IT风险控制(精选12篇)
IT风险控制 篇1
一、引言
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,而企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,是风险控制的对象,同时,信息技术也成为企业控制风险的一种手段,此外,随着网络技术和通讯技术的发展,信息技术正在改变一些企业的商业模式,从而带来新的利润增长源,因此,信息技术相关风险不仅仅包括以往大家所认识的操作层面的风险,它已经成为企业的一项战略风险,IT投资风险与价值管理已被纳入IT全面风险控制的范畴,信息化的相关风险正成为理论界和实务界研究及关注的对象,IT风险控制也逐渐成为企业全面风险控制的重要组成部分。在企业一般风险控制领域,已经产生了相当多的优秀理论成果,这些成果可以应用到IT风险控制领域,但不能直接照搬,要考虑信息化的特点和IT领域的理论成果,弄清楚IT风险控制与一般风险控制的区别与联系,进而对企业的信息化风险控制实践提供有益的指导。
二、企业一般风险控制相关理论是IT风险控制的理论基础
1. 从历史发展历程来看
笔者从企业风险管理的历史发展路径与IT风险管理的历史发展路径这一个角度,来分析IT风险控制与一般风险之间的理论渊源及关系。
风险管理最初产生并应用于金融领域,由于风险管理理论的广泛适用性,现在已广泛应用于各国社会与经济发展的诸多领域,其中包括了企业。对于企业而言,风险管理理论的提出与应用还是源于内部控制发展的需要。21世纪的企业环境对内部控制提出了新要求,不仅要求把风险控制作为一个控制目标,还要把风险本身作为一个特定的要素进行管理。
20世纪40年代诞生了第一台计算机,随后信息技术逐步得到快速发展,早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit),1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1984年美国EDPAA协会发布一套EDP控制标准——《EDP控制目的》,该标准源于早期的内部控制(上个世纪年代)。
1994年该协会更名为信息系统审计与控制协会(ISACA),1996年,ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准,COBIT作为一项IT安全与控制的实践标准,是由ISACA及其所属的IT治理研究所(ITGI)共同开发、公布的业界标准,目前已经更新至第4.1版和第5版,但COBIT5旨在提供一个通用的高层次的原则导向,它只是用来作为一个通用的框架,不提供最详细的实践指南,ISACA的COBIT源于COSO的《内部控制——整合框架》。
进入21世纪,随着《内部控制——整合框架》升级为《企业风险管理——整合框架》,COBIT也需要随之扩展并补充。2009年12月,ISACA发布IT风险管理框架,它是国际上第一个全面的IT风险管理框架,建立了一个风险识别、治理及管理风险的框架,为企业管理IT风险提供了程序和方法,它与COSO的《企业风险管理——整合框架》是同层次的。
2. 从风险管理角度的标准比较来看
下面从风险管理角度的标准比较这一角度来分析IT风险控制与一般风险控制的理论渊源与关系。
对于企业风险管理,不同国家的不同组织有不同的定义,比如,COSO的定义为:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”COSO于2004年发布的《企业风险管理——整合框架》拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。并且,它将内部控制框架纳入其中,从而构建了一个更强有力的概念和管理工具。公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。COSO在其企业风险管理框架里说明了风险管理的八个相互关联的构成要素即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
除了COSO以外,澳大利亚-新西兰风险管理标准AS/NZS4360是世界上第一个国家风险管理标准,是澳大利亚和新西兰的联合标准。它于1995年首次发布。当时制定此标准的目的是为了制定一个统一的标准,以期对若干澳大利亚和新西兰上市或私有企业在风险管理应用问题上有所帮助。此标准参考了1993的《澳洲新南威尔士洲风险管理指南》,AS/NZS 4360分别于1999年2004年进行修订。到目前为止,AS/NZS 4360标准已经被澳大利亚政府和世界上许多上市公司采用。ISO 31000基本上是由AS/NZS 4360:2004延伸而来。
资料来源:ISACA,Risk IT Framework,USA,2009.12.
2002年,英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)颁布的ARMS(A Risk Management Standard,风险管理准则),该准则指出,风险管理是任何组织战略管理的中心,是组织以一定方式处理其活动相关的风险,以便从每项活动及所有活动的组合当中获取持续性利益的过程。良好风险管理的核心是识别并处理风险,其目标是使组织所有活动的可持续价值最大化。该准则将风险管理过程划分为确定组织战略目标、风险评估、风险报告与交流、风险处理、监督和复核这五个步骤。
在IT风险管理需求日益膨胀的情况下,需要把IT风险作为特定的要素来管理,IT风险管理框架是把IT相关风险本身作为一个特定的要素进行管理的一个持续性过程模型。企业必须面对各种风险(包括IT相关风险),管理层要管理IT相关风险,并在一定范围内处理和控制它们。所以,企业需要去识别可能对企业有影响的潜在的事项,让管理层在企业可能承受的风险范围内,对IT相关风险进行管理,保证企业实现经营目标。ISACA发布的《IT风险管理框架》提供了对IT相关风险进行风险管理的原则、程序与方法,这些原则、程序与方法参考了COSO的《企业风险管理——整体框架》及其他一般企业风险管理框架与规范如前述的AS/NZS4360与ARMS,包括了企业风险管理的原则,以及事项识别、风险评估以及风险的应对措施。通过这些原则和程序方法,将企业的IT相关风险控制在可以管理的范围之内。所以,可以认为,《IT风险管理框架》的优点在于提供的程序方法能够帮助企业更好地识别和控制风险。
ISACA在《IT风险管理框架》的附录部分,比较了《IT风险管理框架》与国际上其他主要风险管理框架或规范的原则及特征的覆盖程度。《IT风险管理框架》与其他风险管理框架或规范在六大风险管理原则及四个特征方面的比较如下表所示:(表中的完全、部分、无分别表示完全包括、部分包括、不包括)。
三、IT风险控制与一般风险控制的不同点
1. IT价值管理构成了IT风险控制整合框架的特有维度
IT风险控制与一般风险控制相比,最大的不同在于IT风险控制包含IT价值管理,这是因为,IT对于企业而言是一把“双刃剑”,体现在以下两个方面:
第一方面有两种情况,一种情况是IT会给企业带来新的机遇或利益,比如,IT投资转化为IT能力,通过组织学习、竞争行动、生产过程、企业决策等中间变量提高了企业的绩效,特别是在当前网络技术与通信技术发展与深入应用的情况下,IT还给某些行业的企业带来商业模式的改变进而产生新的利润增长点,等等,因此,IT具有商业价值;第二种情况是IT自身还是企业加强风险控制的有效手段之一,企业能够利用IT手段加强对业务的控制,进而实现价值增值。在这两种情况下,信息技术是企业获取利益或风险控制的手段。
第二方面是信息技术本身给企业带来的各种风险,这时,信息技术是企业风险控制的对象。IT带来的风险和机会是一枚硬币的两面,企业每一个IT活动都包含了风险和机会,风险与机遇同行,为了给企业的利益相关者增加企业价值,企业必须在经营中抓住各种机会,而所有机会伴随着不确定性,因此,管理风险和机会已经成为企业要获取成功必须考虑的一项战略活动。
IT价值管理需要包含IT投资评估选择相关的指导原则以及支持流程,帮助企业从它们在信息技术和IT支持的变革上的投资中实现价值。企业的IT投资如能在行之有效的治理框架内运行良好,就能够为企业提供创造价值的重要机会。相反,如果没有高效的治理框架和良好的管理,那么IT投资就会对价值造成损毁。IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式。IT价值管理方法能够给领导人员提供清晰、切实可行的指导方针和配套的措施,此外,它还能协助董事和管理层理解和执行自己在IT投资中扮演的角色。它着眼于投资决定(做得是否正确?)以及收益的实现(赚钱了吗?),而信息化“流程环节”中的控制活动关注的是实行(做得正确吗?完成得好吗?),IT价值管理与IT风险管理是对同一项IT活动的两个方面的管理,着眼于平衡风险与价值。
在ISACA的《IT价值管理框架》中,IT价值管理被分为三个部分:即价值治理、组合管理、投资管理。其中,价值治理包括建立治理框架,并且将其集成到整个企业的治理当中去,为投资决策提供战略方向,确定所需投资组合的特点,用以支持新的投资和由此产生的IT服务、资产和其他资源,并在经验教训的基础上不断完善价值治理。组合管理包括建立和管理资源概况,确定投资门槛,评估、优选次序、筛选、推迟、或者拒绝新的投资和优化整体投资组合,监测和报告投资组合的业绩表现。投资管理包括明确业务需求,制定一个明确了解候选投资项目的方案,分析各种途径的实施方案,明确每一个方案和每一份文档,并且了解详细的业务情况包括在整个投资的经济生命周期中详细的收益情况,明晰权责,通过整个经济生命周期对每个方案的实施进行管理,对每项方案的业绩进行监测和报告。IT价值管理与IT风险管理的原则与过程对同一项IT活动的管理是相互联系、相互补充的。
2. IT的流程环节中存在特定领域的风险控制
