都输入几个变量，然后观察这些初始状态的变化，并 且打印出各种天气条件的图纸。有一次他试着输入以前模拟出的有趣天气现象的变 量，但是最后输出的结果却不相同，排查各种错误，最后发现第一次打印模拟结果时 所用的数字是三位数，而以前一直都是六位数表示，洛伦茨认为，最初的错误也许是 及其微小，但是经过回归方程的计算，微小的初始错误，最后产生更大的影响。这就 是混沌理论的雏形，在信息系统的风险管理中，开始一个微小的错误，比如程序设计 时运用了一个比较低效的函数，虽然在单独模块运行中没有什么影响，但当整个系统 的运行就可能产生巨大的影响，尤其是在数据处理高峰期，有可能引起系统的崩溃。 3 、概率模型 由于未来的不确定性，风险的发生在不同情况下有不同的概率，概率理论常用于 定量的评估方法，就是利用各种数学模型( 概率模型) 对比较复杂的且有一定规律的 业务活动进行风险评估，比如利用可能的概率估计风险水平，下列3 3 列风险水平矩 阵”就是一个利用概率确定风险水平矩阵的例子。 下表中威胁发生的可能性高为1 0 ，中为0 5 ，低为0 1 ：所造成的影响( 损失值) ， “m a c h a e lj c e r u l l o ，( i n f o r m a t i o ns y s t e m sc o n t r o lj o u r n a l s ，i s a c a ，2 0 0 6 年6 月第三期，p 4 6 。 “s t e v e njr o o t ，超越c o s o ) ，中信出版社，2 0 0 3 年7 月第一版，p 2 9 。 ”孙强，信息安伞管理，清华大学i l ；版社，2 0 0 4 年5 月，第一版，p 1 9 4 。 7 ，癣躺j 嵝簪# 对外经济贸易大学m b a 学位论文信息系统风险管理 高为1 0 0 ，中为5 0 ，低为1 0 ，数值相乘得出各个风险水平： 表1 - 1 ：风险水平矩阵表 威胁发生的可能性影响 高( 1 0 0 ) 中( 5 0 ) 低( 1 0 ) 高( 1 o )高( 1 0 0 1 ) = 1 0 0中( 5 0 )低( 1 0 ) 中( 0 5 )中( 5 0 )中( 2 5 )低( 5 ) 低( 0 i )低( 1 0 )低( 5 )低( i ) 备注：风险水平标准：高( 5 0 1 0 0 ) ，中( 1 0 5 0 ) ，低( i 0 以下) 资料来源：n i s t ， c o n v e r g e n ts e c u r i t yr i s k si np h y s i c a ls e c u r i t y ) ) 从上述风险矩阵所示的高风险水平指处于高风险状态，需要立即采取纠正措旅； 中风险状态指在一段合理的时间内采取相应控制措施；低风险状态需要判断相应控制 措施成本，决定是实施控制以降低风险还是接受风险。 二、分析方法 1 、计划评审技术( p e r t ) p e r t 分析常用于项目管理中的时间估计，即当具体活动历时估算存在很大的不 确定性时，用来估计项目历时的网络分析技术。p e r t 分析认为未来状态分为乐观的、 最可能的和悲观的三个状态，并通过加权平均估计最可能的时间： p e r t 加权平均= ( 乐观时间+ 4 最可能时间+ 悲观时间) 6 1 4 利用p e r t 分析技术估计企业的信息系统威胁的估计损失，假定企业的信息系统 存在三种威胁，分别表示为t 1 、t 2 、t 3 ，这三种威胁的三个状态下的数据( 估计值) 如下表所示： 表：三种威胁造成的预期损失估计表 威 最大损失( a )最可能损失( b )最小损失( c ) 期望损发生概年预期损 胁失 盎 失 t l i ，0 0 0 ，0 0 0 5 0 0 0 0 0 5 0 ，0 0 0 5 0 8 。3 3 3o 1 05 0 ，8 3 3 t 2 7 5 5 ，0 0 05 0 0 ，0 0 05 0 ，0 0 04 6 7 5 0 0 0 0 5 2 3 。