0月發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)�,其目的是為推動(dòng)企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制��。企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)的成立����,預(yù)示著我國企業(yè)在內(nèi)部控制方面將迎來一部類似美國《薩班斯法案》的標(biāo)準(zhǔn)體系��,屆時(shí)必將對(duì)IT風(fēng)險(xiǎn)控制提出相應(yīng)的要求。
這些方面并沒有涵蓋所有的IT風(fēng)險(xiǎn)����,反映的問題也只是冰山之一角,不同的行業(yè)在不同的時(shí)期���,其IT風(fēng)險(xiǎn)有著不同的表現(xiàn)形式��。在應(yīng)對(duì)這些IT風(fēng)險(xiǎn)時(shí)���,我們也曾有過各種風(fēng)險(xiǎn)控制方法和模型,但一般都是針對(duì)技術(shù)風(fēng)險(xiǎn)提出來的�,偏重于某一技術(shù)領(lǐng)域,而且大多是采用事后反應(yīng)式的控制措施���。在信息化的整合見效期�,這種單一的“救火模式”將使我們疲于應(yīng)付各種層出不窮的風(fēng)險(xiǎn)���。特別對(duì)于像制度����、流程�����、人員行為等方面有可能涉及組織核心價(jià)值的風(fēng)險(xiǎn),傳統(tǒng)的控制方法存在明顯不足��。
科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的�����、全局性的控制機(jī)制��,能融合防范與應(yīng)對(duì)信息安全���、IT治理��、IT管理���、IT服務(wù)、IT應(yīng)用�、IT項(xiàng)目、IT基礎(chǔ)設(shè)施���、業(yè)務(wù)連續(xù)性���、IT外包等方面的風(fēng)險(xiǎn)��,并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)���,使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合��,促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值��,以實(shí)現(xiàn)有效益的信息化��。
二�、COSO企業(yè)風(fēng)險(xiǎn)管理框架
在研究與探討IT風(fēng)險(xiǎn)管理框架時(shí),讓我們先跳出IT���,從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風(fēng)險(xiǎn)��,順著這樣的思路��,接合我們國內(nèi)IT風(fēng)險(xiǎn)控制的具體情況����,我們建立一個(gè)既符合COSO要求�����,又能指導(dǎo)企業(yè)一步步實(shí)施對(duì)IT的風(fēng)險(xiǎn)控制的IT風(fēng)險(xiǎn)管理框架。
從行業(yè)監(jiān)管者和企業(yè)管理層來看��,對(duì)企業(yè)風(fēng)險(xiǎn)進(jìn)行控制是保護(hù)企業(yè)核心競爭力的有效手段��,IT風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理的有效組成部分���。不管是什么規(guī)模的組織�,都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險(xiǎn)���,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新�����,才能保證企業(yè)健康�、持續(xù)地發(fā)展�����,有效的風(fēng)險(xiǎn)管理己成為企業(yè)發(fā)展的主旋律����。
COSO是行業(yè)監(jiān)管者及企業(yè)管理者最常使用的風(fēng)險(xiǎn)管理框架���。COSO企業(yè)風(fēng)險(xiǎn)管理框架于2004年4月由美國COSO委員會(huì)正式頒布。COSO委員會(huì)認(rèn)為企業(yè)風(fēng)險(xiǎn)管理是一個(gè)由企業(yè)的董事會(huì)����、管理層和其他員工共同參與的,應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個(gè)層次和部門的���,用于識(shí)別可能對(duì)企業(yè)造成潛在影響的事項(xiàng),并在其風(fēng)險(xiǎn)容納量(Risk Appetite)范圍內(nèi)管理風(fēng)險(xiǎn)的��,為企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理保證的過程����。此框架要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待風(fēng)險(xiǎn),對(duì)包括IT風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)進(jìn)行識(shí)別并采取措施使企業(yè)所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)容納量的范圍內(nèi)�。
COSO管理框架的主要內(nèi)容:
風(fēng)險(xiǎn)管理目標(biāo)
確定企業(yè)的戰(zhàn)略
提高企業(yè)運(yùn)營效率,取得好的經(jīng)營效果;
保證企業(yè)報(bào)告的可靠性;
遵循相關(guān)法律法規(guī)的要求�。
為達(dá)成以上目標(biāo),管理風(fēng)險(xiǎn)的主要過程有:
控制環(huán)境
任何企業(yè)的核心是企業(yè)中的人及其活動(dòng)��。人的活動(dòng)在環(huán)境中進(jìn)行����,人的品性包括操守����、價(jià)值觀和能力等���,它們是構(gòu)成環(huán)境的重要要素之一���,又與環(huán)境相互影響、相互作用��。環(huán)境要素是推動(dòng)企業(yè)發(fā)展的引擎�����,也是其他要素的核心��。
目標(biāo)制定
在風(fēng)險(xiǎn)管理框架中���,由于要針對(duì)不同的目標(biāo)分析其相應(yīng)的風(fēng)險(xiǎn)���,因此目標(biāo)的制定自然就成為風(fēng)險(xiǎn)管理流程的首要步驟,并將其確認(rèn)為風(fēng)險(xiǎn)管理框架的一部分����。
事項(xiàng)識(shí)別
企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制框架都承認(rèn)風(fēng)險(xiǎn)來自于企業(yè)內(nèi)��、外部各種因素��,而且可能在企業(yè)各個(gè)層面上出現(xiàn)���,并且應(yīng)根據(jù)對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估
企業(yè)必須制定目標(biāo)�����,該目標(biāo)必須和生產(chǎn)�����、營銷��、財(cái)務(wù)等作業(yè)相結(jié)合��。為此��,企業(yè)也必須設(shè)立可辨認(rèn)�����、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制�����,以了解自己所面臨的風(fēng)險(xiǎn)���,并適時(shí)加以處
理�。
風(fēng)險(xiǎn)反應(yīng)
企業(yè)風(fēng)險(xiǎn)管理框架提出對(duì)風(fēng)險(xiǎn)的四種反應(yīng)方案:規(guī)避�、減少、轉(zhuǎn)移和接受風(fēng)險(xiǎn)��。
控制活動(dòng)
企業(yè)必須制定控制政策及程序�,并予以執(zhí)行,以幫助管理當(dāng)局保證其控制目標(biāo)的實(shí)現(xiàn)��,其用以辨認(rèn)并用以處理風(fēng)險(xiǎn)所必須采取的行動(dòng)業(yè)已有效落實(shí)�����。
信息和溝通
圍繞在控制活動(dòng)周圍的是信息與溝通系統(tǒng)�。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息���,并交換這些信息����。
監(jiān)督
整個(gè)內(nèi)部控制的過程必須施以恰當(dāng)?shù)谋O(jiān)督,通過監(jiān)督活動(dòng)在必要時(shí)對(duì)其加以修正����。監(jiān)控是一個(gè)評(píng)價(jià)內(nèi)部控制運(yùn)行組織的過程。
實(shí)施控制的地點(diǎn)
組織的各個(gè)層面實(shí)施控制���,例如�,在總公司����、分公司、業(yè)務(wù)單位���、單位部門��、實(shí)體層都需要建立相應(yīng)的控制。