IT特定领域的风险控制是IT风险控制的专门领域,这是一般风险控制所不具有的,归纳起来,主要有IT服务管理、IT项目管理、信息安全管理三个IT特定领域的风险控制,随着信息技术及应用的发展,这三个领域相应的风险控制规范或标准也得到了逐步发展与完善。这些规范或标准分别从不同领域和角度吸取并综合了全球相关专家的理论研究成果和最佳专业实践经验,从各个方面对IT相关特定领域的风险进行控制或提供理论指导及实践指南,或提出明确要求。这些风险控制规范或标准可以用于指导信息化相对应的各个流程环节的具体风险控制实践,适用于IT风险控制整合框架中“流程环节”这一维度在特定领域的具体控制活动。
(1)IT服务管理
ITIL(Information Technology Infrastructure Library)是英国政府中央计算机与电信管理中心(CCTA)在20世纪90年代初期发布的一套IT服务管理最佳实践指南,旨在解决IT服务质量不佳的情况。ISO/IEC20000源于ITIL,2001年,英国标准协会(BSI)正式发布了以ITIL为核心的英国国家标准BS15000。2005年12月,国际标准组织正式发布成为ISO20000,ISO20000基本上就是从BS15000延伸而来。ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。
(2)IT项目管理
PRINCE(PRojects IN Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。1979年英国政府计算机和电信中心(CCTA)采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代,CCTA出资研究开发PRINCE,1989年Prince正式替代PROMPT成为英国政府IT项目的管理标准。目前,PRINCE2已风行欧洲与北美等国家。PMBOK(A Guide to the Project Management Body of Knowledge)是由美国项目管理协会PMI(1996)年综合大量专家和会员的意见开发完成的,后经过多次更新,目前最新版本为2008版。它是美国项目管理协会对项目管理所需的知识、技能和工具进行的概括性描述。国际标准化组织以该文件为框架,制订了ISO10006关于项目管理的标准。
(3)信息安全管理
ISO/IEC 27001-2005及ISO/IEC27002-2005来源于BS7799,BS7799是英国标准协会(BSI)于1995年2月制定的信息安全标准,2000年12月,BS7799-1被国际标准化组织(ISO)采纳,正式成为ISO 17799标准。ISO于2005年6月发布了新版本即ISO17799-2005(ISO/IEC 27002),该标准涉及以下几个重要控制域,包括:安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,发展和保持、访问控制、信息安全事件管理、业务连续性管理、合规性。此外,BS7799-2也被国际标准化组织采纳为国际标准,版本号为ISO/IEC27001-2005,于2005年11月发布。
四、结论
无论从历史发展历程来看还是从风险管理角度的标准比较来看,企业一般风险控制相关理论是IT风险控制的理论基础。企业一般风险控制领域的优秀理论成果可以应用到IT风险控制领域,但应考虑信息化的特点,还应吸收IT领域的理论成果。IT风险控制与一般风险控制的区别表现在两个方面:IT价值管理包含在IT风险控制之中,构成了IT风险控制的特有维度;IT特定领域的风险控制是IT风险控制的专门领域,这些特定领域的实践和理论成果可以帮助企业实现IT特定领域的风险控制。
IT风险控制 篇2
项目风险的量化和分析:
1、风险的集中反馈
项目风险水平的要素:管理者的经验、项目发起的强弱程度、项目的重组和变
更、调整执行方案、必要的实践、市场及时间的假设、风险管理的效率、项目分工、项目动力水平、项目优先
级、团队规模及激励机制、管理技能、客户交流、基础
架构以及其他不安全因素。
2、问卷调查:主要从项目参数和目标用户的风险、技术风险、架构风险的角度来
调查项目展开风险的大小,数量化。
3、项目模型:计划评价与审查技术(PERT)
4、规模分析:风险的规模分为低风险、中等风险和高风险。
5、项目评估:由于当前的项目还在计划阶段,我们无法对项目做出全面的分析,那么我们的方法是:通过分析已完成的、与当前项目具有
相似风险规模的项目来对当前项目进行合理的评估,当然
还需要尽可能考虑到隐性风险。
6、项目风险度量:在这一部分重要的是能够较好地建立起度量的标准:可预示
性、可诊断性以及可追溯性。这三个标准分别重点针对了
项目实施前、过程中以及项目完成的后期。
7、财务风险度量:因为在项目的实施过程中财务方面的问题一直都是利益相关者
密切关注的,因此有必要将其从项目风险度量中单独提
出。其度量的主要标准有:货币的时间价值、投资回报分
析(ROI)、净现值法(NPV)以及内部收益率的计算法
则。
项目风险的管理:
1、项目文件的需求:项目文件包括了生产规模文件、计划文件和定期的项目交
流。
2、项目启动:前期要准备和主持想象的讨论会议,在讨论会上对风险管理的问题
进行跟踪以及提出合理的方案。
3、选择和执行项目的标准准则:要注重数据的收集,measurement baseline.4、管理储备量:基于已知的风险——最坏境况的分析、意外计划的分析、预算分
析;基于未知风险——利用标准来估计早期项目的储备;
储备的划分:时间表储备、预算储备、使用管理储备。
5、项目基本线的商议:较强的 项目发起;项目范围的设置;基于现实情况的商
议,包括组织商议会议和写下得出的结论。结论中应该包
括数据和原则性的协商、重大问题的解决、探讨相关的技
能和工作经验、最后还要得出一项结论。
6、项目计划的证实:公开项目最新的任务目标。
7、将有变更的管理具体化:其过程是首先提交计划变更的相关意见,其次阵对计
划的变更做出新的成本收益分析,再次要对该项变更做出
批示(同意、有修改地通过、拒绝、延期执行)最后就是
对做出的决议进行上下的交流。在这里应该注意做出的项
目变更越多,那么相应带来的风险就会越大。
有风险项目的监控:
1、从项目的计划入手,确保数据的准确性。
2、项目的监管:首先,对监管进行议定。包括定期的数据收集(主要由集中项目
办公室负责)、召开项目数据进展的相关会议以及数据的存储(online);
其次,项目的进展状况。分为硬数据和软数据。硬数据主要指的是图表,包括了进度表、资源、相关议题、问题、变更的数据;软数据主要是说一些非正式的信息,例如新旧项
目之间的冲突、个别团队成员低效率等。
最后,进展状况循环(周期)。包括收集项目进展的信息、进
展与计划相比较、问题的发现和交流。
3、收集项目进展数据:通过项目主管来负责,以达到避免数据的错误使用。
4、度量标准和趋势分析(差异分析+趋势分析)
检测性度量:进度表的度量标准。
资源的度量:慢性资源问题
范围的度量:其产生的后果包括预期的进度出现差错、需要追加预算和资
源、对于项目交付的影响以及对其他项目产生的影
响。
趋势分析需要在早期完成。
对议题做出回应,要求一方面要能够尽快地开展、完成工作;另一方面找出
最好的解决方案。
交流:首先,项目进度报告。以简明的总结开头,考虑使用软数据。注意:
随意地撰写报告反而会增加风险
其次,其他方面的报告,如presentation。
再次,项目进度会议,要求会议尽量简短,有良好的结构流程以及必
要的会议记录。
最后,非正式的项目交流,有助于员工之间的效率提高。
5、项目的获取:项目定义性的文件、所有项目计划文件、每次项目进展报告、其
他预期的项目报告或交流、变更控制的历史记录、后期项
目的可追溯性分析以及从整个项目中收获的经验教训。
6、项目的回顾与风险的反复评估:主要包括按原计划进行、对应预期的变化做出
相应的调整和摒弃对预期计划方案的采纳。
7、接管一个存在隐患的项目:其中可能存在的问题包括进度表滞后、过多的资源
消耗、员工及其他资源的低效率、所涉及的范围无法达
到、较低的优先性、与其他项目存在冲突、项目的发起不
IT风险控制 篇3
调查显示,受访者普遍认为,IT信息风险已经成为企业业务创新单一的最大抑制因素。高达80%的受调查者承认,企业曾因信息风险问题而放弃新的创新机会。
尽管IT信息风险对于业务创新的影响巨大,但企业对于信息安全部门的重视普通不足。IDC发现,尽管80%的CEO认为,安全团队为业务增长和创新做出了贡献,但只有44%的安全领导对安全团队为创新做出的贡献进行了衡量。调查显示,只有21%的受调查者认为,企业已成功实现信息风险管理和业务同步,促进而非阻碍着创新的开展。
“创新和安全是互补关系,而不是相互竞争。”IDC副总裁Chris Christiansen表示,企业在业务创新过程中,应该兼顾IT信息风险,并为企业安全团队布置足够清晰的业务创新衡量标准。
RSA总裁亚瑟•科维洛则表示,如何在业务创新和建立有效的IT安全实践间取得平衡是个难题。“如今,对于企业高级管理团队来说,IT安全问题已成为最重要的事情。对于企业而言,当前是进行文化、技术转变,以更好地将企业IT安全和业务创新战略同步的最好时机。”
IT风险及控制测评研究 篇4
内部控制评价是企业对自身制度的一种审视, 最初的内部控制评价是为了满足外部审计的需要, 其目标是通过审查和评价企业的内部控制, 进一步确定审计测试范围和抽查数量。后来, 随着企业内部控制制度在企业内部逐渐形成, 在制度基础模式下, 内部控制评价作为审计程序的一部分, 其目标主要是为审计服务, 确定审计范围, 提高审计质量和审计效率。到了20世纪中后期, 由于环境的变化、不确定性的增加、竞争更加激烈等因素, 导致企业面临的经营风险越来越大, 审计人员面临的风险也越来越大。在这样的背景下产生了风险导向审计, 此时内部控制评价的重点在于对控制风险的评价, 其目标主要是控制审计风险。
随着信息技术 (Information Technology, IT) 在企业的广泛应用, 企业的经营活动、各种数据传递以及财务报告的产生越来越多地依赖IT系统的自动化处理。自动化过程在给企业带来效率的同时, 也导致了需要有专门的内部控制措施才能加以控制的新的风险。为保障企业经营目标的实现, 如何识别IT风险, 如何对IT控制进行评价亟待研究, 以确保企业数据以及生成这些数据的信息系统的真实性和有效性。