3 7 5 1 3 5 0 0 ，0 0 02 0 0 。0 0 0 1 0 ，0 0 0 2 1 8 3 3 3o 0 3 6 ，5 5 0 年预期损失合计：8 0 ，7 5 8 资料来源： t h r e a ta s s e s s m e n ta n ds e c u r i t ym e a s u r e s ) ) ，m i c h a e lj c e r u l l o ， “m a c h a e lj c e r u l l o ，i n f o r m a t i o ns y s t e m sc o n t r o lj o u m a d ，1 s a c a ，2 0 0 6 年6 月第三期，p 4 6 8 嬉对外经济贸易大学m b a 学位论文 信息系统风险管理 上述表中数据： 1 ) 三种状态损失是根据p e r t 分析的概率分布数据。 2 ) 期望损失根据公式( a + 4 b + c ) 6 所得，比如t 1 的期望损失就是 ( 1 0 0 0 ，0 0 0 + 5 0 0 ，0 0 0 + 4 + 5 0 ，0 0 0 ) 6 = 5 0 8 ，3 3 3 3 ) 发生概率就是每年发生的次数，比如t 1 的0 1 概率，就是每1 0 年发生一次；o 0 5 ， 表示2 0 年发生一次；o 0 3 表示3 0 年发生一次。 4 ) 年预期损失就是期望损失+ 发生概率，比女1 1 t 1 = 5 0 8 ，3 3 3 * 0 1 = 5 0 ，8 3 3 ，其他两组 数据依次计算所得。 通过p e r t 分析可以估计的计算出每个威胁的年预期损失。具体使用时相关数据 可以由企业的历史记录和相关的公众出版物获得，比如保险公司公布各威胁的统计情 况参考所得。根据最后的计算结果，对威胁进行优先排序，识别关键威胁，为接下来 的风险应对措施提供参考依据。 2 、成本收益分析法 资源包括人、财、物以及时间等永远都是有局限的，因此在各选方案选择中成本 与预期收益的平衡或收益大于成本就是最终标准。应对方案的成本一般包括： 1 ) 硬件和软件购置成本。 2 1 控制措施实施造成的性能下降。 3 1 相关政策和流程的实施成本。 4 ) 人力成本。 5 ) 培训成本。 6 ) 维护成本。 7 1 所耗费的时间成本。 8 ) 可能引发新风险的成本。 一般情况下对于成本的核算比较容易量化，且相对比较准确，但其中的无形成 本诸如时间和付诸的努力就比较难以量化。预期收益往往比较难以量化，比如员工的 信息安全培训，其效果是明显的，增加了员工的安全知识，降低风险的发生。但是很 难量化培训的收益。另外风险可能性的降低、可能的财物损失减少、业务影响程度的 降低以及公信力的提升等都是实施恰当的风险应对措施所带来的收益，但是都很难通 过量化的指标来表述，所以对收益多采用主观的以及经验的估计。 9 。潲： 嵝哇# 对外经济贸易人学m b a 学位论文 信息系统风险管理 第二章w t 公司s 0 x 法案合规项目简介 第一节s o x 法案合规介绍 s o x 法案合规关键环节在于4 0 4 条款的合规，该条款规定上市企业必须保证公 司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系，同时提供管 理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。 一、4 0 4 条款合规要求 4 0 4 条款合规的主要关注点在于如何达到使财务报告过程具有自身存在的、内在 的可靠性。由于产生最后财务报告的各业务流程对信息技术的依赖程度逐年增加，比 如财务系统、e r p 系统等等，这些应用系统的使用使得业务的执行更加及时、高效、 全面及准确，财务报告所记载的交易的获取、记录、累积、总结及呈报，均需依靠计 算机、信息系统、应用软件及其他技术性的工具和软件来完成。