IT風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的關(guān)系與比較

1、https:/IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的關(guān)系與比較風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的關(guān)系與比較一、引言信息技術(shù)迅猛發(fā)展和深入應(yīng)用使得企業(yè)的日常運(yùn)營(yíng)越來(lái)越依賴(lài)于 IT 系統(tǒng)，而企業(yè)信息化的規(guī)劃、實(shí)施、運(yùn)行維護(hù)等各階段都存在著各種風(fēng)險(xiǎn)，是風(fēng)險(xiǎn)控制的對(duì)象，同時(shí)，信息技術(shù)也成為企業(yè)控制風(fēng)險(xiǎn)的一種手段，此外，隨著網(wǎng)絡(luò)技術(shù)和通訊技術(shù)的發(fā)展，信息技術(shù)正在改變一些企業(yè)的商業(yè)模式，從而帶來(lái)新的利潤(rùn)增長(zhǎng)源，因此，信息技術(shù)相關(guān)風(fēng)險(xiǎn)不僅僅包括以往大家所認(rèn)識(shí)的操作層面的風(fēng)險(xiǎn)，它已經(jīng)成為企業(yè)的一項(xiàng)戰(zhàn)略風(fēng)險(xiǎn)，IT 投資風(fēng)險(xiǎn)與價(jià)值管理已被納入IT 全面風(fēng)險(xiǎn)控制的范疇，信息化的相關(guān)風(fēng)險(xiǎn)正成為理論界和實(shí)務(wù)界研究及關(guān)注的對(duì)象，IT 風(fēng)險(xiǎn)

2、控制也逐漸成為企業(yè)全面風(fēng)險(xiǎn)控制的重要組成部分。在企業(yè)一般風(fēng)險(xiǎn)控制領(lǐng)域，已經(jīng)產(chǎn)生了相當(dāng)多的優(yōu)秀理論成果，這些成果可以應(yīng)用到 IT風(fēng)險(xiǎn)控制領(lǐng)域，但不能直接照搬，要考慮信息化的特點(diǎn)和 IT 領(lǐng)域的理論成果，弄清楚 IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的區(qū)別與聯(lián)系，進(jìn)而對(duì)企業(yè)的信息化風(fēng)險(xiǎn)控制實(shí)踐提供有益的指導(dǎo)。二、企業(yè)一般風(fēng)險(xiǎn)控制相關(guān)理論是 IT 風(fēng)險(xiǎn)控制的理論基礎(chǔ)1.從歷史發(fā)展歷程來(lái)看筆者從企業(yè)風(fēng)險(xiǎn)管理的歷史發(fā)展路徑與 IT 風(fēng)險(xiǎn)管理的歷史發(fā)展路徑這一個(gè)角度，來(lái)分析 IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)之間的理論淵源及關(guān)系。風(fēng)險(xiǎn)管理最初產(chǎn)生并應(yīng)用于金融領(lǐng)域，由于風(fēng)險(xiǎn)管理理論的廣泛適用性，現(xiàn)在已廣泛應(yīng)用于各國(guó)社會(huì)與經(jīng)濟(jì)發(fā)

3、展的諸多領(lǐng)域，其中包括了企業(yè)。對(duì)于企業(yè)而言，風(fēng)險(xiǎn)管理理論的提出與應(yīng)用還是源于內(nèi)部控制發(fā)展的需要。21 世紀(jì)的企業(yè)環(huán)境對(duì)內(nèi)部控制提出了新要求，不僅要求把風(fēng)險(xiǎn)控制作為一個(gè)控制目標(biāo)，還要把風(fēng)險(xiǎn)本身作為一個(gè)特定的要素進(jìn)行管理。20 世紀(jì) 40 年代誕生了第一臺(tái)計(jì)算機(jī)，隨后信息技術(shù)逐步得到快速發(fā)展，早在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)，美國(guó)就開(kāi)始提出系統(tǒng)審計(jì)（System Audit），1969 年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA），1984 年美國(guó)EDPAA 協(xié)會(huì)發(fā)布一套 EDP 控制標(biāo)準(zhǔn) EDP 控制目的，該標(biāo)準(zhǔn)源于早期的內(nèi)部控制（上個(gè)世紀(jì)年代）。1994 年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（

4、ISACA），1996 年，ISACA 協(xié)會(huì)發(fā)布了 COBIT（Control Objectives for Information and relatedTechnology）標(biāo)準(zhǔn)， COBIT 作為一項(xiàng) IT 安全與控制的實(shí)踐標(biāo)準(zhǔn)，是由 ISACA及其所屬的 IT 治理研究所（ITGI）共同開(kāi)發(fā)、公布的業(yè)界標(biāo)準(zhǔn)，目前已經(jīng)更新至第 4.1 版和第 5 版，但 COBIT5 旨在提供一個(gè)通用的高層次的原則導(dǎo)向，它只是用來(lái)作為一個(gè)通用的框架，不提供最詳細(xì)的實(shí)踐指南，ISACA 的 COBIT 源于 COSO 的內(nèi)部控制 整合框架。https:/2.從風(fēng)險(xiǎn)管理角度的標(biāo)準(zhǔn)比較來(lái)看下面從風(fēng)險(xiǎn)管理角度的