本文通过分析信息系统业务流程, 识别IT系统业务流程层面的风险及控制, 提出基于IT系统产生数据的IT风险及控制测评指标, 为信息系统内部控制审计提供依据。
2 研究依据
《企业内部控制基本规范》第四十一条明确指出:“企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制, 保证信息系统安全稳定运行”。在《企业内部控制评价指引》中, 强调“应用信息系统加强内部控制的企业, 应当对信息系统的有效性进行评价, 包括信息系统一般控制评价和信息系统应用控制评价”。根据《内部审计具体准则第28号——信息系统审计》第四章信息技术风险评估第十三条:“进行信息系统审计时, 审计人员应当识别组织所面临的与信息技术相关的内、外部风险, 并采用适当的风险评估技术与方法, 分析及评价其发生的可能性及影响程度, 为确定审计目标、范围和方法提供依据”。美国《萨班斯—奥克斯莱法》 (SOX法案) 的404条款要求, 上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告。
3 IT风险及控制流程
IT风险及控制通常是指应用系统中程序化的控制和影响相关程序或数据完整性的风险及控制, 这些风险及控制会最终影响到财务报表的认定。
在识别IT风险及控制时, 第一步是理解公司的IT组织及结构, 包括IT管理及组织和应用系统的技术管理策略等, 例如整体的安全管理政策、应用系统的变更控制环境、数据管理和灾难恢复流程, 以及数据中心操作和问题管理领域等;第二步是对公司层面的IT控制进行评估, 例如IT操作及应用系统管理的授权及责任, 统一的政策及程序, 管理层和流程负责人所使用的风险评估程序, 有关预防、制止及发现欺诈的控制, 监督和分析操作或运行结果的步骤等;第三步是对IT流程层面的控制与评估。本文重点分析IT流程层面的风险及控制。
4 IT流程层面的风险及控制分析
企业在信息化过程中涉及IT规划、实施、运行、维护等一系列IT流程, 如果没有制度化与标准化的约束, 如果缺乏部门之间及流程之间的沟通与协调, 任何操作失误、安全漏洞或者项目隐患都有可能产生严重的后果, IT风险已经渗透到企业的各个流程层面。IT流程包括一般的IT业务流程、数据流程等。
4.1 一般的IT业务流程层面风险及控制
业务流程包括系统开发、系统和数据访问、系统运行/计算机操作、系统变更、终端用户计算等, 存在以下风险及控制:
●信息系统开发与使用违反国家法律法规, 可能遭受外部处罚、经济损失和信誉损失。
●信息系统开发与使用未经适当审核或超越授权审批, 可能因重大差错、舞弊、欺诈而导致损失。
●信息系统设计功能不科学, 技术方案不合理, 导致应用系统不能满足生产经营管理业务需求, 可能导致组织经营效率与效果低下。
●信息系统外包服务未恰当履行或监控不当, 可能导致企业权益受损或违约损失。
●信息系统访问安全措施不当, 可能导致商业秘密泄露。
●系统登录访问机制不健全、用户权限管理不规范等, 导致对系统的非法或非授权访问。
●密码设置强度不够, 造成系统泄密或受到非法访问。
●系统问题处理不及时、不规范, 不能保证系统问题得到及时有效解决。
●信息系统硬件管理不当, 可能导致企业资产或股东权益受损。
●系统变更管理不规范, 未经审批、测试, 导致应用系统运行和维护无法正常进行。
●维护不规范, 系统运行缺乏有效监控及维护管理, 影响系统安全稳定运行。
●备份策略和备份方案不完善, 导致系统数据丢失和数据、系统无法恢复。
●未经审核, 在财务报表生成过程中擅自使用终端用户计算, 导致损失。
●终端用户计算说明文档不完整或未填写, 备份管理不完善, 导致使用有误。
4.2 IT数据流程层面风险及控制
信息系统数据流程包括数据输入、数据处理和数据输出。存在以下风险及控制:
●输入数据有错或者重复输入, 导致系统的处理结果出错。
●进行数据处理操作的人没有被授权, 或者处理的业务没有受时序控制, 或者对处理的结果没有进行合理性的检验等, 会影响系统产生数据的正确性和完整性。
●未经授权的人对数据进行修改与接触。
●采集数据的接口不规范, 采集的数据类型不匹配, 数据的范围不能满足预先设定的范围等。
5 IT风险及控制评价指标
根据内部控制在信息系统中的作用与范围不同, 通常把信息系统的控制分为一般控制和应用控制。
一般控制普遍适用于所有的应用系统, 一般控制评价着重考虑与信息系统有关的系统开发、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求, 是否有利于企业内部控制目标的实现, 并以此评价信息系统的安全性、可靠性和合理性。应用控制是对信息系统的某一具体处理过程所实施的控制, 它随着所处理业务的不同而不同, 一般按照信息系统的处理环节分为输入控制、处理控制和输出控制。
5.1 一般控制评价指标
评价内容主要包括:组织和管理控制、对程序和和数据的访问控制、程序变更管理、程序开发和系统运行等几个方面。
5.1.1 组织和管理控制
是否具有合理的岗位和职责划分。信息系统部门职责及岗位职责是否明确, 不相容的职务是否分离。
是否具备满足控制要求的组织管理流程控制。管理层的分工、授权范围是否明确, 信息系统归口管理部门和用户部门之间是否建立职责分工表, 管理层是否明确系统管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责。
对信息技术人员的取得、培养和辞退是否建立必要的控制。信息系统人员招聘程序是否规范, 是否定期对员工进行培训, 辞退员工是否具有控制流程, 例如搞清其辞职的原因, 废除被辞人员的身份识别码和口令, 必要时需要让被辞人员在信息保密方面做出承诺。
5.1.2 系统访问控制
系统是否具有身份识别控制:访问应用系统是否需要用户名和密码进行登录认证。用户名、权限管理:用户名的添加、修改和删除是否由管理层授权后才能进行, 新增或变更用户权限是否由权限申请人申请, 经相关部门负责人审批后, 由应用管理员在系统中新增或变更用户权限。
不相容的岗位分离:系统管理员、应用管理员、安全管理员是否实行不相容的职责分工。
5.1.3 系统的开发、变更和维护控制
授权与审批:系统的开发和变更是否经管理层授权和相关部门负责人审批。
系统测试:新系统或变更的应用程序移植到生产系统前, 相关部门是否进行系统测试。
文档及版本管理:是否对信息系统的开发文档或变更文档进行妥善保存, 系统开发或变更的版本号是否进行记录。
数据迁移控制:新旧系统切换时, 是否对迁移结果进行测试、报告并确认。
系统维护控制:应用管理员是否按规定对系统进行安装、升级或安装补丁。
5.1.4 系统运行控制
系统运行安全控制:系统的供电系统是否符合要求, 系统运行场所是否具备防火报警系统、防雷电系统、防电磁干扰系统等, 系统是否部署防火墙设备或安装杀毒软件。
系统硬件软件控制:计算机硬件包括通信网络设备的运转情况及故障情况是否都有记录, 计算机软件包括数据库、操作系统、应用软件等是否具有访问控制。
系统备份与恢复控制:应用管理员是否定期对系统和数据进行备份, 备份介质是否和生产服务器异地存放, 并由专人管理, 访问备份介质是否授权并记录, 系统管理员是否定期对备份数据的可读性进行测试, 并对备份数据进行恢复性测试。
故障处理:对系统运行出现的故障是否具有故障处理流程和管理办法。
系统应急预案:是否制订系统应急预案, 并定期对业务人员、系统管理员、应用管理员进行系统应急预案的培训。
5.2 应用控制评价指标
应用控制评价可以结合企业业务流程特点, 着重考虑信息系统中与业务流程相关的控制点, 并以此评价相关应用系统操作数据的真实性、准确性和合规性。
应用系统控制分为输入控制、处理控制、输出控制。
输入控制包括原始单证审核控制、输入数据正确性控制、输入数据完整性控制、输入数据纠错控制。
处理控制包括处理权限控制、业务时序控制、合理性检查控制、参照检查控制、审计踪迹控制、备份和恢复控制。
输出控制包括输出权限控制、输出数据正确性控制、输出数据审核控制、输出资料分发控制、输出差错更正控制。
然后根据控制的类型分级, 分别设置一级指标、二级指标和三级指标, 并且分别设置权重和关注点, 然后进行计分、评估。系统一般控制和应用控制测评指标及权重设计如表1所示。
6 IT控制测评
6.1 IT控制测评方法
(1) 审查式测评方法。对制度规范、岗位职责、操作日志、日志审计、系统运行监控服务和控制设计 (如身份认证、权限控制) 等进行审查和评价。
(2) 测试式测评方法。对信息系统数据输入、数据处理、数据输出、数据迁移、数据备份恢复在保障系统安全情况下组织模拟测评, 对数据采集的真实性、完整性组织测评。
(3) 访谈式测评方法。对信息系统的重要使用部门和岗位人员、上级主管部门, 如财务、营销、供应和上级关联系统报表统计等组织访谈测评。
(4) 问卷式测评方法。对企业用户和利益相关方组织问卷测评, 如对银行存款储蓄的法人和自然人的存款结转、计息, 汽车加油站的加油计量和计价, 电信的电话计量和计价, 公路收费等组织问卷测评。
(5) 数据审计结合式测评方法。系统内控测评和电子数据审计相结合的测评方法, 可以利用数据审计发现的疑点对系统内控组织测评。
6.2 IT控制评价
在每项指标测评完成后, 每项测评指标都有一个分值, 然后使用矩阵分析法分别计算二级指标和一级指标的得分, 也可以运用层次分析法和模糊综合评价的方法, 评价IT内部控制整体情况。
7 结束语
随着信息系统的广泛应用, 企业的业务和信息技术日益融合, IT风险及控制成为信息化管理下企业内部控制的核心。如何识别IT风险及控制, 如何对IT控制做出评价, 将是信息化环境下的IT审计的重要内容。本文只是对IT流程层面的风险及控制的内容进行了分析与设计, 针对不同类型IT系统的计量与评价方法还有待于进步研究。
参考文献
[1]杨雄胜.内部控制评价——理论.实务.案例[M].大连:大连出版社, 2009.
[2][美]James A Hall.信息系统审计与鉴证[M].李丹, 译.北京:中信出版社, 2003.
