IT風險控制與一般風險控制的關(guān)系與比較

1、https:/IT 風險控制與一般風險控制的關(guān)系與比較風險控制與一般風險控制的關(guān)系與比較一、引言信息技術(shù)迅猛發(fā)展和深入應用使得企業(yè)的日常運營越來越依賴于 IT 系統(tǒng)，而企業(yè)信息化的規(guī)劃、實施、運行維護等各階段都存在著各種風險，是風險控制的對象，同時，信息技術(shù)也成為企業(yè)控制風險的一種手段，此外，隨著網(wǎng)絡技術(shù)和通訊技術(shù)的發(fā)展，信息技術(shù)正在改變一些企業(yè)的商業(yè)模式，從而帶來新的利潤增長源，因此，信息技術(shù)相關(guān)風險不僅僅包括以往大家所認識的操作層面的風險，它已經(jīng)成為企業(yè)的一項戰(zhàn)略風險，IT 投資風險與價值管理已被納入IT 全面風險控制的范疇，信息化的相關(guān)風險正成為理論界和實務界研究及關(guān)注的對象，IT 風險

2、控制也逐漸成為企業(yè)全面風險控制的重要組成部分。在企業(yè)一般風險控制領(lǐng)域，已經(jīng)產(chǎn)生了相當多的優(yōu)秀理論成果，這些成果可以應用到 IT風險控制領(lǐng)域，但不能直接照搬，要考慮信息化的特點和 IT 領(lǐng)域的理論成果，弄清楚 IT 風險控制與一般風險控制的區(qū)別與聯(lián)系，進而對企業(yè)的信息化風險控制實踐提供有益的指導。二、企業(yè)一般風險控制相關(guān)理論是 IT 風險控制的理論基礎1.從歷史發(fā)展歷程來看筆者從企業(yè)風險管理的歷史發(fā)展路徑與 IT 風險管理的歷史發(fā)展路徑這一個角度，來分析 IT 風險控制與一般風險之間的理論淵源及關(guān)系。風險管理最初產(chǎn)生并應用于金融領(lǐng)域，由于風險管理理論的廣泛適用性，現(xiàn)在已廣泛應用于各國社會與經(jīng)濟發(fā)

3、展的諸多領(lǐng)域，其中包括了企業(yè)。對于企業(yè)而言，風險管理理論的提出與應用還是源于內(nèi)部控制發(fā)展的需要。21 世紀的企業(yè)環(huán)境對內(nèi)部控制提出了新要求，不僅要求把風險控制作為一個控制目標，還要把風險本身作為一個特定的要素進行管理。20 世紀 40 年代誕生了第一臺計算機，隨后信息技術(shù)逐步得到快速發(fā)展，早在計算機進入實用階段時，美國就開始提出系統(tǒng)審計（System Audit），1969 年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會（EDPAA），1984 年美國EDPAA 協(xié)會發(fā)布一套 EDP 控制標準 EDP 控制目的，該標準源于早期的內(nèi)部控制（上個世紀年代）。1994 年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（

4、ISACA），1996 年，ISACA 協(xié)會發(fā)布了 COBIT（Control Objectives for Information and relatedTechnology）標準， COBIT 作為一項 IT 安全與控制的實踐標準，是由 ISACA及其所屬的 IT 治理研究所（ITGI）共同開發(fā)、公布的業(yè)界標準，目前已經(jīng)更新至第 4.1 版和第 5 版，但 COBIT5 旨在提供一個通用的高層次的原則導向，它只是用來作為一個通用的框架，不提供最詳細的實踐指南，ISACA 的 COBIT 源于 COSO 的內(nèi)部控制 整合框架。https:/2.從風險管理角度的標準比較來看下面從風險管理角度的

5、標準比較這一角度來分析 IT 風險控制與一般風險控制的理論淵源與關(guān)系。對于企業(yè)風險管理，不同國家的不同組織有不同的定義，比如，COSO 的定義為：“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。” COSO 于 2004 年發(fā)布的企業(yè)風險管理 整合框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。并且，它將內(nèi)部控制框架納入其中，從而構(gòu)建了一個更強有力的概念和管理工具。公司不僅可以借助這個企業(yè)風險管理框架來滿足它們內(nèi)