因此来自i t 的控制 及风险是否有效，会直接影响财务报告内部控制体系的有效性。 上市公司在建立和评估内部控制体系时主要遵从c o s o 的内部控制一综合框架 的指引，从五个方面重新梳理业务流程，寻找关键风险点开始，建立适合本企业的内 部控制体系。 c o s o 是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控 制和法人治理结构以提高财务报告的质量。1 9 8 5 年，由美国注册会计师协会( a i c p a ) 、 会计协会( a a a ) 、财务经理协会( f e d 、内部审计师协会( i i a ) 、管理会计师协会 ( i m a ) 联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生 的原因，并寻求解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员 会的建议，其赞助机构成立了c o s o 委员会，专门研究内部控制问题。 反虚假财务报告委员会于1 9 8 7 年签署了报告，号召研究并制定一个统一的内部 控制框架。1 9 9 2 年9 月，c o s o 委员会提出了报告内部控制一整体框架( 1 9 9 4 年 进行了增补) ，即c o s o 内部控制框架，共包括控制环境、风险评估、控制活动、信 息与沟通、监督等五个组成部分。c o s o 内部控制框架被广泛地选择作为构建和完善 内部控制体系的标准。 二、企业风险管理整合框架 c o s o 于2 0 0 4 年9 月发布了八要素的新框架，即企业风险管理整合框架( 以下 1 0 。潜。 q 麟对外经济贸易大学m b a 学位论文 信息系统风险管理 简称e r m ) 。“新框架”在保持“老框架”五个组成部分的基础上，做了两点改进。一是 将“老框架”中“控制环境”的三大要素，细化为“新框架”的“内部环境、目标设定、事件 识别”三部分；二是“新框架”中“风险应对”部分是“老框架”中“风险评估”部分的应对措 施。而其余三个组成部分，即“控制活动、信息与沟通、监控”则保持不变。e r m 可以 由下图的三维立方体加以说明： 1 、第一维是目标，框架的设立旨在实现 战略、经营、财务报告及符合性的目标。 ( 图的顶部从左到右) 2 、第二维是框架设计的范围 层面( 图的右面从前到后) ，这 说明框架的制定必须从几个层面 着手。 3 、第三维是框架的八个组成部分： 1 ) 内部环境：确定了整个组织的 图2 - 1e r m 框架模型图 资料来源：e r m 报告 基调，为组织内的人员如何认识和对待风险提供了基础，包括风险管理理念、 风险容量、价值观、企业文化以及所处的经营环境等。该部分是框架的基础， 影响着其他几个部分。 2 ) 目标设定：企业的风险管理首先确保管理层采取适当的程序去设定目标，确 保所选定的目标支持和切合企业的使命，并且与其风险容量相符。 3 ) 事项识别：识别影响目标实现的内部和外部事项，区分风险和机会。机会及 时反馈给管理层的战略或目标的制定过程中；风险要加以恰当的控制。 4 ) 风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为如何 进行管理的依据。 5 1 风险应对：选择适当的应对策略，诸如回避、接受、降低或转移风险等，并 采取一系列行动把风险总量控制在企业风险容量范围之内。 6 ) 控制活动：制定和执行政策与程序以帮助确保风险应对得以有效实施。 7 ) 信息与沟通：包括若干程序和系统，以确保相关信息的确认、获取和交流必 须在一定时间框架内进行，使员工能够各行其责。 8 1 监控：对企业风险管理进行全面监控，必要时加以修f 。 。