三、COSO框架下的IT风险管理框架

　　企业在实施风险管理过程中，四个目标都应当有IT的相关内容，其八个过程也有相应的IT内容，例如：COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”，“风险评估”对应着“IT风险评估及影响分析”等。

　　这八个方面的各项控制又可进一步分三个层次的控制，一是公司层控制、二是应用层控制，三是一般控制层或称基础层控制。

　　公司级控制

　　公司级控制主要与COSO中的控制环境及风险评估有关，为一般控制和应用控制设置基调。公司级控制一般包括以下内容：

　　最高管理层设定的基调与方向

　　职业道德中的正直性、价值观、胜任能力

　　IT管理哲学和业务运行类型

　　对IT管理层的授权与责任

　　IT政策与程序

　　IT组织中人员的责任与技能

　　一般控制

　　一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序，包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持，一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括：

　　安全管理

　　应用系统变更控制

　　数据管理

　　灾难恢复

　　数据中心运营

　　问题管理

　　资产管理

　　应用控制

　　应用控制是为保证业务过程的正常运行，而设计在应用系统中控制措施，以防止和检测错误的和非授权的交易，保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制：

　　进行计算时；

　　实施数据合法性验证和编辑检查时；

　　与其他系统有数据接口时；

　　管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时；

　　限制对交易和数据访问时。

　　IT风险管理的过程也类似于企业风险的过程，主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程：

　　以上三个层次的IT风险管理，在组织中可以分阶段地通过一个个的IT风险控制项目，例如COBIT、ISMS、ITSM、BCP、CMMI等进行实施，也可以选择其中的某些过程进行整合后实施。

　　对于所建立IT内部控制措施是否能有效地控制风险，还需要通过第三方对组织内部措施的有效性进行独立审计，出具审计报告，以证明内部控制措施完备性。

　　以上过程是许多上市公司在建立符合萨班斯法要求的IT风险控制框架时的主要方法，这种方法的主要优点是把IT风险放在企业风险的高度进行管理，容易得到管理层的理解与支持，涉及的风险较全面，控制与改进的方法较完备。缺点是控制的粒度还较粗，还不能适当对IT进行精细控制的要求。

　　四、适用的IT风险管理框架

　　我们结合以上内容，进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的控制框架。

　　建立信息化的“游戏规则”

　　建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

　　这个框架就是IT风险管理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

　　IT风险管理框架的目标

　　完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

　　IT风险管理框架的原则

　　建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡；

　　对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计，以获得标准化的技术规范与指南。

　　在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。

　　采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供规范和标准；

　　识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想；

　　持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据；

　　通过PDCA的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。

　　IT风险管理框架的内容

　　根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如图所示：

　　IT风险管理框架各环节描述如下：

　　完善IT治理结构

　　从宏观上来说，IT治理要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，也就是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构，通过对权力的监督与平衡，就可把IT战略风险与管理风险控制在一定范围内，那么无论由谁来领导，IT的建设就不会大起大落。

　　从微观上来说，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准COBIT，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。

　　业务需求识别

　　当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，就需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。

　　对业务需求的识别，需要IT人员了解企业的业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。

　　业务建模

　　信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员（如拥有者、管理者、雇员和客户）交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会（即业务的完善或革新），并为网络建设、安全建设及应用开发提供准确的需求定义。

　　数据标准化

　　“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。

　　IT规划与架构设计

　　IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。

　　在总体规划的指导下，需要进行企业的整体IT框架设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。

　　IT业务流程优化

　　按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

　　建立信息安全管理体系

　　建立信息安全管理体系是建立信息安全防线的起点，ISO27001是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。

　　IT服务管理

　　IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务

　　IT项目管理与监理

　　IT项目管理就是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。

　　IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标；监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。

　　IT应急计划

　　组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自然灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。

　　IT资源协同

　　IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化，以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。

　　IT资源协同首先是对信息的高度共享。信息共享是为了最大限度的发挥其本身的价值，无论是企业管理者、员工、还是外部的合作伙伴，都可以很方便的查找到相关的信息以支持事务的处理，并利用信息创造新的价值。

　　其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门，但本质上来说它们都是紧密关联的，并形成企业特有的业务体系，企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作，任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。

　　第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程，当企业实现了信息共享和业务整合后，企业的“神经网络体系”才能够高效和通畅的运转，并使这些资源能够突破各种壁垒和障碍，在企业统一管理和协调下为共同的目标实现而服务。

　　IT绩效测量

　　对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析，使投资的成本和收益都明细化和具体化，以辅助进行IT投资决策和IT投资风险控制。

　　其次，是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划，从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内，并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解，并且使业务部门对自己的服务消费更加负有责任。

　　第三是进行IT绩效分析。持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，使IT和业务部门都知道IT对实现业务目标的贡献是怎样的，帮助IT组织将工作与关键业务目标结合在一起，并通过客观评价报告和改进绩效，帮助组织获得业务部门领导的信任，为及进的调整与改进提供依据。

　　信息系统审计

　　信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。

　　五、IT风险控制框架的实施步骤

　　建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。

　　一般来说，组织在建立与完善IT风险管理框架时，可以分以下几个阶段实现：

　　第一阶段：IT资源普查、建立初步控制

　　目标

　　总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。

　　主要措施：

　　业务流程调查，识别主要业务流程，并进行初步建模；

　　为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力；

　　进行IT架构设计，形成应用、数据、技术架构方面的规范与指南；

　　梳理IT流程、划分安全域及识别信息资产，进行风险评估；

　　按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系；

　　建立信息系统审计制度，从独立、客观的角度保证系统安全；

　　建立内部员工培训制度，实施全员培训。

　　第二阶段：资源协同、全面控制

　　目标：

　　实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。

　　主要措施：

　　建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供灵活可靠的支撑平台；

　　建立统一安全保障平台，实现应用系统与安全系统全面集成；

　　建立IT服务管理机制，提高客户对IT服务的满意度；

　　深化信息安全管理、信息系统审计，建立较为完善的IT治理环境；

　　对IT组织、人员、流程、项目建立较为科学的绩效考核制度。

　　第三阶段：业务创新、完善控制

　　目标：

　　IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。

　　主要措施：

　　IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点；

　　为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心；

　　IT成为利润中心，对IT进行财务核算和全面的绩效评估；

　　IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化，IT成为提升组织核心竞争力的“发动机”。

　　陈伟：国际注册信息系统审计师（CISA），BS7799主任审核员，国际信息系统审计与控制协会会员，管理信息系统硕士。在IT行业系统集成、软件开发、信息安全与控制领域有十六年工作经验，精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国内大中型企业的计算机网络及应用系统的规划、设计、实施有较丰富的经验。目前的工作专业领域集中于IT风险管理与控制领域（ISO27001、COBIT、ITIL）理论与方法研究，并为中国证监会、国家财政部、国家税务总局、国家审计署、中国工商银行总行、中国海洋石油、中核集团、酒泉钢铁集团公司多个大型组织实施信息化风险管理与控制咨询项目。著有《信息安全管理－全球最佳实务与实施指南》、《经营分析与信息技术》、《国际认证信息系统审计师认证指南》等，参与翻译《索耶内部审计》，《中国计算机用户》CSO专栏作家，发表多篇IT治理论文。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。