6、部控制的需要，還可以借此轉(zhuǎn)向一個更加全面的風險管理過程。COSO 在其企業(yè)風險管理框架里說明了風險管理的八個相互關(guān)聯(lián)的構(gòu)成要素即內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。2002 年，英國風險管理協(xié)會（IRM）、保險和風險管理師協(xié)會（AIRMIC）以及公共部門風險管理協(xié)會（ALARM）頒布的 ARMS（A Risk ManagementStandard，風險管理準則），該準則指出，風險管理是任何組織戰(zhàn)略管理的中心，是組織以一定方式處理其活動相關(guān)的風險，以便從每項活動及所有活動的組合當中獲取持續(xù)性利益的過程。良好風險管理的核心是識別并處理風險，其目標是使組織所

7、有活動的可持續(xù)價值最大化。該準則將風險管理過程劃分為確定組織戰(zhàn)略目標、風險評估、風險報告與交流、風險處理、監(jiān)督和復核這五個步驟。在 IT 風險管理需求日益膨脹的情況下，需要把 IT 風險作為特定的要素來管理，IT 風險管理框架是把 IT 相關(guān)風險本身作為一個特定的要素進行管理的一個持續(xù)性過程模型。企業(yè)必須面對各種風險（包括 IT 相關(guān)風險），管理層要管理IT 相關(guān)風險，并在一定范圍內(nèi)處理和控制它們。所以，企業(yè)需要去識別可能對企業(yè)有影響的潛在的事項，讓管理層在企業(yè)可能承受的風險范圍內(nèi)，對 IT 相關(guān)風險進行管理，保證企業(yè)實現(xiàn)經(jīng)營目標。ISACA 發(fā)布的IT 風險管理框架提供了對 IT 相關(guān)風險進

8、行風險管理的原則、程序與方法，這些原則、程序與方法參考了 COSO 的企業(yè)風險管理 整體框架及其他一般企業(yè)風險管理框架與規(guī)范如前述的 AS/NZS4360 與 ARMS，包括了企業(yè)風險管理的原則，以及事項識別、風險評估以及風險的應對措施。通過這些原則和程序方法，將企業(yè)的 IT相關(guān)風險控制在可以管理的范圍之內(nèi)。所以，可以認為，IT 風險管理框架的優(yōu)點在于提供的程序方法能夠幫助企業(yè)更好地識別和控制風險。ISACA 在IT 風險管理框架的附錄部分，比較了IT 風險管理框架與國際上其他主要風險管理框架或規(guī)范的原則及特征的覆蓋程度。IT 風險管理框架與其他風險管理框架或規(guī)范在六大風險管理原則及四個特征方

9、面的比較如下表所示：（表中的完全、部分、無分別表示完全包括、部分包括、不包括）。https:/三、IT 風險控制與一般風險控制的不同點1.IT 價值管理構(gòu)成了 IT 風險控制整合框架的特有維度IT 風險控制與一般風險控制相比，最大的不同在于 IT 風險控制包含 IT 價值管理，這是因為，IT 對于企業(yè)而言是一把“雙刃劍”，體現(xiàn)在以下兩個方面：第一方面有兩種情況，一種情況是 IT 會給企業(yè)帶來新的機遇或利益，比如，IT 投資轉(zhuǎn)化為 IT 能力，通過組織學習、競爭行動、生產(chǎn)過程、企業(yè)決策等中間變量提高了企業(yè)的績效，特別是在當前網(wǎng)絡技術(shù)與通信技術(shù)發(fā)展與深入應用的情況下，IT 還給某些行業(yè)的企業(yè)帶來商

10、業(yè)模式的改變進而產(chǎn)生新的利潤增長點，等等，因此，IT 具有商業(yè)價值；第二種情況是 IT 自身還是企業(yè)加強風險控制的有效手段之一，企業(yè)能夠利用 IT 手段加強對業(yè)務的控制，進而實現(xiàn)價值增值。在這兩種情況下，信息技術(shù)是企業(yè)獲取利益或風險控制的手段。第二方面是信息技術(shù)本身給企業(yè)帶來的各種風險，這時，信息技術(shù)是企業(yè)風險控制的對象。IT 帶來的風險和機會是一枚硬幣的兩面，企業(yè)每一個 IT 活動都包含了風險和機會，風險與機遇同行，為了給企業(yè)的利益相關(guān)者增加企業(yè)價值，企業(yè)必須在經(jīng)營中抓住各種機會，而所有機會伴隨著不確定性，因此，管理風險和機會已經(jīng)成為企業(yè)要獲取成功必須考慮的一項戰(zhàn)略活動。IT 價值管理需要包