游 j q 曝对外经济贸易人学m b a 学位论文信息系统风险管理 新框架的八要素更细化了内部控制体系的要求，但是该框架并没有特别制定针对 信息系统风险管理的框架指导，只是企业总体风险的管理框架，包括诸如财务风险、 经营风险等等。因此选择和美国i t 治理协会( i t g i ) 颁布的信息及相关技术控制 目标( 以下简称c o b i t ) 结合分析信息系统的风险管理，是目前许多企业普遍采用 的方法。 三、信息及相关技术控制目标 c o b i t 是一个全面的i t 控制框架，把整个企业的i t 控制环境分为规划和组织 ( p o ) 、获取和实施( a i ) 、交付和支持( d s ) 和监控和评估( m e ) 4 大领域，3 4 个流程，提出3 1 8 个详细控制目标，通过对关键绩效指标和关键成功因素的控制，实 现对i t 资源( 包括应用、信息、基础架构和人) 的有效使用，最后实现信息系统所 提供的数据或服务的“有效性( e f f e c t i v e n e s s ) 、高效性( e f f i c i e n c y ) 、机密性 ( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用性( a v a i l a b i l i t y ) 、符合性( c o m p l i a n c e ) 及可靠性( r e l i a b i l i t y ) ”从而支持企业目标的实现。 四、e r m 框架和c o b 汀模型的结合 企业的信息系统的风险管理的本质就是合理的保障信息系统提供及时、有效、高 效、连续、可靠的服务和数据以支持业务e t 标实现的能力，这与c o b i t 的控制目标( 信 息数据的七大标准) 是相符合的，所以利用c o b i t 与e r m 框架相结合分析企业信息系 统风险是一个非常有效的分析方法。针对w t 公司信息系统基本控制的风险管理，利 用e r m 与c o b i t 模型相结合，形成如下的三维立方体模型，做为本文的分析模型： 第一维是风险管理的目标，b p c o b i t 模型的七个信息数据标准，风险管理的最终 目标就是要实现所提供信息数据的有效性、高效性、机密性、完整性、可用性、符合 性和可靠性。 第二维是分析的范围，就是w t 公司信息系统基本控制的四个方面，包括信息系 统安全管理、信息系统操作管理、系统变更管理和应用系统、数据库的实施与支持。 第三维是分析的内容，即e r m 的八个组成部分。 结合后的框架模型参见附表3 c o b 汀与e r m 匹配表，详细列出了c o b 汀模型 的3 8 个流程与e r m 的8 个组成部分的匹配，做为本文研究所依据的框架模型。 ”j t 治理协会，c o b i t4 0 ，i t g i ，2 0 0 5 年7 月，p 5 7 5 9 。 1 2 。z 螽j q q ；对外经济贸易大学m b a 学位论文信息系统风险管理 第二节w t 公司s o x 法案合规项目 一、w t 公司简介 w t 公司是中国特大型电信企业，是北京2 0 0 8 年奥运会固定通信服务合作伙伴， 是国内外知名的电信运营商，具有1 0 0 多年的悠久历史，2 0 0 4 年1 1 月，w t 公司在 纽约、香港成功上市。w t 公司是经国务院同意进行国家授权投资的机构和国家控 股的试点单位，由中央直接管理，在国家财政及相关计划中实行单列，注册资本为 6 0 0 亿元人民币，资产总额近3 0 0 0 亿元。 w t 公司拥有覆盖全国、通达世界、结构合理、技术先进、功能齐全的现代通信 网络，主要经营国内、国际各类固定电信网络设施及相关电信服务。截至2 0 0 5 年底， 其各类用户总数已达到1 3 5 亿户，主要产品与服务如下： 1 、固定电话服务( 包括本公司的p h s 服务) ，包括：本地、国内长途和国际长 途电话服务；增值服务，包括来电显示和电话信息服务；及为其它国内电 信运营商提供的网问互联服务等。 