互聯(lián)網(wǎng)給我們帶來便利的同時(shí),網(wǎng)上行動(dòng)的遠(yuǎn)程化以及互聯(lián)網(wǎng)“無政府狀態(tài)”����,使得信息安全面臨嚴(yán)峻的挑戰(zhàn)���,即使是一個(gè)中學(xué)生�����,通過黑客網(wǎng)站的簡(jiǎn)單培訓(xùn)�����,也能發(fā)起具有危害性的攻擊����。目前互聯(lián)網(wǎng)上黑客網(wǎng)站已超過3萬個(gè),一些有影響力的黑客網(wǎng)站的會(huì)員超過萬人�。黑客攻擊網(wǎng)站的行動(dòng)此起彼伏,造成許多商業(yè)網(wǎng)站���、政府網(wǎng)站被入侵����,大量網(wǎng)銀用戶網(wǎng)上銀行存款被盜�,許多敏感機(jī)密信息被泄露。
據(jù)統(tǒng)計(jì)去年產(chǎn)生的電腦病毒和木馬的數(shù)量達(dá)到23萬個(gè)��,其中90%以上帶有明顯的利益特征,有竊取個(gè)人資料�、各種賬號(hào)密碼等行為,嚴(yán)重威脅著互聯(lián)網(wǎng)的安全�����。第一毒王“熊貓燒香”病毒己造成超過一千萬的個(gè)人及企業(yè)用戶中毒�����,直接及間接經(jīng)濟(jì)損失高達(dá)億元以上��。
IT績(jī)效風(fēng)險(xiǎn)
國(guó)內(nèi)在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大�����,高投入帶來了高風(fēng)險(xiǎn)����。根據(jù)商務(wù)部研究院信息咨詢中心提供的數(shù)據(jù),2005年我國(guó)在信息化改造提升方面的投入達(dá)到了2829億�����,2006年是3227億元�,預(yù)計(jì)2007年將達(dá)到4236億元�����。從2005到2007年中國(guó)行業(yè)信息化投入的絕對(duì)增加額將達(dá)到 1300億以上,未來幾年行業(yè)信息化IT投入將進(jìn)入了高增長(zhǎng)期��。如果IT投資行為如果不能帶來合理的回報(bào)�����,將使組織面臨巨大風(fēng)險(xiǎn)�����。這幾年國(guó)內(nèi)信息化失敗的案例比比皆是�����,如果規(guī)劃不當(dāng)��、控制不嚴(yán)����,IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值,那么�,巨額的信息化投入很可能造成新一輪的“投資黑洞”
IT績(jī)效風(fēng)險(xiǎn)另一表現(xiàn)就是對(duì)IT的投資績(jī)效和運(yùn)行績(jī)效不能進(jìn)行有效測(cè)量��。不能測(cè)量意味著無法了解當(dāng)前IT系統(tǒng)的“健康狀況”����,就不能有效地發(fā)現(xiàn)存在的問題����,并采取有針對(duì)性的改進(jìn)措施。
合規(guī)性風(fēng)險(xiǎn)
由于IT在社會(huì)和經(jīng)濟(jì)生活越來越充當(dāng)重要角色��,國(guó)內(nèi)外近年來出臺(tái)了許多法律法規(guī)加強(qiáng)對(duì)IT的監(jiān)管����。
例如,2002年美國(guó)國(guó)會(huì)發(fā)布了《薩班斯—奧克斯利法案》��,在這個(gè)法案中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理��,建立有效的內(nèi)部控制框架�����,以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性�,從而保護(hù)投資者及其他目的。在美國(guó)上市的公眾公司需要投入大量的人力���、物力和財(cái)力來建立內(nèi)部控制�����,中國(guó)在美國(guó)上市的中石化���、中國(guó)人壽、新浪���、亞信等企業(yè)也為此付出了巨大的努力����。據(jù)美國(guó)Financial Executive International組織對(duì)321個(gè)公司的調(diào)查顯示�����,在一個(gè)規(guī)模比較大��、年?duì)I業(yè)收入超過50億美元的公司����,建立此體系至少需要470萬美元,維系其運(yùn)轉(zhuǎn)需要每年150萬美元�����。
雖然薩班斯法沒有直接明確對(duì)IT的要求,但企業(yè)在實(shí)施符合法案要求的內(nèi)控過程時(shí)�,發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上,這是因?yàn)橐环矫鍵T要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段�����,例如�����,對(duì)財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性���、完整性控制�,以及對(duì)業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng);另一方面IT本身的風(fēng)險(xiǎn)����,例如網(wǎng)絡(luò)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)���、應(yīng)用風(fēng)險(xiǎn),也是薩班斯法關(guān)注的重要內(nèi)容�,特別是如何使已有的IT流程和應(yīng)用系統(tǒng)中的控制符合薩班斯法的要求是CIO最為頭痛的問題����。
近年來��,國(guó)內(nèi)行業(yè)主管部門一直在要求企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理��。2004年9月30日中國(guó)銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》�,旨在為規(guī)范和加強(qiáng)對(duì)商業(yè)銀行內(nèi)部控制評(píng)價(jià),督促商業(yè)銀行建立內(nèi)部控制體系����,健全內(nèi)部控制機(jī)制����,保證商業(yè)銀行穩(wěn)健運(yùn)行,其中包括了對(duì)建立銀行計(jì)算機(jī)系統(tǒng)內(nèi)部控制的要求��。2006年3月1日銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》����,直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求。與此同時(shí)��,其他行業(yè)監(jiān)管部門也準(zhǔn)備出臺(tái)類似的風(fēng)險(xiǎn)管理措施����。中國(guó)財(cái)政部于2006年1