COSO風(fēng)險(xiǎn)管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法,我國銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》也采用了COSO內(nèi)控體系的方法論���,其中也涉及了IT內(nèi)控制的內(nèi)容�。COSO風(fēng)險(xiǎn)管理框架給我們有以下啟發(fā):
要站在企業(yè)管理者的角度來看待風(fēng)險(xiǎn),企業(yè)風(fēng)險(xiǎn)是由包括IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成��。
強(qiáng)調(diào)“人”的重要性�����,組織中的每一個(gè)人對(duì)風(fēng)險(xiǎn)管理都負(fù)有責(zé)任;
強(qiáng)調(diào)“軟控制”的作用��?����!败浛刂啤敝饕改切儆诰駥用娴氖挛?��,如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)����、企業(yè)文化��、內(nèi)部控制意識(shí)等��,“軟控制”影響人的行為����。
強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過程”����,風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問題、解決問題��、發(fā)現(xiàn)新問題�、解決新問題的循環(huán)往復(fù)的PDCA過程。
明確指出內(nèi)部控制只能做到“合理”保證�,目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。
沒有不花錢的內(nèi)部控制���,也不存在完美無缺的內(nèi)部控制。
三�����、COSO框架下的IT風(fēng)險(xiǎn)管理框架
企業(yè)在實(shí)施風(fēng)險(xiǎn)管理過程中,四個(gè)目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容���,其八個(gè)過程也有相應(yīng)的IT內(nèi)容���,例如:COSO的“控制環(huán)境”對(duì)應(yīng)著IT的“IT治理、法規(guī)及標(biāo)準(zhǔn)符合性”�����,“風(fēng)險(xiǎn)評(píng)估”對(duì)應(yīng)著“IT風(fēng)險(xiǎn)評(píng)估及影響分析”等����。
這八個(gè)方面的各項(xiàng)控制又可進(jìn)一步分三個(gè)層次的控制,一是公司層控制�、二是應(yīng)用層控制,三是一般控制層或稱基礎(chǔ)層控制�����。
公司級(jí)控制
公司級(jí)控制主要與COSO中的控制環(huán)境及風(fēng)險(xiǎn)評(píng)估有關(guān)����,為一般控制和應(yīng)用控制設(shè)置基調(diào)。公司級(jí)控制一般包括以下內(nèi)容:
最高管理層設(shè)定的基調(diào)與方向
職業(yè)道德中的正直性��、價(jià)值觀、勝任能力
IT管理哲學(xué)和業(yè)務(wù)運(yùn)行類型
對(duì)IT管理層的授權(quán)與責(zé)任
IT政策與程序
IT組織中人員的責(zé)任與技能
一般控制
一般控制就是保證計(jì)算機(jī)信息系統(tǒng)能夠以持續(xù)��、正確的方式運(yùn)行的政策與程序����,包括數(shù)據(jù)中心運(yùn)營(yíng)、系統(tǒng)軟件獲取與維護(hù)����、訪問安全、應(yīng)用系統(tǒng)開發(fā)和維護(hù)等內(nèi)容�。一般控制能對(duì)通過編程實(shí)現(xiàn)的應(yīng)用系統(tǒng)控制機(jī)能提供支持,一般控制有時(shí)也稱為一般計(jì)算機(jī)控制和信息技術(shù)控制���。一般控制過程主要包括:
安全管理
應(yīng)用系統(tǒng)變更控制
數(shù)據(jù)管理
災(zāi)難恢復(fù)
數(shù)據(jù)中心運(yùn)營(yíng)
問題管理
資產(chǎn)管理
應(yīng)用控制
應(yīng)用控制是為保證業(yè)務(wù)過程的正常運(yùn)行�,而設(shè)計(jì)在應(yīng)用系統(tǒng)中控制措施����,以防止和檢測(cè)錯(cuò)誤的和非授權(quán)的交易,保證交易處理的完整性��、準(zhǔn)確性�、合法性及適當(dāng)授權(quán)�。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制:
進(jìn)行計(jì)算時(shí);
實(shí)施數(shù)據(jù)合法性驗(yàn)證和編輯檢查時(shí);
與其他系統(tǒng)有數(shù)據(jù)接口時(shí);
管理層需要依靠應(yīng)用系統(tǒng)進(jìn)行完整���、準(zhǔn)確的排序、匯總和報(bào)告關(guān)鍵信息時(shí);
限制對(duì)交易和數(shù)據(jù)訪問時(shí)���。
IT風(fēng)險(xiǎn)管理的過程也類似于企業(yè)風(fēng)險(xiǎn)的過程�,主要有以下風(fēng)險(xiǎn)識(shí)別�����、風(fēng)險(xiǎn)分析��、風(fēng)險(xiǎn)處理�、風(fēng)險(xiǎn)監(jiān)督、風(fēng)險(xiǎn)報(bào)告及改進(jìn)的過程:
以上三個(gè)層次的IT風(fēng)險(xiǎn)管理�����,在組織中可以分階段地通過一個(gè)個(gè)的IT風(fēng)險(xiǎn)控制項(xiàng)目���,例如COBIT����、ISMS、ITSM�、BCP、CMMI等進(jìn)行實(shí)施���,也可以選擇其中的某些過程進(jìn)行整合后實(shí)施���。
對(duì)于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險(xiǎn),還需要通過第三方對(duì)組織內(nèi)部措施的有效性進(jìn)行獨(dú)立審計(jì)���,出具審計(jì)報(bào)告��,以證明內(nèi)部控制措施完備性�。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險(xiǎn)控制框架時(shí)的主要方法�,這種方法的主要優(yōu)點(diǎn)是把IT風(fēng)險(xiǎn)放在企業(yè)風(fēng)險(xiǎn)的高度進(jìn)行管理,容易得到管理層的理解與支持�����,涉及的風(fēng)險(xiǎn)較全面�,控制與改進(jìn)的方法較完備。缺點(diǎn)是控制的粒度還較粗���,還不能適當(dāng)對(duì)IT進(jìn)行精細(xì)控制的要求����。
四、適用的IT風(fēng)險(xiǎn)管理框架
我們結(jié)合以上內(nèi)容��,