2 、 宽带和其它互联网相关服务，包括数字用户线路( d s l ) 、局域网( l a n ) 、拨 号上网和其它服务等。 3 、商务和数据通信服务，包括d d n 、帧中继、a t m 、i p ，v p n 和网元出租 服务等。 4 、国际电信服务，包括到中国或其它亚太国家和地区落地或透过中国或其它亚 太国家和地区转接的国际来电的国际语音服务，以及向中国境外的企业和运 营商客户提供的网元出租、互联网接入、管理型数据服务和其它电信服务等。 二、w t 公司s o x 法案合规 w t 公司从2 0 0 5 年起，为了符合s o x 法案4 0 4 条款的要求，开始了内部控制体系建 立和评估。首先在山东分公司进行试点，按照“达标”设计，满足外部审计的基本要 求，选用c o s o 内控框架进行体系设计，重点关注与财务报告相关的内部控制体系建 设。分别从公司层面和流程层面全面、系统地进行内部控制体系的设计，详细确定内 部控制的范围、要点及应对措施。 在公司层面，根据c o s o 内控框架要求，遵从五个组成要素指引，详细制定了控 制环境、风险评估、控制活动、信息与沟通、监控及反舞弊及管理层越权等六个方面 的内部控制体系，并从职业道德、员工的胜任能力、公司目标的确定和沟通、关注关 ，濑， q 喏对外经济贸易大学m b a 学位论文 信息系统风险管理 键领域内部控制、内部沟通、外部沟通、决策信息支持、信息系统开发与维护、信息 系统安全、持续监控、独立评估和缺陷报告等具体方面对内部控制关注要点及对应的 措施。 在流程层面，根据会计科目对财务报告的影响程度和披露事项的重要性确定了与 财务报告相关的十三个业务流程，包括收入一市场、收入一网络运营维护、收入一计费、 人力资源与人工成本管理、采购及支出、存货管理、固定资产及在建工程、一般会计 处理和报告流程、预算管理、税务管理、资金管理、信息系统基本控制一i t 和通信 设备( 计费相关) 基础维护。 三、w t 公司的信息系统基本控制 在s o x 合规项目中涉及到i t 的内部控制体系主要包括基本控制( 以下简称 i t g c ) 1 6 和应用控制( i t a c ) 1 7 两个方面，一般控制就是包括系统开发、程序变更、 计算机操作、程序及数据访问及物理环境的风险控制；应用控制是保证信息数据完整、 准确、有效、授权的逻辑控制及相关的权责分配等。本文仅选择w t 公司的基本控制 作为研究对象。 w t 公司的信息系统基本控制主要包括信息系统安全、信息系统操作、变更管理 及应用系统、数据库的实施与支持这四个层面的流程控制，具体的结构如下图2 2 所 刁r ： ”：p r o t i v i t ic o ，( s o x 法案指南：信息技术风险及拧制，出版机构：p r o t i v i t i ，2 0 0 5 年4 月，p 5 ”：p r o t i v i t ic o ，( s o x 法案指南：信息技术风险及控制，出版机构：p r o t i v i t i ，2 0 0 5 年4 月，p 6 1 4 。潲： q 嚏# 对外经济贸易大学m b a 学位论文 信息系统风险管理 图2 2w t 公司it g c 体系结构图 资料来源：根据w t 公司s o x 合规项目报告整理得到 四、w t 公司信息系统基本控制的流程 w t 公司信息系统基本控制的流程图如图2 3 所示。其中四个部分信息系统安全、 信息系统操作、变更管理和应用系统、数据库实施与支持等又分别细化为几个字流程， 简单描述如下： 1 、信息系统安全管理 信息系统安全管理是指公司安全管理方面一般安全管理规范的制定、企业基本安 全准则，操作系统，数据库，应用系统，网络安全管理方面的般性流程，包括对用户、 系统的管理以及安全监控等方面；防病毒安全管理的体系规划与部署、病毒预警、病 毒检查和恢复等工作流程；物理安全管理的机房准入制度，机房环境监控等处理过 程。