5、標(biāo)準(zhǔn)比較這一角度來(lái)分析 IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的理論淵源與關(guān)系。對(duì)于企業(yè)風(fēng)險(xiǎn)管理，不同國(guó)家的不同組織有不同的定義，比如，COSO 的定義為：“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它由一個(gè)主體的董事會(huì)、管理層和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證。” COSO 于 2004 年發(fā)布的企業(yè)風(fēng)險(xiǎn)管理 整合框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風(fēng)險(xiǎn)管理這一更加寬泛的領(lǐng)域。并且，它將內(nèi)部控制框架納入其中，從而構(gòu)建了一個(gè)更強(qiáng)有力的概念和管理工具。公司不僅可以借助這個(gè)企業(yè)風(fēng)險(xiǎn)管理框架來(lái)滿(mǎn)足它們內(nèi)

6、部控制的需要，還可以借此轉(zhuǎn)向一個(gè)更加全面的風(fēng)險(xiǎn)管理過(guò)程。COSO 在其企業(yè)風(fēng)險(xiǎn)管理框架里說(shuō)明了風(fēng)險(xiǎn)管理的八個(gè)相互關(guān)聯(lián)的構(gòu)成要素即內(nèi)部環(huán)境、目標(biāo)設(shè)定、事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、控制活動(dòng)、信息與溝通、監(jiān)控。2002 年，英國(guó)風(fēng)險(xiǎn)管理協(xié)會(huì)（IRM）、保險(xiǎn)和風(fēng)險(xiǎn)管理師協(xié)會(huì)（AIRMIC）以及公共部門(mén)風(fēng)險(xiǎn)管理協(xié)會(huì)（ALARM）頒布的 ARMS（A Risk ManagementStandard，風(fēng)險(xiǎn)管理準(zhǔn)則），該準(zhǔn)則指出，風(fēng)險(xiǎn)管理是任何組織戰(zhàn)略管理的中心，是組織以一定方式處理其活動(dòng)相關(guān)的風(fēng)險(xiǎn)，以便從每項(xiàng)活動(dòng)及所有活動(dòng)的組合當(dāng)中獲取持續(xù)性利益的過(guò)程。良好風(fēng)險(xiǎn)管理的核心是識(shí)別并處理風(fēng)險(xiǎn)，其目標(biāo)是使組織所

7、有活動(dòng)的可持續(xù)價(jià)值最大化。該準(zhǔn)則將風(fēng)險(xiǎn)管理過(guò)程劃分為確定組織戰(zhàn)略目標(biāo)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)報(bào)告與交流、風(fēng)險(xiǎn)處理、監(jiān)督和復(fù)核這五個(gè)步驟。在 IT 風(fēng)險(xiǎn)管理需求日益膨脹的情況下，需要把 IT 風(fēng)險(xiǎn)作為特定的要素來(lái)管理，IT 風(fēng)險(xiǎn)管理框架是把 IT 相關(guān)風(fēng)險(xiǎn)本身作為一個(gè)特定的要素進(jìn)行管理的一個(gè)持續(xù)性過(guò)程模型。企業(yè)必須面對(duì)各種風(fēng)險(xiǎn)（包括 IT 相關(guān)風(fēng)險(xiǎn)），管理層要管理IT 相關(guān)風(fēng)險(xiǎn)，并在一定范圍內(nèi)處理和控制它們。所以，企業(yè)需要去識(shí)別可能對(duì)企業(yè)有影響的潛在的事項(xiàng)，讓管理層在企業(yè)可能承受的風(fēng)險(xiǎn)范圍內(nèi)，對(duì) IT 相關(guān)風(fēng)險(xiǎn)進(jìn)行管理，保證企業(yè)實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)。ISACA 發(fā)布的IT 風(fēng)險(xiǎn)管理框架提供了對(duì) IT 相關(guān)風(fēng)險(xiǎn)進(jìn)

