|
如何规划IT风险体系由于IT在社会和经济生活中充当着越来越重要的角色,国内外近年来出台了许多法律法规加强对IT进行监管。 由于IT在社会和经济生活中充当着越来越重要的角色,国内外近年来出台了许多法律法规加强对IT进行监管。 例如,2002年美国国会发布了《萨班斯-奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。在美国上市的中石化、人寿、新浪等企业也为此付出了巨大的努力。 虽然萨班斯法没有直接明确对IT的要求,但企业在实施符合法案要求的内控过程时,发现IT方面的工作量竟然占到了相当大的比重,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险。也是萨班斯法关注的重要内容,特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。 近来,国内行业主管一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时,其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会,其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立,预示着我国企业在内部控制方面将迎来一部类似于美国《萨班斯-奥克斯利法案》的标准体系,届时必将对IT风险控制提出相应的要求。 以上只列出主要的IT风险,这些方面并没有涵盖多有的IT风险,反映的问题也只是冰山之一角不同的行业在不同的时期,其IT风险有着不同的表现形式。在对应这些IT风险时,我们也曾有过各种风险控制方法和模型,但一般都是针对技术风险提出来的,偏重于某一技术领域,而且大多是采用事后反应式的控制措施。在信息化的整合见效期,这种单一的“救火模式”将使我们疲于应对各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险,传统的控制方法存在明显不足。 科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IR外包等方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相融合,促进IT为组织持续地创造价值,以实现有效益的信息化。 责编:王雅京 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
|
|