物流行业IT风险管理分析论述 篇5
未来物流需求尤其是第三方物流需求规模将越来越大,预测到2010年中国物流行业的产值将达到12000亿元,2008年北京奥运会的总体物流需求约为2760亿元人民币。第三方物流市场在增长中细分,第三方物流企业在竞争中整合,第三方物流政策环境进一步改善,中国第三方物流将在新的起点上快速发展。
面对如此庞大的物流市场,物流企业纷纷引进了物流信息化,物流信息化主要表现为物流信息的商品化、物流信息收集的数据库化和代码化、物流信息处理的电子化和计算机化、物流信息传递的标准化和实时化等。
尽管中国绝大多数物流企业内部的物流信息管理和技术手段已经比较完善了,如条形码技术、全球卫星定位系统(GPS)、物资采购管理(MRP)和企业资源管理(ERP)等物流管理软件,在物流领域已经基本实施,公共物流信息交流平台,以EDI、互联网等为基础的物流信息系统在国内也得到广泛的应用。
但这些还远远不够,在企业的IT基础设施建设渐成规模的时候,IT对企业核心业务的重要性也日益凸显。随着企业组织在执行业务方面越来越依赖IT系统,越来越多协作商业模式不断涌现、各种类型的攻击者日趋老于世故、复杂的IT基础架构层出不穷的IT环境中,企业的业务安全正在经历巨大的转变,以致用于局部环境的安全技术和可执行性方案根本不足以应对现实中的风险问题。IT风险已成为企业领导者的主要顾虑,并且应被视为重大营运风险管理策略的一环。
那些缺乏对IT风险的有效监控和治理的企业正饱受这样一些困扰:企业的IT和数据始终面临风险,却缺乏总体的安全措施;企业无法预测潜在的风险,更不能采取有针对性的措施;企业无法保证IT的高可用性,更不能让其及时响应业务需求,并为客户、员工和供应商提供高质量的服务,等等。
于是,实施IT治理和风险管理解决方案迅速成为许多中国企业的当务之急。最近调查发现,79%的首席财务官(CFO)表示将在今后三年内逐步构建IT治理架构来整合信息,并进行业务分析。与此同时,64%的首席信息官(CIO)认为,统一安全策略和保护数据安全是IT部门当前面临的最大挑战之一。
IT治理和风险管理(IT Governance & Risk Management)是一个由若干步骤组成的过程,公司的风险管理始于发现风险(这些风险将影响核心业务流程),接着是根据这些风险对业务的冲击力来评估风险,随后是定义将采取的行动(默认、避免、减轻和转移),最后就是配置控件、并监控这些控件。而安全管理将提供跨越整个风险管理过程的能力,特别是在整个风险管理和操作过程中提供控件帮助减少风险。
不同的行业在不同的时期,其IT风险有着不同的表现形式。在应对这些IT风险时,我们也曾有过各种风险控制方法和模型,但一般都是针对技术风险提出来的,偏重于某一技术领域,而且大多是采用事后反应式的控制措施。在信息化的整合见效期,这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险,传统的控制方法存在明显不足。
科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相融合,促进IT为组织持续地创造价值,以实现有效益的信息化。
面向现代物流业的发展,作为信息技术的领头人,在物流行业,IBM秉持以客户需求为第一的原则,在进行了大量的市场和行业趋势研究之后,凭借领先的管理理念、雄厚的技术实力和全球丰富的行业实施经验,为传统物流企业提供多种业界领先的信息技术解决方案及专业服务,涉及其管理、经营和执行的各个层面,其中主要包括物流商务、物流规划及物流执行三个方面。
IBM的物流商务服务主要是指IBM为客户提供的物流商务运作模式咨询及分析服务,其中包括合同磋商、运费议价、运费管理和询价等多项具体的内容;而物流规划则主要是指帮助物流企业建设整合的物流信息化平台的规划,也包括运输成本分析、进出口贸易控制分析、运输需求协调、运输优化、资产计划和优化、报告和分析等具体项目;而在前两者的基础上,物流执行则是在原有规划的基础上具体的方案实施,比如国际物流管理、国内运输执行、仓储管理、需求量透明度、财务管理等具体的解决方案。IBM以上三方面的解决方案和服务都是基于IBM多年来服务于全球物流业的先进的经验积累,能够充分考虑到现代物流企业实际业务需求的方方面面,可以帮助他们充分实现自身业务的集成和创新,以信息化的管理手段提高运营效率并在未来创造出更大的价值。
面对信息时代带来的机遇和挑战,每一个传统的物流企业都需要借助行业伙伴的经验来加速自己的发展,因此他们需要寻找一个最佳的合作伙伴,能够站在未来发展的高度上,帮助自己建立具有长期可持续优势效应的管理及信息架构。IBM就是这样一个值得信赖的合作伙伴。IBM众多的熟悉和擅长于物流行业发展规划的咨询专家们,能够在对客户进行充分的了解和沟通后,为之定制适当的企业战略并最终设计出最为有效的解决方案。事实证明,在全球,IBM已经拥有如UPS、Fedex、Ryder公司等多家知名的物流企业客户;在中国,IBM也已同国内众多的合作伙伴一道,同诸如铁道部、上海南方综合物流中心等大型的综合物流中心,包括今天物流业界的新星掌运科技建立起广泛的合作关系。凭借先进的解决方案和丰富的行业实施经验,今后,IBM还将致力于为更多本地的物流企业提供全面、优质的咨询服务,帮助他们在严谨务实的信息时代顺利地实现从传统物流向现代物流业的飞跃性转变。
以家电连锁企业苏宁电器为例,为保持企业快速发展,苏宁电器“大笔一挥”,斥资3亿元请来IBM公司提升企业的内部管理效率。IBM将当好苏宁的“好管家”,在企业管理、流程变革、应用系统开发与IT管理等领域为后者提供解决方案,把苏宁打造成为世界500强企业。
虽然苏宁760多亿元的市值(2007年6月20日)稳居家电行业第一,但2006年苏宁609亿元的销售额依然落后于国美电器的869亿元。而孙为民最想做的就是通过完善IT平台树立苏宁在国内零售行业的标准,并在2010年以超过1500亿元的规模迈入世界500强。IBM & Cisco 联合设计的铁路行业智能解决方案是一个基于标准的、统一化的信息系统解决方案,充分利用铁路行业运营单位现有通信系统的投资,以帮助他们抓住新的运营、客户服务与安全方面的各种机遇。
挑战
随着城市道路堵塞情况的日益恶化,一些大城市和市郊每天的交通拥堵时间可能会长达数个小时。因此,人们迫切需要一个安全、便捷、高效的公共交通运输系统。尽管每天有数以百万计的乘客将火车、地铁、轻轨列车和公共汽车作为主要的交通工具,但是停滞不前的销售收入和难以提高的生产效率,使铁路行业运营单位都面临缩减运营成本,和提高乘客的满意度的挑战。
但是,有限的预算、日益严格的安全法规和传统的独立 IT 系统,为克服目前所面临的挑战带来了几乎无法逾越的障碍。当前最为紧迫的挑战为:
信息黑洞导致列车晚点和客流拥挤
各自独立的信息和通信系统,导致新应用开展困难
有些部门无法实时地获得关键准确的运营信息,导致生产效率无法提高
移动车辆和车站及调度系统之间缺乏及时的信息交换
不灵活的资源分配导致投资的浪费
不能有效的管理车辆和车站等资源,缺乏增加收入的方式
缺乏车载信息系统以提高乘客的满意度和列车服务水平
IT风险控制 篇6
打造符合中国国情的IT GRC
从合规角度来看,近年来,公安部、国资委、银监会、证监会、保监会都曾专门发布过针对信息安全或科技风险管理的具有行业特色的法规或指引要求,体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时,企业内部管理规范(被称为中国版“萨班斯法案”)对企业内部管理和风险防范提出了更加明确的要求,这极大推动了企业风险管理、合规管理类工具(IT GRC)的发展。针对这一市场,包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商,包括德勤、普华永道等在内的咨询公司,以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局,GRC产业在国内迅速崛起。
实际上,IT GRC的概念并不新颖,作为一个早被业界认可的通用术语,GRC代表一种思想和理念,是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展,从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上,国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求,国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。
上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构,由一批具有信息安全专业技能与管理实践经验的专家构成,在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作,先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。
安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中,安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去,需要IT GRC工具進行支持。其决策层认为:国内IT GRC应用市场存在巨大的潜在,国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此,安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。
IT GRC需求分析
在设计ITRMS之初,上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析,提出产品一定要有自己的特色,要有创新的风格,这是该产品开发的出发点和落脚点。
通常意义上,GRC应用或解决方案大都具备以下功能:定义企业风险与控制框架;设计风险管理流程;与ERP、SCM、CRM等系统对接,实现应用控制的自动监控;提供数据自动采集和智能分析;自动化系统审计测试;提供报表信息;提供其他附加功能,如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式,对企业运营过程中各类风险进行集中监测、预警和控制,并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。
尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起,但作为其中非常重要的一支——IT GRC,却并不显山露水。
一方面,传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,侧重企业运营和财务,并不特别针对IT,其无论是管理模式、操作方式、结果展示还是知识系统,都没有考虑IT的特殊性。
另一方面,企业IT又面临极大的合规压力和操作风险,特别是一些极度依赖信息系统的行业或领域,如金融、电力、通信等,层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演,都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。
就风险管理来说,以银行金融业为例,无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》,都强调对以信息科技风险为主体的操作风险的管理。信息科技风险,无论是从来源、范围、形态、特点还是影响上,都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。