8、行風(fēng)險(xiǎn)管理的原則、程序與方法，這些原則、程序與方法參考了 COSO 的企業(yè)風(fēng)險(xiǎn)管理 整體框架及其他一般企業(yè)風(fēng)險(xiǎn)管理框架與規(guī)范如前述的 AS/NZS4360 與 ARMS，包括了企業(yè)風(fēng)險(xiǎn)管理的原則，以及事項(xiàng)識(shí)別、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)的應(yīng)對(duì)措施。通過(guò)這些原則和程序方法，將企業(yè)的 IT相關(guān)風(fēng)險(xiǎn)控制在可以管理的范圍之內(nèi)。所以，可以認(rèn)為，IT 風(fēng)險(xiǎn)管理框架的優(yōu)點(diǎn)在于提供的程序方法能夠幫助企業(yè)更好地識(shí)別和控制風(fēng)險(xiǎn)。ISACA 在IT 風(fēng)險(xiǎn)管理框架的附錄部分，比較了IT 風(fēng)險(xiǎn)管理框架與國(guó)際上其他主要風(fēng)險(xiǎn)管理框架或規(guī)范的原則及特征的覆蓋程度。IT 風(fēng)險(xiǎn)管理框架與其他風(fēng)險(xiǎn)管理框架或規(guī)范在六大風(fēng)險(xiǎn)管理原則及四個(gè)特征方

9、面的比較如下表所示：（表中的完全、部分、無(wú)分別表示完全包括、部分包括、不包括）。https:/三、IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制的不同點(diǎn)1.IT 價(jià)值管理構(gòu)成了 IT 風(fēng)險(xiǎn)控制整合框架的特有維度IT 風(fēng)險(xiǎn)控制與一般風(fēng)險(xiǎn)控制相比，最大的不同在于 IT 風(fēng)險(xiǎn)控制包含 IT 價(jià)值管理，這是因?yàn)?，IT 對(duì)于企業(yè)而言是一把“雙刃劍”，體現(xiàn)在以下兩個(gè)方面：第一方面有兩種情況，一種情況是 IT 會(huì)給企業(yè)帶來(lái)新的機(jī)遇或利益，比如，IT 投資轉(zhuǎn)化為 IT 能力，通過(guò)組織學(xué)習(xí)、競(jìng)爭(zhēng)行動(dòng)、生產(chǎn)過(guò)程、企業(yè)決策等中間變量提高了企業(yè)的績(jī)效，特別是在當(dāng)前網(wǎng)絡(luò)技術(shù)與通信技術(shù)發(fā)展與深入應(yīng)用的情況下，IT 還給某些行業(yè)的企業(yè)帶來(lái)商

10、業(yè)模式的改變進(jìn)而產(chǎn)生新的利潤(rùn)增長(zhǎng)點(diǎn)，等等，因此，IT 具有商業(yè)價(jià)值；第二種情況是 IT 自身還是企業(yè)加強(qiáng)風(fēng)險(xiǎn)控制的有效手段之一，企業(yè)能夠利用 IT 手段加強(qiáng)對(duì)業(yè)務(wù)的控制，進(jìn)而實(shí)現(xiàn)價(jià)值增值。在這兩種情況下，信息技術(shù)是企業(yè)獲取利益或風(fēng)險(xiǎn)控制的手段。第二方面是信息技術(shù)本身給企業(yè)帶來(lái)的各種風(fēng)險(xiǎn)，這時(shí)，信息技術(shù)是企業(yè)風(fēng)險(xiǎn)控制的對(duì)象。IT 帶來(lái)的風(fēng)險(xiǎn)和機(jī)會(huì)是一枚硬幣的兩面，企業(yè)每一個(gè) IT 活動(dòng)都包含了風(fēng)險(xiǎn)和機(jī)會(huì)，風(fēng)險(xiǎn)與機(jī)遇同行，為了給企業(yè)的利益相關(guān)者增加企業(yè)價(jià)值，企業(yè)必須在經(jīng)營(yíng)中抓住各種機(jī)會(huì)，而所有機(jī)會(huì)伴隨著不確定性，因此，管理風(fēng)險(xiǎn)和機(jī)會(huì)已經(jīng)成為企業(yè)要獲取成功必須考慮的一項(xiàng)戰(zhàn)略活動(dòng)。IT 價(jià)值管理需要包

11、含 IT 投資評(píng)估選擇相關(guān)的指導(dǎo)原則以及支持流程，幫助企業(yè)從它們?cè)谛畔⒓夹g(shù)和 IT 支持的變革上的投資中實(shí)現(xiàn)價(jià)值。企業(yè)的 IT 投資如能在行之有效的治理框架內(nèi)運(yùn)行良好，就能夠?yàn)槠髽I(yè)提供創(chuàng)造價(jià)值的重要機(jī)會(huì)。相反，如果沒(méi)有高效的治理框架和良好的管理，那么 IT 投資就會(huì)對(duì)價(jià)值造成損毀。IT 投資能帶來(lái)高回報(bào)，但前提是必須有正確的 IT 治理和管理模式。IT價(jià)值管理方法能夠給領(lǐng)導(dǎo)人員提供清晰、切實(shí)可行的指導(dǎo)方針和配套的措施，此外，它還能協(xié)助董事和管理層理解和執(zhí)行自己在 IT 投資中扮演的角色。它著眼于投資決定（做得是否正確？）以及收益的實(shí)現(xiàn)（賺錢(qián)了嗎？），而信息化“流程環(huán)節(jié)”中的控制活動(dòng)關(guān)注的是實(shí)行

