COSO風(fēng)險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法��,我國銀監(jiān)會發(fā)布的《商業(yè)銀行內(nèi)部控制評價試行辦法》也采用了COSO內(nèi)控體系的方法論��,其中也涉及了IT內(nèi)控制的內(nèi)容���。COSO風(fēng)險管理框架給我們有以下啟發(fā):
要站在企業(yè)管理者的角度來看待風(fēng)險���,企業(yè)風(fēng)險是由包括IT風(fēng)險在內(nèi)的其他風(fēng)險組合而成。
強調(diào)“人”的重要性��,組織中的每一個人對風(fēng)險管理都負有責(zé)任;
強調(diào)“軟控制”的作用�����?�!败浛刂啤敝饕改切儆诰駥用娴氖挛?��,如高級管理階層的管理風(fēng)格����、管理哲學(xué)�、企業(yè)文化、內(nèi)部控制意識等����,“軟控制”影響人的行為。
強調(diào)風(fēng)險管理是一個“動態(tài)過程”�,風(fēng)險管理是一個發(fā)現(xiàn)問題、解決問題���、發(fā)現(xiàn)新問題���、解決新問題的循環(huán)往復(fù)的PDCA過程�。
明確指出內(nèi)部控制只能做到“合理”保證�����,目標(biāo)達成的可能性受許多先天條件不足及各種“不確定性”的影響���。
沒有不花錢的內(nèi)部控制��,也不存在完美無缺的內(nèi)部控制�����。
三��、COSO框架下的IT風(fēng)險管理框架
企業(yè)在實施風(fēng)險管理過程中�����,四個目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容,其八個過程也有相應(yīng)的IT內(nèi)容�,例如:COSO的“控制環(huán)境”對應(yīng)著IT的“IT治理���、法規(guī)及標(biāo)準(zhǔn)符合性”,“風(fēng)險評估”對應(yīng)著“IT風(fēng)險評估及影響分析”等���。
這八個方面的各項控制又可進一步分三個層次的控制����,一是公司層控制���、二是應(yīng)用層控制���,三是一般控制層或稱基礎(chǔ)層控制。
公司級控制
公司級控制主要與COSO中的控制環(huán)境及風(fēng)險評估有關(guān)���,為一般控制和應(yīng)用控制設(shè)置基調(diào)�。公司級控制一般包括以下內(nèi)容:
最高管理層設(shè)定的基調(diào)與方向
職業(yè)道德中的正直性����、價值觀、勝任能力
IT管理哲學(xué)和業(yè)務(wù)運行類型
對IT管理層的授權(quán)與責(zé)任
IT政策與程序
IT組織中人員的責(zé)任與技能
一般控制
一般控制就是保證計算機信息系統(tǒng)能夠以持續(xù)�、正確的方式運行的政策與程序,包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護��、訪問安全�、應(yīng)用系統(tǒng)開發(fā)和維護等內(nèi)容。一般控制能對通過編程實現(xiàn)的應(yīng)用系統(tǒng)控制機能提供支持���,一般控制有時也稱為一般計算機控制和信息技術(shù)控制�����。一般控制過程主要包括:
安全管理
應(yīng)用系統(tǒng)變更控制
數(shù)據(jù)管理
災(zāi)難恢復(fù)
數(shù)據(jù)中心運營
問題管理
資產(chǎn)管理
應(yīng)用控制
應(yīng)用控制是為保證業(yè)務(wù)過程的正常運行����,而設(shè)計在應(yīng)用系統(tǒng)中控制措施����,以防止和檢測錯誤的和非授權(quán)的交易,保證交易處理的完整性����、準(zhǔn)確性、合法性及適當(dāng)授權(quán)�����。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制:
進行計算時;
實施數(shù)據(jù)合法性驗證和編輯檢查時;
與其他系統(tǒng)有數(shù)據(jù)接口時;
管理層需要依靠應(yīng)用系統(tǒng)進行完整、準(zhǔn)確的排序��、匯總和報告關(guān)鍵信息時;
限制對交易和數(shù)據(jù)訪問時���。
IT風(fēng)險管理的過程也類似于企業(yè)風(fēng)險的過程,主要有以下風(fēng)險識別�、風(fēng)險分析、風(fēng)險處理���、風(fēng)險監(jiān)督��、風(fēng)險報告及改進的過程:
以上三個層次的IT風(fēng)險管理��,在組織中可以分階段地通過一個個的IT風(fēng)險控制項目�,例如COBIT�����、ISMS���、ITSM�、BCP��、CMMI等進行實施,也可以選擇其中的某些過程進行整合后實施����。
對于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險,還需要通過第三方對組織內(nèi)部措施的有效性進行獨立審計�����,出具審計報告����,以證明內(nèi)部控制措施完備性。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險控制框架時的主要方法����,這種方法的主要優(yōu)點是把IT風(fēng)險放在企業(yè)風(fēng)險的高度進行管理,容易得到管理層的理解與支持���,涉及的風(fēng)險較全面���,控制與改進的方法較完備。缺點是控制的粒度還較粗�����,還不能適當(dāng)對IT進行精細控制的要求。
四�、適用的IT風(fēng)險管理框架
我們結(jié)合以上內(nèi)容,