首先,信息科技风险存在于企业各个领域和层面,只要有信息或信息系统的存在,都涉及信息科技风险。
其次,信息科技风险有着明显的时间性,从信息系统规划、设计、运行、更新到报废,信息科技风险存在于信息系统的全生命周期。
另外,信息科技风险有人为和自然因素,也有管理和技术之别,从起因上表现出多源性。
此外,信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域,具有形态的多样性。
最后,信息科技风险影响广泛,除信息系统外,还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。
近年来,公安部颁布的等级保护相关系列标准、银监会发布的《商业银行信息科技风险管理指引》、证监会发布的《证券期货业信息安全保障管理办法》、保监会发布的《保险公司信息系统安全管理指引》,都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。
IT GRC规划设计实施
通常来讲,IT GRC会出现两类情况:其一是以IT支持GRC,即基于IT来实施企业GRC,将GRC作为一个电子化的整合平台,这还是传统GRC概念;其二是针对IT实施GRC,即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。
IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案,在规划设计和实施操作中必须要考虑以下三方面问题。
首先,IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展,是描述企业是否采用有效机制,使得信息系统及IT应用能够完成企业赋予它的使命,同时平衡信息化过程中的风险,确保实现企业战略目标的过程。IT治理的使命在于:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,并适当管理与IT相关的各类风险。
其次,在统一的IT治理框架下,IT GRC必须建立起完备的IT风险管控机制,这是IT GRC最为核心的内容,具体包括:1)明确IT风险管理范围,构建IT风险库;2)建立IT风险管理流程,包括风险识别、风险评价、风险控制、风险监测等关键活动,同时确定识别时机和监测途径,确定风险偏好和可接受水平;3)参考监管要求和国际规范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立风险控制框架和基线;4)对风险进行持续监测;5)制定信息与沟通策略,建立风险报告机制。
另外,IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求,一方面应建立合规管理框架,包括识别合规要求,评估合规现状,建立合规映射,落实合规责任,推动合规检查,提供合规报告等活动。另一方面,还应形成风险与合规的联动机制,确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求,并能提供合规证据。
除上述三个大的方面,IT GRC还应建立支撑相关工作的流程操作和运行保障机制,并尽可能与企业信息系统和应用进行关联,最终实现信息科技风险和合规的全过程与实时性管理。
先进的IT GRC管理理念要想在企业中得到实践,并有针对性地为企业服务,咨询是其中的重要一环;企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。
安言ITRMS助力企业实现IT GRC
安言ITRMS是一个集合规管理、人员管理、风险管理、制度(体系文件)管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域,以IT风险库为基础,通过持续的IT风险监测和联动机制,实现IT全生命周期的风险管理,并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。
借助该平台,企业围绕IT规范化管理开展的各项工作,特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理,以及基于BS25999标准的业务持续性管理体系,都可以进行有效整合并嵌入其中,从而改变以往各自为政分散式的管理模式,基于信息科技风险管理与合规这一核心思想,形成集中化的管理模式。
管理对象:ITRMS支持全面的IT风险库,各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础,据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。
驱动机制:ITRMS覆盖业务相关的信息全生命周期,从需求分析到系统开发、系统上线、运维支持,涵盖开发和运维部门,涉及企业内部管理和供应商管理,通过风险监测及预警来驱动整个风险管理过程。
控制功能:信息科技风险管理落实到位,体现在各种流程化的日常工作当中,如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等,所有这些可能嵌入在其他专用系统和应用中的控制流程,都可以与ITRMS进行接口,以便与风险联动。
支持保障:通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理,为信息科技风险管理提供支持保障,这也是传统信息安全及信息科技管理最事务性的日常工作。
内外呈现:信息科技风险管理需要对外合规、对内追责。一方面,通过即时呈现,提供合规报告,从容应对合规检查。另一方面,落实责任,追溯到人,可随时展示工作业绩。
具体实现上,ITRMS采用层次化的软件架构,各层之间关系松耦合,下层通过接口为上层提供服务,如下图所示。其中,基础设施层为平台提供支撑,驱动层控制业务逻辑的流转,业务层为平台提供管理所需要的基本功能,展示层提供各种对外视图。
ITRMS采用层次化的软件架构
实际上,通过ITRMS的规划设计和部署实施,企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统,并形成企业内部一个专业化的PORTAL。
安言ITRMS软件一经推出就受到了国内越来越多的企业关注与应用,目前已经在中国银联、交通银行、太平保险等客户成功实施。通过ITRMS软件,企业将先进的管理理念传播到每一个业务环节,将企业管控体系进行固化,将企业运营状况和风险进行有效监控,保证企业的运营和管理合规性。ITRM软件有效地支撑了企业管控,向企业管理者和决策者快速、及时、便捷地展现了企业的IT管理和运营状态,从而有效提高业务响应速度、降低运营成本、降低运营风险、满足规范要求、提高企业IT管控和战略执行的效率和效果。
银行IT业务外包风险控制 篇7
一、银行为什么选择IT业务外包
(一) 专注于核心业务是根本
对于银行而言, 金融才是其核心力量。与其花大量的人力财力在维护系统和网络上, 银行更偏向于将IT业务外包给专业公司, 自身专注于加强金融业务创新, 改善金融服务质量等方面, 提升核心竞争力。
(二) 是保证信息服务质量的需要
银行系统的运作是一个十分复杂的过程, 每个环节对信息服务都有自身的独特需要。另一方面, 随着金融创新的发展, 银行业务越来越复杂, 银行对信息技术的要求也越来越高。通过IT业务外包, 银行可以将价值链中的每个环节交给最适合自身情况的专业公司完成, 更好地满足了自身对信息技术服务的高要求。另外, 对于那些没有充足的IT人才来构建自身信息框架的小银行而言, IT业务外包是其实现信息化的必然选择。
(三) 控制成本是重要因素
财务是银行选择IT外包时考虑在内的重要因素。通过IT业务外包, 银行可以削减在信息技术开发研究等反面的巨大开支, 进行成本控制, 重构信息系统预算, 从而解放一部分资源用于自身核心竞争力的建设, 避免“IT黑洞”。用同样的投入, 通过转移之后, 为银行创造了更大的价值。
二、银行IT业务外包的主要风险
(一) 系统性风险
目前, 我国银行使用的IT产品与服务, 如计算机中央处理器、操作系统、办公软件等大多都来自国外公司。因为自然灾害等不可抗因素, 国外公司的经营、资金运转出现问题的可能性是很大的, 由于银行系统环环相扣, 若某一个环节出现问题, 整个系统的运作势必会受到影响。
(二) 依赖性风险
当今是个信息化时代, 银行的运作依赖于整个信息技术系统。在IT业务外包商提供的全方位信息服务下, 银行的很多业务已经不能离开外包服务而独立展开, 过于强烈的依赖性给银行的经营发展埋下了隐患。如果IT业务外包商因破产或资金运转等问题而单方面违约, 不能按期更新银行信息系统或中止服务, 则很可能会造成银行某类业务的瘫痪, 甚至是整个系统的瘫痪。
(三) 服务质量风险
外包商是相对于银行独立存在的专业企业, 银行IT业务外包后, 银行的服务质量很大程度上将取决于IT业务外包商提供的服务质量。如果外包服务商不清楚银行业务流程, 不能充分理解银行业务需求, 不能保持自身技术水平的更新进步、服务意识又不强, 银行方面是很难进行干预的, 服务质量得不到保证。若银行对外包商不满意, 更换原有合作商, 则原有的信息系统又需要重新设置, 银行工作人员又需要去适应新的系统, 亦对银行服务质量的提高造成阻力。
(四) 信息安全风险
银行的信息技术系统外包给专业IT业务服务公司后, 企业内部在该方面的技术人员数量必然大量削减, 信息系统的更新, 系统漏洞修复等都是由外包商完成的, 而外包商是独立于银行的, 故银行对外包商的监管又受到了极大的制约。若IT业务外包商的内部控制出现漏洞, IT业务员职业道德丧失, 利用工作之便, 窃取银行内部资料, 泄露重要信息, 必会给银行客户以及银行造成重大损失。
三、如何加强IT业务外包风险控制
(一) 完善合同的签订
在与IT业务外包商确定合作关系前, 必须制定好完善的合同以明确双方各自的责任与义务, 如服务的质量标准、信息的安全保密、双方款项的交付、单方违约的处理、合同到期后的续签等问题。对于合作时间较长的, 银行应当结合自身在合同期内的发展战略, 充分考虑到不同阶段的特殊需求, 在合同中做相应补充。对于因单方的过失给银行造成的损失部分, 合同中应当分情况做出细致明确的赔付要求。力求通过完善合同的签订, 达到双赢的效果。
(二) 加强对外包方的人员管理
外包方人员窃取泄露银行内部信息, 是银行信息安全的一大隐患, 加强对外包方的人员管理, 强化其法律意识与职业道德意识是银行进行信息安全管理的重要内容。在日常操作方面, 严格控制外包方人员的操作权限并及时收回开放的权限;在核心业务方面, 要求外包方派遣信用度良好的资深员工, 并签署相关保密协议;在制度建设方面, 要求外包方建立相应的人员培训机制、相互监督机制以及不定期淘汰机制。
(三) 加强银行自身的业务独立性建设
在与外包商确认合作后, 银行不应在信息技术系统建设方面完全依赖于IT业务外包方, 而应在合作的同时, 派遣相应的业务员进行全程的跟踪监督与学习, 保证自身对所使用的信息技术系统的熟悉度, 加强独立性建设。如此, 在外包商因其自身原因而单方面违约时, 银行亦可以独立进行业务操作, 为银行选择下一个合作目标提供了时间, 保证了银行信息系统的正常运行。
(四) 建立完整的外包服务评测体系
外包商服务质量如何直接影响着银行的服务质量, 如何选择合适的外包商对银行至关重要。建立一个完整的外包服务评测体系, 通过自身专家小组的评测, 结合其他已合作过的企业评价, 来对外包服务方进行一个全面认识, 这不但有利于银行进行正确选择, 亦能督促外包方不断改善自身服务质量, 推动外包行业的健康发展。
