們企業(yè)的內(nèi)部審計(jì)�����,已經(jīng)從“挑毛病”轉(zhuǎn)變?yōu)閹椭痛龠M(jìn)業(yè)務(wù)部門的管理,更多扮演的是咨詢師的角色��。我們從IT風(fēng)險(xiǎn)審計(jì)的專業(yè)角度�,發(fā)現(xiàn)IT的管理及信息系統(tǒng)存在的隱藏風(fēng)險(xiǎn)�����,并與IT部門一起面對(duì)風(fēng)險(xiǎn)進(jìn)行應(yīng)對(duì)��,從前兩次審計(jì)的過程和結(jié)果來(lái)看�����,IT部門對(duì)于IT審計(jì)確實(shí)是比較歡迎的�����,因?yàn)槲覀兊哪繕?biāo)都是共同的�,那就是降低IT風(fēng)險(xiǎn)的發(fā)生���,提高IT管理水平��,確保業(yè)務(wù)穩(wěn)定和公司目標(biāo)的順利實(shí)現(xiàn)����。
對(duì)于已經(jīng)發(fā)現(xiàn)的IT風(fēng)險(xiǎn)���,又該如何實(shí)施管理���,具體流程是什么樣的?
王宇文:對(duì)于發(fā)現(xiàn)的潛在IT風(fēng)險(xiǎn)��,首先要明確應(yīng)該采取什么樣的處理措施�����,這些處理措施包括承擔(dān)、規(guī)避����、分擔(dān)、轉(zhuǎn)移和減輕等等�����。經(jīng)過對(duì)風(fēng)險(xiǎn)的評(píng)估排序����,就可以了解風(fēng)險(xiǎn)對(duì)企業(yè)影響的大小和發(fā)生概率。高風(fēng)險(xiǎn)是業(yè)務(wù)不能容忍的����,就一定要采取措施減少或減輕,有些是可以勉強(qiáng)接受的���,或者有客觀條件限制的就可以進(jìn)行轉(zhuǎn)移或者減輕����。這個(gè)過程中也需要進(jìn)行評(píng)估和權(quán)衡,因?yàn)楹芏啻胧┑牟捎枚夹枰芳油顿Y���,在確定之前一定要評(píng)估這些投資是否值得���,評(píng)估完成之后才會(huì)采取相應(yīng)的措施。
對(duì)于每一個(gè)識(shí)別出來(lái)的風(fēng)險(xiǎn)����,相應(yīng)的部門簽字確認(rèn)之后,每個(gè)風(fēng)險(xiǎn)都有相應(yīng)的責(zé)任人�,風(fēng)險(xiǎn)責(zé)任人要不斷跟蹤這些風(fēng)險(xiǎn),定期對(duì)風(fēng)險(xiǎn)處理的措施和效果進(jìn)行評(píng)估�����,確保風(fēng)險(xiǎn)得到有效控制����,審計(jì)部門也要定期對(duì)風(fēng)險(xiǎn)的管理進(jìn)行檢查評(píng)價(jià)。
為了確保風(fēng)險(xiǎn)管理的措施能落到實(shí)處,中海油同樣做了很多工作����。審計(jì)監(jiān)察部專門開發(fā)了全集團(tuán)統(tǒng)一的風(fēng)險(xiǎn)管理信息系統(tǒng),進(jìn)入系統(tǒng)中����,可以隨時(shí)查看當(dāng)前的風(fēng)險(xiǎn)列表,每個(gè)風(fēng)險(xiǎn)由什么部門負(fù)責(zé)�、需要在什么時(shí)間采取什么措施將風(fēng)險(xiǎn)降低到什么程度,以及相應(yīng)的完成情況���,都一目了然。領(lǐng)導(dǎo)層可以隨時(shí)對(duì)風(fēng)險(xiǎn)管理工作進(jìn)行跟蹤和監(jiān)督����。我們這套系統(tǒng)也得到了國(guó)資委的肯定。