12、（做得正確嗎？完成得好嗎？），IT 價(jià)值管理與 IT 風(fēng)險(xiǎn)管理是對(duì)同一項(xiàng) IT 活動(dòng)的兩個(gè)方面的管理，著眼于平衡風(fēng)險(xiǎn)與價(jià)值。在 ISACA 的IT 價(jià)值管理框架中，IT 價(jià)值管理被分為三個(gè)部分：即價(jià)值治理、組合管理、投資管理。其中，價(jià)值治理包括建立治理框架，并且將其集成到整個(gè)企業(yè)的治理當(dāng)中去，為投資決策提供戰(zhàn)略方向，確定所需投資組合的特點(diǎn)，用以支持新的投資和由此產(chǎn)生的 IT 服務(wù)、資產(chǎn)和其他資源，并在經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上不斷完善價(jià)值治理。組合管理包括建立和管理資源概況，確定投資門(mén)檻，評(píng)估、優(yōu)選次序、篩選、推遲、或者拒絕新的投資和優(yōu)化整體投資組合，監(jiān)測(cè)和報(bào)告投資組合的業(yè)績(jī)表現(xiàn)。投資管理包括明確業(yè)務(wù)需

13、求，制定一個(gè)明確了解候選投資項(xiàng)目的方案，分析各種途徑的實(shí)施方案，明確每一個(gè)方案和每一份文檔，并且了解詳細(xì)的業(yè)務(wù)情況包括在整個(gè)投資的經(jīng)濟(jì)生命周期中詳細(xì)的收益情況，明晰權(quán)責(zé)，通過(guò)整個(gè)經(jīng)濟(jì)生命周期對(duì)每個(gè)方案的實(shí)施進(jìn)行管理，對(duì)每項(xiàng)方案的業(yè)績(jī)進(jìn)行監(jiān)測(cè)和報(bào)告。IT 價(jià)值管理與 IT 風(fēng)險(xiǎn)管理的原則與過(guò)程對(duì)https:/同一項(xiàng) IT 活動(dòng)的管理是相互聯(lián)系、相互補(bǔ)充的。2.IT 的流程環(huán)節(jié)中存在特定領(lǐng)域的風(fēng)險(xiǎn)控制IT 特定領(lǐng)域的風(fēng)險(xiǎn)控制是 IT 風(fēng)險(xiǎn)控制的專(zhuān)門(mén)領(lǐng)域，這是一般風(fēng)險(xiǎn)控制所不具有的，歸納起來(lái)，主要有 IT 服務(wù)管理、IT 項(xiàng)目管理、信息安全管理三個(gè) IT 特定領(lǐng)域的風(fēng)險(xiǎn)控制，隨著信息技術(shù)及應(yīng)用的發(fā)展，這三個(gè)領(lǐng)域相應(yīng)的風(fēng)險(xiǎn)控制規(guī)范或標(biāo)準(zhǔn)也得到了逐步發(fā)展與完善。這些規(guī)范或標(biāo)準(zhǔn)分別從不同領(lǐng)域和角度吸取并綜合了全球相關(guān)專(zhuān)家的理論研究成果和最佳專(zhuān)業(yè)實(shí)踐經(jīng)驗(yàn)，從各個(gè)方面對(duì) IT 相關(guān)特定領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行控制或提供理論指導(dǎo)及實(shí)踐指南，或提出明確要求。這些風(fēng)險(xiǎn)控制規(guī)范或標(biāo)準(zhǔn)可以用于指導(dǎo)信息化相對(duì)應(yīng)的各個(gè)流程環(huán)節(jié)的具體風(fēng)險(xiǎn)控制實(shí)踐，適用于 IT 風(fēng)險(xiǎn)控制整合框架中“流程環(huán)節(jié)”這一維度在特定領(lǐng)域的具體控制活動(dòng)。（1）IT 服務(wù)管理（2）IT 項(xiàng)目管理（3）信息安全管理四、結(jié)論無(wú)論從歷史發(fā)展歷程來(lái)看還是從風(fēng)險(xiǎn)管理角度的標(biāo)準(zhǔn)比較來(lái)看，企業(yè)一般風(fēng)險(xiǎn)控制相關(guān)理論是 IT 風(fēng)險(xiǎn)控制的理論基礎(chǔ)。企業(yè)一般風(fēng)險(xiǎn)控制