信息科技技术高速发展的今天, 信息化已成为了众多行业的普遍趋势, 对于银行业而言, 要专注于核心业务, IT业务外包是必然选择。在这一过程中, 银行必须平衡好接受IT业务外包服务与保证自身业务独立性的关系, 加强信息技术安全监管, 积极稳妥地进行IT业务外包建设, 推动银行更好的发展。
(编辑:陈岑)
摘要:近年来, 信息科技技术发展迅速, 深刻影响着金融的运行, 金融机构出于成本、效率等考虑, 越来越多地选择了IT业务外包的方式。IT业务外包已然成为我国商业银行普遍采取的科技发展战略, 但同时也带来了一系列新的风险。如何规范银行IT业务外包, 加强其风险控制, 防范IT业务外包所带来的风险, 是当今商业银行风险控制的重要内容。
IT风险控制 篇8
关键词:IT治理框架下,IT风险控制,审计研究
风险控制是公司IT治理机制的一个重要组成部分,在信息化建设中,需要管理与控制各种风险,以便达到保护IT投资、维持系统持续运行的目的。以风险为导向的审计是合理规避IT风险的一种有效途径,在大型企业中举足轻重。企业IT风险控制与审计需要在充分考虑企业IT系统状况、IT治理结构以及IT审计资源的基础上,借鉴与吸收国际相关企业IT审计的领先实践,全面提高IT审计水平和IT审计人员素质,有效规避IT风险,为企业的未来发展保驾护航。
一、IT治理与风险管理
IT治理是一种引导和控制企业各种关系和流程的结构,确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT方面的要求,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。IT治理是企业治理结构中不可或缺的一部分,而相关的IT治理流程则可确保企业IT目标与业务目标保持一致,并可持续发展。因此,IT治理必须与企业战略目标一致,使IT发挥更大的作用、创造更多的价值,实现公司价值和利益的最大化。
IT治理领域中,首重策略、组织架构、政策与内部流程。控制风险、绩效评量与提供价值则为组织架构中关注的焦点。同时,IT治理牵涉的范畴,包含:IT服务提供、IT服务支援、营运业务展望、基础建设管理与应用管理。其不同视角的IT治理作用如下表。
保证所有的缺陷都已被控制所覆盖利用风险控制与审计策略管理IT风险,要求企业的高层管理者具备良好的风险意识,清晰了解企业对风险的态度,了解合规性要求,将风险管理的职责嵌入组织架构设计中,围绕信息化战略目标构建全面风险管理体系以进行有效的风险管理与控制。
二、IT风险管理体系
基于IT治理的IT风险管理需要执行一整套风险管理程序,必须建立风险识别、风险分析与评估、风险规避与应对、风险监控等流程并严格执行。从操作层面上分析,IT风险管理中对IT风险的控制与审计是风险管理中的两个重要环节,
(一)IT控制
IT控制就是在治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。
风险控制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。风险无法彻底消除,仅能降低、控制与移转,对于残余风险,企业需自行审视可接受的程度。然而,在进行风险控制活动前,需先进行风险评估,对于潜在影响的弱点与威胁胪列出来,并分析评估矫正的优先程序,然后再针对风险,设计有关的预防性、检查性与纠正性的控制。控制的设计,应该就风险评估后的结果,因此,完整的风险评估作业,是极为重要的,不好的风险评估会影响后续控制设计,甚至于控制执行的落实程度。当控制设计完成后,需再次检视相对应的管理政策与办法是否足够满足控制的目标,倘若现有管理政策文件无法满足控制目标的要求,应立即进行增修作业,务必达到与现有作业机制一致的目标。
随着组织的发展对IT的依赖日趋明显,内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化,业务对信息系统的依赖性增加,因此必须建立起有效的风险控制体系。管理层应从基本的内部控制环境着手建置,从一般信息技术控制环境到业务流程中的内部控制环境,其中应思考系统控制与人工控制紧密结合的协调性与完整性。
(二)IT审计
IT审计是一个获取并评价证据的过程,主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。
IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一,可以从组织整体业务风险的角度,对实施和运行的控制措施进行持续监控,以管理组织的业务风险。
IT审计可以作为符合法律、法规以及管理要求的控制手段,可以证明管理层建立并维护了恰当的内控措施;可以提供证据说明业务相关数据的完整性,以及可以证明具备合法权限的人正确访问数据;可以提供报警和审计报告确保管理层知道重大信息和任何变更;IT审计可以围绕数据提供报告用于合规性评估,降低遵从成本。作为组织IT风险控制的最后防线,IT审计为组织进行风险防范,提高设计正确性和加强应用的管理控制提供建议。
(三)IT治理、IT控制与IT审计之间的联系
IT治理是为组织建立一个长效的均衡的治理结构,在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的,因此IT治理侧重于宏观决策方面,要做哪些事,由谁来做这些事,以及如何建立决策机制、如何进行有效监控等。
IT控制就是在这样的治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。
IT审计是一个获取并评价证据的过程,主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估,判断管理层关于控制的声明是否是可靠的,所以审计必须保持其独立性,以第三方客观的立场进行检查和评价。
IT治理、IT控制以及IT审计之间既有联系又有区别。共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证,主要来自一系列相互依存的控制政策与程序,以及评价控制有效性的证据,这些证据可以证明控制是连续和充分的。IT治理要明确目标与方向,为IT控制环境与活动设定明确的目标。IT控制要建立一个完整的,具有弹性的内部控制体系,应对组织面临的各种风险挑战和意外事件。IT审计是获取与IT控制和保证措施相关的证据,评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。
IT治理必须在风险与利益之间找到均衡,通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。
三、企业IT风险控制与审计实务
(一)组织框架
企业IT风险管理组织框架应当从“决策—管理—执行”三个层面设立风险管理职能,并辅以审计监督机制。
决策机构,通常以风险管理委员会的形式,行使风险管理的决策、风险管理政策的制定与批准等职能。
管理机构通常为设置为风险管理委员会下的职能机构,如风险管理部,是风险管理政策的执行部门,负责根据风险管理的规章制度,协调各执行机构的关系,推动风险管理措施的实施。
风险管理政策与措施的执行是由信息技术部门、相关业务部门等涉及到IT及其安全运作的部门具体实施,尤其是信息技术部门承担大部分的IT风险管理政策、技术的实施。
IT审计部门作为IT风险管理的监督与审计部门,负责检查、评估企业IT风险管理战略、政策、组织与实施的有效性,并提出管理建议。
(二)IT控制与审计规范
企业IT控制规范可以参考财政部等五部委联合发布的《企业内部控制基本规范》及配套指引,建立有效的IT内部控制框架内,从公司内部控制层面、信息技术整体层面、业务流程层面等建立控制规范。企业IT控制以风险为导向,规范企业组织结构、明确岗位权利责任分配,建立科学的绩效考核体系和制度,提升企业风险管理和应对能力,通过风险评估对企业内部控制体系进行持续评价和改进,最终建立配套信息系统,实现内控体系的信息化落地。从风险的角度去审视内部控制有没有做好;通过对绩效指标的监控去实时检测有没有风险发生,然后再去找到企业的缺陷漏洞;最后通过信息系统将这个体系落地执行。
企业风险管理体系的控制层面上,内部审计发挥着重要的作用,以风险为导向的审计是合理规避IT风险的一种有效途径。IT审计应当建立一套完整的审计标准、规范,并提供可供参考的IT审计指南与实施细则。企业IT审计应当在内部审计总体框架下开展,在制定内部审计章程时要体现信息化条件下内部审计工作的特点,制定有关IT审计的规范与要求,必要时可进一步制定IT审计工作规范。
IT审计是信息技术条件下的内部审计,具有较强的操作性要求,参考各行业的内部审计工作经验,吸收国家审计机关的制度与操作指南,可以从IT整体控制审计、应用控制审计两个方面编制实施细则。
1.IT整体控制审计———确保程序和数据文件的完整性、确保信息系统良好运行。审计内容包括IT基础设施、系统开发、系统运行与维护、变更控制、网络安全控制、访问控制等普遍适用于所有的应用系统的控制。
2. 应用控制审计———应用控制与特定的应用程序有关,设计应用控制是为了应对威胁应用系统的潜在风险,确保应用系统处理数据的有效正确而实施的控制。应用控制审计主要包括业务流程控制审计、数据输入处理输出审计,提供业务信息完整性、准确性、有效性、可用性保证。
此外,企业的信息化规划应当在充分考虑风险管理与审计需求的基础上,建立并完善信息化审计工作平台,充分利用信息技术推进IT审计服务于企业治理与全面风险管理,实现价值增值。
四、小结
企业IT风险控制与审计是IT治理中的重要内容,本文提出的基于IT治理框架的风险控制与审计体系在企业IT管理实务中发挥一定的作用,如何更深入地探究IT风险控制与审计及其作用机制、绩效评价等,还需要结合我国企业管理现状进一步展开研究。
参考文献
[1]ITGI,Control Objectives for Information and related Technology[M].ISACA,2010
[2]李自洁,李若山.集团企业ERP的风险分析与控制[J].研究与发展管理,2007(12):72-77
[3]雷英,吴建友.内部控制审计风险模型研究[J].审计研究,2011(1):79-83
IT风险控制 篇9
根据人民银行信息化发展实现应用系统整合和数据共享的总体思路, 近几年来, 人民银行已经先后实现了货币金银管理系统、金融统计调查系统、征信系统、国库核算类系统、中央银行会计核算系统等重要业务系统和邮件系统、人事信息系统、防病毒系统等系统的数据集中及整合。数据集中后的基层央行IT系统现状如下:
(一) 中心机房服务器群规模迅速缩小, 科技部门系统维护的工作量减少
随着数据大集中的推进, 基层央行撤消了原来的信贷登记系统服务器、国库类服务器以及中央银行会计核算类服务器。服务器的撤销减轻了基层央行科技部门的日常运维、数据管理、系统升级等工作量。
(二) 基层央行科技部门的工作重点发生变化
在数据大集中前, 基层央行科技部门的主要工作是保障各个重要业务系统的安全稳定运行, 在数据大集中后, 形成了以总、分行为数据中心的业务格局, 各个业务系统的操作通过网络进行, 网络安全和客户端安全成了基层央行科技部门的重点工作。
(三) 在人民银行争先创优背景下, 基层央行各业务部门在现有的业务系统体系下结合实践开发创新系统的需求增加
业务需求不是一层不变的, 基层央行业务部门作为业务系统的操作者和实践者, 对业务需求的变化和改进最具发言权。在争先创优的政策鼓励下, 基层科技部门也会投入更多精力配合业务部门实现创新业务系统的开发。
二、数据大集中下基层央行主要IT风险
数据大集中改变了基层央行IT部门的工作重点, 同时也使得IT风险不断变化。结合基层央行现形势下的实际工作, 基层央行数据大集中后面临的主要风险有:
(一) IT风险管理工作流于形式