11、含 IT 投資評估選擇相關(guān)的指導原則以及支持流程，幫助企業(yè)從它們在信息技術(shù)和 IT 支持的變革上的投資中實現(xiàn)價值。企業(yè)的 IT 投資如能在行之有效的治理框架內(nèi)運行良好，就能夠為企業(yè)提供創(chuàng)造價值的重要機會。相反，如果沒有高效的治理框架和良好的管理，那么 IT 投資就會對價值造成損毀。IT 投資能帶來高回報，但前提是必須有正確的 IT 治理和管理模式。IT價值管理方法能夠給領(lǐng)導人員提供清晰、切實可行的指導方針和配套的措施，此外，它還能協(xié)助董事和管理層理解和執(zhí)行自己在 IT 投資中扮演的角色。它著眼于投資決定（做得是否正確？）以及收益的實現(xiàn)（賺錢了嗎？），而信息化“流程環(huán)節(jié)”中的控制活動關(guān)注的是實行

12、（做得正確嗎？完成得好嗎？），IT 價值管理與 IT 風險管理是對同一項 IT 活動的兩個方面的管理，著眼于平衡風險與價值。在 ISACA 的IT 價值管理框架中，IT 價值管理被分為三個部分：即價值治理、組合管理、投資管理。其中，價值治理包括建立治理框架，并且將其集成到整個企業(yè)的治理當中去，為投資決策提供戰(zhàn)略方向，確定所需投資組合的特點，用以支持新的投資和由此產(chǎn)生的 IT 服務、資產(chǎn)和其他資源，并在經(jīng)驗教訓的基礎上不斷完善價值治理。組合管理包括建立和管理資源概況，確定投資門檻，評估、優(yōu)選次序、篩選、推遲、或者拒絕新的投資和優(yōu)化整體投資組合，監(jiān)測和報告投資組合的業(yè)績表現(xiàn)。投資管理包括明確業(yè)務需

13、求，制定一個明確了解候選投資項目的方案，分析各種途徑的實施方案，明確每一個方案和每一份文檔，并且了解詳細的業(yè)務情況包括在整個投資的經(jīng)濟生命周期中詳細的收益情況，明晰權(quán)責，通過整個經(jīng)濟生命周期對每個方案的實施進行管理，對每項方案的業(yè)績進行監(jiān)測和報告。IT 價值管理與 IT 風險管理的原則與過程對https:/同一項 IT 活動的管理是相互聯(lián)系、相互補充的。2.IT 的流程環(huán)節(jié)中存在特定領(lǐng)域的風險控制IT 特定領(lǐng)域的風險控制是 IT 風險控制的專門領(lǐng)域，這是一般風險控制所不具有的，歸納起來，主要有 IT 服務管理、IT 項目管理、信息安全管理三個 IT 特定領(lǐng)域的風險控制，隨著信息技術(shù)及應用的發(fā)展，這三個領(lǐng)域相應的風險控制規(guī)范或標準也得到了逐步發(fā)展與完善。這些規(guī)范或標準分別從不同領(lǐng)域和角度吸取并綜合了全球相關(guān)專家的理論研究成果和最佳專業(yè)實踐經(jīng)驗，從各個方面對 IT 相關(guān)特定領(lǐng)域的風險進行控制或提供理論指導及實踐指南，或提出明確要求。這些風險控制規(guī)范或標準可以用于指導信息化相對應的各個流程環(huán)節(jié)的具體風險控制實踐，適用于 IT 風險控制整合框架中“流程環(huán)節(jié)”這一維度在特定領(lǐng)域的具體控制活動。（1）IT 服務管理（2）IT 項目管理（3）信息安全管理四、結(jié)論無論從歷史發(fā)展歷程來看還是從風險管理角度的標準比較來看，企業(yè)一般風險控制相關(guān)理論是 IT 風險控制的理論基礎。企業(yè)一般風險控制