详细地流程控制参见流程图中的g c 0 1 0 0 信息系统安全部分。 2 、信息系统操作管理 。潲： 啡畸对外经济贸易大学m b a 学位论文 信息系统风险管理 信息系统操作是指批处理程序的需求提出、需求分析、编程实现、测试、审批、 运行及核对的整个处理过程；在保护公司的重要信息和数据时采用的总体的备份策 略及操作系统、数据库系统、应用系统、网络等的备份处理流程；紧急应变及系统恢 复是指操作系统、数据库、应用系统以及网络出现重大故障时或发生重大灾难时的紧 急应变及系统恢复流程，保证企业业务系统的持续运行。控制流程参见图2 - 3 中 “g c 0 2 0 0 信息系统操作”部分。 3 、变更管理 变更是对已上线系统的升级和修改，控制流程主要包括变更管理和测试验收，具 体管理流程参见图2 - 3 中“g c 0 3 0 0 变更管理”部分。 4 、 应用系统、数据库实旌与支持 包括应用系统采购和应用系统与数据库开发& 实施两个子流程。应用系统采购流 程是指公司关于应用系统外包厂商管理政策，应用系统采购的提出、立项、审批、采 购合同的签订和管理等流程。应用系统与数据库开发& 实施流程按照软件开发生命周 期的方法论，其中开发阶段主要包括需求分析、程序设计、编码和测试，以及开发期 间的变更管理等；实施阶段主要包括系统割接、试运行、初验、正式运行、终验和后 评估等。控制流程参见图2 3 中“g c 0 4 0 0 应用系统、数据库实施与支持”部分。 1 6 对外经济贸易大学m b a 学位论文信息系统风险管理 图2 3 ：w t 公司i t g c 控制流程圈 资料来源：根据w t 公司s o x 合规项目报告整理得剑 1 7 蹙对外经济贸易人学m b a 学位论文 信息系统风险管理 第三章w t 公司信息系统的风险评估 风险评估是信息系统风险管理的第一个阶段，主要是收集、归纳影响风险管理的 因素，界定风险管理范围，制定风险管理目标体系，识别信息系统面临的威胁和自身 的漏洞或弱点，并对风险发生的可能性和造成的影响进行分析，建立风险水平矩阵， 确定关键风险，为下一阶段的风险控制提供准备工作。 第一节影响风险管理的因素 影响风险管理的因素主要包括公司层面的因素，与e r m 框架的内部环境部分相 匹配。影响信息系统风险管理公司层面的因素主要包括职业道德、风险管理文化、高 层管理者、管理理念和经营风格、权责分配、组织结构、员工胜任能力及人力资源政 策等各个方面。公司层面的因素决定风险管理的基调，直接影响组织人员对风险的认 识、识别、评估和风险应对。 一、职业道德 公司的目标及目标实现的方式基于该公司的优先选择、价值判断和管理层的经营 风格，这些优先选择和价值判断反映出公司管理层的诚信及其信奉的道德价值观。职 业道德既有公司制度约束的一面，更有从业者自身人品和修养的一面。比如w t 公司 制定高级管理人员道德守则，对高级管理人员的管理理念、正直与诚信原则、利 益冲突的处理方式、披露与保密重要信息等方面提出明确要求和应遵守准则。另外如 w t 公司员工道德准则、关键岗位管理暂行办法等规章制度，约束员工的行 为，防止关键信息的泄漏。 二、风险管理文化 风险管理文化就是企业对待风险态度及管理的方式、重视程度，具体包括以下三 个子文化： i 、风险管理理念 “企业的风险管理理念( r i s km a n a g e m e n tp h i l o s o p h y ) 就是企业面对风险的态度， 以及在不同的情景下如何执行其业务活动，反映在企业对风险管理的期望收益以及相 关管理政策”1 8 。比如追求系统稳定赢得信誉、减少i t 项目投资风险、提升风险控制 ”c o s o ，( e r me x e c u t i v es u m m a r y $ ，2 0 0 4 年9 月，p 1 9 1 8 。缵： u i 咚# 对外经济贸易大学m b a 学位论文 信息系统风险