自2007年以来, 人民银行一直在开展信息安全风险评估工作。此项评估要求人民银行各级机构通过对机房环境、网络安全、应用安全、保密技术、信息安全管理、安全运维等几方面进行自查评估并定时整改。整体上来讲, 信息安全风险评估囊括了人民银行IT系统的方方面面, 从管理、运维、审计等多个角度促进了IT系统的不断完善。但是, 信息安全风险评估执行多年来, 已经成为了一项流于形式的考核工作。多数基层央行除了在第一次评估时投入了较多的精力, 在一年一度的信息安全基线工作中, 没有认真核实当下信息安全风险点的变化, 对IT风险管理工作不够重视。
(二) 网络安全风险问题突出
数据大集中后基层央行的网络成了IT部门保障的重点, 但就目前来看, 基层央行网络风险问题是IT系统风险中最突出的。
第一, 基层央行网络信息安全意识仍然处于被动的封堵漏洞状态, 网络监测、防护、响应、恢复和抗击能力较弱, 网络信息安全防范机制有待提升;
第二, 基层央行网络安全管理水平不高。对于基层央行特别是县市支行, 缺乏专业的网络管理人员, 一方面, 网络维护人员的风险防范意识较差, 另一方面, 网络维护人员缺乏网络安全相关知识的系统培训, 知识结构相对老化, 无法正确把握网络系统中存在的安全问题;
第三, 网络客户端的安全隐患仍然存在, 虽然人民银行对网络客户端实施了病毒防护、软件补丁升级控制等操作, 但是不能防范由于内部人员违规操作、人为破坏等因素造成的网络风险。
(三) 客户端隐患严重
一直以来, 基层央行客户端的操作系统和应用软件无法正版化是困扰基层央行科技部门的大问题, 直至近几年, 总行实施集中采购, 操作系统正版化才逐步得到解决。但是客户端隐患仍然严重, 举两个例子来说, 基层央行无法使用正版的WINDOWS7系统, 一旦安装该系统, 人民银行非法外联系统就会报警, 显示该机器有非法外联行为;微软已经停止了对OFFICE2003的技术支持, 但基层央行的大部分机器仍然使用该软件。
(四) 新系统开发缺乏控制
由于数据大集中, 基层央行业务部门对自身业务的需求大多数是通过本级科技部门开发新系统实现。为了提高系统开发标准化和软件开发质量, 人民银行科技司发布了《中国人民银行软件开发规范V3.3》, 作为各级人民银行科技部门的开发指引。对于基层央行, 系统开发存在的主要问题有:科技力量有限, 系统开发过程中使用的相关技术可能不符合安全指引;对于有共性需求的小业务, 各地存在独自开发、重复建设的问题;缺乏规范的控制措施检验基层央行自行开发的系统。
三、数据大集中下基层央行主要IT风险控制
针对基层央行现阶段的主要IT风险, 建议主要从制度、人员、监督等几方面加强控制。
(一) 加强风险认识、完善IT风险管理制度
基层央行应该正确认识IT风险, 不断完善IT风险管理制度。在人民银行信息安全风险评估的基础上, 制定人员管理、岗位管理、网络管理、应用管理等多方面的安全管理规范指引, 对可能出现的风险问题进行细化并通过完善应急预案来保障IT系统安全。
(二) 加大基层央行科技人员培训力度
基层央行特别是县市支行的科技力量不足是制约基层央行技术发展的一个瓶颈。基层央行应加强科技人员培训力度、提高科技人员素质, 一方面组织基层科技人员积极参加上级行推广的业务应用系统培训, 可以及时了解业务系统使用中的风险管理要点, 另一方面, 上级行定期组织科技专业知识培训包括网络管理、安全防范、软件开发等, 及时更新基层科技人员的知识结构, 增强技术人员发现安全问题并处理问题的能力, 适应央行信息化发展的工作需求。
(三) 上级部门加强指引和监督
在数据大集中下, 总行的软件开发规范、分行的网络运行管理规定等都是对基层央行IT技术管理的有效指引。除了将指引通过文件形式下发到基层央行外, 上级行应该建立奖惩制度, 通过审核、监督等行为督促基层央行实现IT风险有效管理, 使得规范、指引落实到位。同时上级部门也可以通过调研、实地考察等手段收集基层央行IT风险工作中的要点、难点, 提供合理的建议帮助基层央行解决IT风险问题。
摘要:近几年来, 随着我国信息化建设的不断发展, 人民银行逐步实现了业务系统的数据集中。数据大集中后, 基层央行科技部门的重点也随之发生了变化, 从以前的系统维护、数据管理转移到系统的运行管理和网络管理, 基层央行的IT风险点也在变化。本文将结合基层央行实际, 概述数据大集中下基层央行的IT主要风险, 并提出风险控制的相关建议。
IT风险控制 篇10
中小企业在企业信息化进程中, 受到环境、人才、资金、员工意识等诸多因素的制约, 从总体上看效果不理想, 采用IT外包的方式可以整合企业外部的IT资源, 解决了中小企业信息化的“技术瓶颈”, 因此, 越来越多的中小企业都选择了IT外包的方式实施信息化项目。研究中小企业如何合理实施IT外包项目具有重要的现实意义。
实践结果和较多的研究文献表明IT外包的过程伴随着较大的风险。通过对文献的归纳总结, 作者认为IT外包风险主要来源于外包企业内部和企业外部两个层面。来源于外包企业内部的风险主要包括IT外包的不合理决策和企业的IT管理能力不善;IT外包宏观环境的不确定性以及外包商的机会主义行为是主要的外部风险。一般来说, 外包企业可通过提高自身的管理决策能力和IT治理能力等手段来控制源自于企业内部的外包风险。由于IT资产具有较强的专用性和IT工作评价的复杂性, 加之中小企业规模较小, 难以与掌握技术优势的外包商讨价还价, 外包商容易采取机会主义行为, 因此, 管理好外包商是控制IT外包风险的一个重要因素。
1 监督外包商的最优力度分析
1.1 博弈模型
在进行分析前, 本文作如下假设:
(1) 外包商是风险中性的, 努力工作将得到的代理费用为W。如果外包商有机会主义行为并被外包企业监督发现, 外包企业将与外包商解除合约, 且处以数量为C的罚款, 外包商可以获得W0的保留代理费用。定义外包商努力工作的事件为E, 如果采取机会主义行为, 由于可以减少投入成本, 将获得额外收益V。
(2) 外包商在两种情况下可能会被发现有机会主义行为。第一种情况是被外包企业的监督体系发现, 定义为事件M, 机会主义的行为不能发现的概率为Pm, 发现的概率为1-Pm。第二种情况是外包商在IT外包项目中提供产品或服务不符合项目要求出现问题, 定义为事件F, 此类事件不发生的概率为Pf, 发生的概率为1-Pf。
(3) 假设外包商提供的产品或服务不符合要求的概率与外包商的努力程度正相关。
整个过程用一个三阶段的不完全信息博弈树表示如图1所示。
第一阶段:在博弈树的起点S上, 外包商选择努力或不努力。选择努力, 则博弈在A2结束, 外包商得到收益W;如果外包商选择不努力, 则博弈达到A1。由于外包企业无法预测到外包商的选择, 因此, A1、A2不能单独构成一个子博弈。
第二阶段:外包企业选择监督水平, 外包商被发现不努力的概率为1-Pm。如果发现博弈达到B1结束, 这时外包商的收益为W0-C。如果仍然未被发现, 进入第三个阶段博弈。
第三个阶段:外包商提供的产品或服务如果出现不正常, 且确认是由于外包商的机会主义行为造成, 此时该博弈结束, 外包商的收益为W0-C;反之如果产品或服务正常, 外包商的收益为W+V。
为了使外包商选择努力水平, 则要求努力时的收益不小于不努力时的期望收益。外包商选择不努力时, 其期望的收益为:
(W0-C) × (1-Pm) + ( (W0-C) × (1-Pf) + (W+V) ×Pf) ) ×Pm (1)
外包商选择努力水平的参与约束为:
W≥ (W0-C) (1-PmPf) + (W+V) PfPm (2)
由 (2) 有:
从上式可以看出, 如果市场保留的代理费用W0和外包商采取机会主义行为所获得的额外收益V越高时, 外包商采取机会主义行为倾向的概率就越大。同时可以看出, 当外包企业发现外包商的机会主义行为时, 如果惩罚的力度C不够大, 也会促使外包商的机会主义行为。
令
1.2 最优监督水平的确定
由
在P*m监督水平最优时, 监督的边际成本等于监督的边际收益。当Pm<P*m时, 监督成本大于监督的边际收益, 属于过度监督;反之, 在Pm>P*m时, 监督的边际成本小于监督的边际收益, 监督力度不够。
2 对外包商的声誉激励
外包企业对外包商的激励主要有显性激励和隐性激励。一般来说, 中小企业显性激励的作用不明显, 隐性激励特别是声誉激励对外包商的管理会有较大的促进作用。
声誉信息的传播对外包商形成激励要通过一系列的环节和不同主体之间的合作才能完成。声誉的信息在订立合约前起到信号显示和甄别的作用, 在订立合约后主要是起隐性激励作用。外包商声誉信息的迅速传播是声誉激励的一个必要条件, 如果中小企业形成的行业联盟、行业协会或具有一定影响力的社会其他机构去传播声誉信息, 这对外包商的激励作用越大。
当IT外包项目的合约完成后, 外包企业需要对外包商在完成项目中的行为进行评价。如果评价结果达不到合约要求, 就传播该外包商的声誉信息, 从而让外包商贬值;反之, 则可以让外包商在以后的IT外包项目中有可能获得更高的代理费用, 外包商升值。订立合约后的外包商声誉传播机制如图2所示。
当发现外包商的机会主义行为时, 只有外包企业惩治的威胁可信才是有效惩罚外包商的必要条件。建立对外包商机会主义行为的多方惩罚机制, 使得外包商机会主义行为的声誉信息传播出去以后能够被其他的潜在外包企业识别和认同, 并协同其他外包企业对外包商进行抵制, 这是声誉激励能否发挥作用的一个关键。在信息不对称的情况下, 建立对外包商声誉的多方惩罚机制是中小企业对外包商管理的一个重要手段。
3 中小企业IT外包风险控制策略
相对于具有技术优势的外包商而言, 中小企业在IT外包中处于不利地位。通过以上对外包商监督水平和声誉激励的分析, 作者提出了四条中小企业IT外包风险控制的策略。
第一, 建立第三方监督机制。
在合约执行期间, 加强对外包商的持续监督。重点是成立由中小企业联盟或者外部专家组成的监管小组, 定期和不定期地对外包商的业务能力、服务质量及其财务状况等进行检查, 以便及时发现问题, 采取应对措施, 降低风险。
第二, 合理设计外包合约。
外包合约应尽力设计完整、明晰。首先, 应明确服务边界, 包括外包商的职责、外包商未能提供约定服务水平的条款;其次, 外包合约应包括解决双方争端的程序, 以便双方在争端出现时能够妥善解决;最后, 外包合约还应包括外包企业终止合同的权利, 以及在合约终止时外包商必须提供的必要项目资源。
第三, 创新外包方式。
在IT外包的实践中, 外包企业和外包商之间不仅仅是一对一的关系, 可以采取一些新的外包方式, 譬如多个中小企业和一个外包商合作, 这种外包方式对于中小企业来说在一定的情况下可以降低外包企业与外包商之间的协调费用和合约的复杂性, 而且外包企业之间可以相互协作、共享资源和共担风险。
第四, 加强IT外包的关系管理。
中小外包企业应积极与外包商合作, 构建良好的伙伴关系。良好的伙伴关系可以使外包企业和外包商之间相互依赖和信任, 从而建立长期承诺, 实现共同合作, 共担风险和收益。
参考文献
[1]EARL M J.The risks of outsourcing IT[J].Sloan Managem ent Re-view, 1996, 37 (3) :26-32.
[2]张金隆, 丛国栋, 陈涛.基于交易成本理论的IT外包风险控制策略研究综述[J].管理学报, 2007 (1) :126-134.
[3]秦仪.IT外包关系质量研究[J].管理学报, 2006 (11) :669-672.
[4]林则夫, 陈德泉, 温珂.试论信息技术外包中的风险管理策略[J].科学学与科学技术管理, 2004 (2) :133-135.
[5]谯谊, 甘仞初.信息系统外包关系框架及其影响因素分析[J].科学学与科学技术管理, 2007 (1) :33-37.
[6]李雷鸣, 陈俊芳.理解企业外包决策的一个概念框架[J].中国工业经济, 2004 (4) :94-99.
[7]储小平, 王宣喻.职业经理的成长与民营企业的发展[M].广州:中山大学出版社, 2006.