除了風(fēng)險(xiǎn)管理信息系統(tǒng)確保實(shí)時(shí)跟蹤和監(jiān)督之外����,中海油還通過科學(xué)合理的組織結(jié)構(gòu)、將風(fēng)險(xiǎn)管理效果與績(jī)效考核掛鉤等手段���,確保風(fēng)險(xiǎn)管理落到實(shí)處�����。
隨著風(fēng)險(xiǎn)管理工作的深入��,我們的認(rèn)識(shí)也在逐步提高���,風(fēng)險(xiǎn)管理涉及到的流程管理��、制度體系管理是整個(gè)企業(yè)管理的核心�����,以往這些管理都是分散在各個(gè)部門獨(dú)立管理的��,現(xiàn)在���,我們正在擴(kuò)充風(fēng)險(xiǎn)管理系統(tǒng)功能,以流程管理為核心建立企業(yè)管理框架模型�����,把組織�、制度、管理���、監(jiān)督等管理功能與流程管理有機(jī)地關(guān)聯(lián)在一起�����,使企業(yè)管理更加清晰�、有效。
景忠�,你在前面談到了目前有內(nèi)部巡檢、IT審計(jì)和IT決策委員會(huì)對(duì)潛在IT風(fēng)險(xiǎn)進(jìn)行三重把關(guān)���,這已經(jīng)是很完備的體系了��,你覺得還有哪些可以改進(jìn)的地方嗎?
景忠:有一個(gè)問題我一直在擔(dān)心����,那就是供應(yīng)商可能帶來(lái)的風(fēng)險(xiǎn)�����。目前來(lái)看�����,證券行業(yè)的供應(yīng)商就那么幾家����,可選擇的余地很小,這些供應(yīng)商的系統(tǒng)是不是存在漏洞�����,券商的IT部門很難有能力去檢測(cè)��,并且�,這些供應(yīng)商的突然變故也會(huì)對(duì)我們?cè)斐珊艽蟮挠绊懀热缰癗ovell公司的轉(zhuǎn)型��,就給很多券商帶來(lái)了不小的麻煩��。還有去年證券行業(yè)推行的第三方存管�,當(dāng)時(shí)很多券商也都比較倉(cāng)促,是否存在風(fēng)險(xiǎn)還需要進(jìn)一步核實(shí)���。
這些外部因素造成的潛在風(fēng)險(xiǎn)��,目前仍然缺乏比較有效的手段去及時(shí)發(fā)現(xiàn)�����,這是整個(gè)行業(yè)都普遍面臨的風(fēng)險(xiǎn)����,不是一兩家券商就能解決的,需要有更高層面特別是監(jiān)管機(jī)構(gòu)的組織��,才能更好地解決這些問題���。
中海油和民生證券對(duì)IT風(fēng)險(xiǎn)管理都非常重視����,相信大多數(shù)企業(yè)的IT風(fēng)險(xiǎn)管理都還沒有達(dá)到他們的水平�。王東紅,對(duì)于如何更好地實(shí)施IT風(fēng)險(xiǎn)管理����,你能不能給點(diǎn)建議?
王東紅:目前來(lái)看,國(guó)內(nèi)企業(yè)的IT風(fēng)險(xiǎn)管理主要面臨如下挑戰(zhàn):董事會(huì)和高級(jí)管理層缺乏對(duì)信息技術(shù)的關(guān)注和統(tǒng)籌安排�����,對(duì)IT風(fēng)險(xiǎn)了解甚少;信息技術(shù)風(fēng)險(xiǎn)分層次���、分部門管理,職責(zé)分散�����,分支機(jī)構(gòu)IT風(fēng)險(xiǎn)管理職能缺失,崗位缺失��,缺乏統(tǒng)一的IT風(fēng)險(xiǎn)戰(zhàn)略和策略;無(wú)序購(gòu)