IT风险控制 篇11
银行IT风险的主要特点
从风险的属性来看,信息科技风险是银行操作风险的重要组成部分,具体而言,就是商业银行在运用信息科技的过程中,由于受到自然因素、人为因素、技术漏洞和管理缺陷影响而产生的风险。与其他领域的风险相比,信息科技风险具有以下主要特点:
信息科技风险具有突发性,应急处置难度大。从科技风险发生的过程来看,外界因素的突然变化往往引致风险事件的触发,如自然灾害、电子元器件故障、电力中断和网络瘫痪等。这些因素不但难以预测,而且也经常疏于防范,因此一旦发生,将立即对银行整体信息科技系统产生巨大的影响。同时,由于信息科技风险的突发性,银行在处置应急事件时也处于被动地位,需要在短时间内对风险发生的原因、路径做出分析并找到解決方法,这也给银行提出了更高的挑战。2011年3月,日本第二大银行集团瑞穗金融集团子公司瑞穗银行的电脑系统受到大地震影响,连续出现大规模故障,行长引咎辞职。
信息科技风险具有隐蔽性,日常管理难以发觉。目前,银行主要业务流程均已实现信息化,业务的开展主要依托信息平台。但是,由于应用系统的设计者对银行业务流程的不熟悉,或是对风险点的考虑不周全,往往在系统设计之初就留下了缺陷。这些缺陷往往存在于系统底层,通过日常管理和维护难以发觉,只有经过长期大规模应用后才能逐渐被发觉,体现出较强的隐蔽性。2006年,由于工商银行纸黄金交易系统存在漏洞,樊某和宋某利用2.7万元本金,在短短十天内就获利2100万元,虽然最后经法院审理撤消了相关交易,但给银行引发了巨大的声誉风险。
信息科技风险的影响范围具有广泛性,破坏性很强。在当前银行数据大集中的背景下,一旦总行核心系统和主干网络出现故障或受到攻击,将立刻传导到各分支结构引发连锁反应,造成全行性的业务停顿和与客户流失的灾难性后果。商业银行的强外部性也使得银行的风险容易外化,成为个人、企业乃至经济运行整体的风险,因此一旦信息科技系统出险,也将波及银行体系外的经济活动参与者,造成无法估量的损失。2007年12月,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,中断营业近1个小时。
信息科技风险具有专业性强,复杂程度高。作为金融业务与信息技术结合的产物,信息科技风险不但兼具两者的专业性特点,而且由于技术交叉,又衍生出了新的特点。特别是近年来,伴随着新兴技术的快速发展,网络攻击、木马钓鱼、黑客病毒的技术水平越来越高,银行的处置的难度也越来越大,需要不断提升自身防范能力和技术水平,才阻断风险发生和蔓延的路径。2011年,荷兰合作银行受到分布式拒绝服务(DDoS)攻击,致使其网络银行和移动银行服务几乎完全瘫痪,造成客户无法登陆网银和手机银行,严重影响了该业务的正常使用。
境外银行IT风险监管的主要做法
作为操作风险的重要组成部分,对信息科技风险的监管已成为国外监管当局关注的重点之一。新巴塞尔资本协议明确提出信息科技风险是操作风险的重点,巴塞尔委员会发布的《操作风险管理和监管的良好作法》也同样适用于对信息科技风险,银行应建立业务条线管理、独立的法人操作风险管理部门和独立的评估与审查这三道防线,对信息科技风险进行全面管理。从实践经验来看,各国监管当局主要采取以下做法,加强对信息科技风险的监管:
发布监管文件、指引。美国在1999年颁布金融现代化法案,规定金融机构必须实行安全计划来保护客户个人信息,是目前众多信息科技风险监管法规和监管指引的基础。随后,美国联邦存款保险公司(FDIC)发布《信息科技检查程序》(Information Technology Examination Procedures)和《金融机构使用国外第三方服务提供商指引》(Guidance for Financial Institutions on the Use of Foreign—Based Third—Party Service Providers)等文件,为商业银行进行科技风险管理提供了指引和框架。新加坡金管局(MAS)也于2008年发布了《网上银行和科技风险管理指引》(Internet Banking and Technology Risk Management Guidelines)。
监管评级。美国联邦金融机构检查委员会(FFIEC)制定了统一技术风险评级标准(Uniform Rating System for Information Technology),用于评估金融机构和IT服务提供商的技术风险,详细了解被监管机构的信息科技风险敞口,从而采取相应的监管政策。荷兰央行对金融机构采用FIRM(金融机构风险管理)评级,通过综合评级将金融机构风险由低到高分为T1至T4级别,并据此规划监管资源、安排监管计划。
加强对外包服务的监管。澳大利亚审慎监管署(APRA)要求被监管机构应当对第三方服务协议和水平进行持续监测,尽职调查服务供应商的服务水平和潜在风险,关注服务协议内容对IT安全框架的影响,并建立服务报告机制。美国银行服务公司法案(Bank Service Company Act)规定,监管机构对第三方技术服务提供商具有同等的监管权力,多家监管机构“轮流主持”,每两年确定一个主监管机构,主导对第三方技术服务提供商的监管。
现场检查。香港金管局年报披露,2011年香港金管局共实施了18项针对信息科技、网上银行及业务操作风险的现场检查,并计划于2012年进行专题审查,以评估被监管机构对通过网上银行、手机银行及电话银行服务进行的交易的安全管控,以及对信息科技问题及变更管理程序所实行的管控措施。
国内银行IT风险监管问题
银行间信息科技水平差距较大,基层银行信息科技风险管理能力薄弱。以工商银行为代表的大型银行在信息科技领域进入较早,把大量的人力、物力、财力资源投向信息科技建设,因此在信息科技基础设施、核心系统建设、系统数据集中建设等方面都取得了非常突出的成绩,部分领域还走在了国际前列。但是大部分中小银行,特别是城市商业银行和农村金融机构等基层机构,由于受到先天不足等因素的影响,银行信息科技建设普遍滞后,信息科技风险的防控意识还很淡漠,防控手段也十分有限。
董事会、高管层重视不够,技术、业务、风险部门沟通协调不足。虽然银行的董事会和高管层已逐渐认识到信息科技对于提高经营效率、防范经营风险的巨大作用,但是在深层次上依然把信息科技风险理解为“技术问题”,没有把科技治理和信息科技风险防控提高到银行发展战略的高度上来。而技术部门、业务部门和风险部门也由于缺乏相应的协调机制,彼此有效沟通不足,因此容易形成“各说各话”的局面,对信息科技风险的认知不够全面具体,仅仅作为低层次的“操作问题”,缺乏有效的治理架构。
科技软硬件设施基础薄弱,灾备应急能力不足。受技术水平和投入资源的限制,部分国内銀行在科技软硬件设施建设还存在许多问题,核心设备存在单点故障隐患和性能不足的问题,一旦出现故障,将直接导致核心网络系统瘫痪。计算机机房、网络构架、防火墙建设不达标的问题时有发生。同时,作为信息科技风范防范的重要环节,我国银行在灾备中心的建设方面还有很多缺陷,部分银行认为灾备中心建设资金投入大、周期长、运维成本高,因此仅采取初级的方法进行数据的简单拷贝备份,无法满足跨平台、跨系统和业务持续的灾备要求,更不具备真正的灾难恢复能力。 信息科技风险专业人员缺乏,人员配置比例较低。信息科技系统的开发和应用人员除了要掌握信息系统构架和技术,更要对银行业务十分熟悉,必须具备综合运用的能力,而应对突发的信息科技风险,更要由具备丰富技术经验的人员在第一时间发现问题并予以干预。我国大部分银行的信息科技建设起步较晚,在人才培养和积累方面还很不够,信息科技人员占银行全部员工的比例远不及国际平均水平,个别银行信息科技人员兼岗现象严重,并无科技背景,只通过短期技术培训,履职能力更是十分有限,无法满足银行系统开发维护的需求。
信息科技项目开发水平有限,外包服务依赖性强。信息科技项目的开发具有较强的专业性,部分银行受制于人力资源约束,因此将大部分项目开发外包给第三方。但是,由于缺乏对外包服务供应商的准入审核,对外包服务的评估和跟踪也没有相应的制度安排,银行员工往往只能掌握系统应用和简单运维,无法自主进行系统功能拓展,应对突发事件的水平更是难以保证。对外包服务管理的欠缺和对外包服务商的过度依赖,严重影响了银行的业务创新和发展,同时也为客户资金和信息安全埋下了隐患。
从目前国内银行业整体情况来看,信息科技风险的管理意识已有了较大程度的提高,核心业务系统和数据中心建设不断完善,应急体系的建设也取得了较大的进步,提升了信息科技风险的管控能力。但是,我国银行业科技治理的水平不高,科技管理不够精细,业务连续能力有待进一步加强,在防控信息科技风险方面还有诸多不足。
加强银行IT风险监管的建议
“十二五”时期是我国银行业改革与发展的重要历史时期,银行业必须抓住这一有利机遇,促使信息科技在银行业务领域的快速发展,以进一步发挥信息科技在银行经营管理中的基础性作用。当前,我国银行业面临复杂多变的国内外经济环境,金融危机和欧债危机的震荡影响还远未消除,稳健可持续经营的压力不断增加。信息科技要承担起对银行业务发展与创新的支撑作用,进一步强化风险管理的使命,提升银行经营管理的效率,不断提高核心竞争力。与此同时,快速发展的信息技术也对银行信息科技风险管控提出了更高的要求,给监管部门也提出了更严峻的挑战。2009年,银监会正式颁布实施《商业银行信息科技风险管理指引》,随后又组织编写了《商业银行信息科技风险现场检查指南》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中心监管指引》等配套手册和制度,以此为据开展了一系列信息科技风险自查、检查、整改工作。2011年10月,银行业信息科技风险管理高层指导委员会成立,在制度建设、工作规划、专业指导和研究等方面取得很大进展,对银行业信息化建设和科技风险管理进行研究、指导、咨询、建议、协调的作用逐步显现。2012年8月,银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范。可以说,信息科技风险监管工作正在有条不紊地推进。立足当下,着眼未来,银行业应重点从以下几个方面入手,加强银行科技信息风险管理和监管。
将信息科技风险纳入银行全面风险管理体系。银行要把信息科技风险管理作为常态化风险管理工作内容,加强董事会、高管层和专业委员会的科技风险管理履职能力建设,在银行全体员工中树立并强化科技风险安全意识,在业务全流程中时刻关注信息科技风险,建立完整的风险识别、计量和处置制度安排和流程设计。监管部门在开展非现场监管和现场检查时,必须把信息科技风险作为关注重点,把信息科技风险防控纳入银行评级体系。
完善信息科技风险治理架构。银行应按照巴塞尔委员会《操作风险管理和监管的良好作法》的要求,建立起信息科技风险管理的三道防线,特别是要加强银行内部对信息科技风险的独立评估审查。监管部门要定期对银行科技治理情况进行审查,督促银行建立职责明确、功能互补、相互监督、相互制约的信息科技风险防范的整体架构。
加大软硬件基础设施投入力度,完善灾备应急能力。银行要建立适度超前的IT基础设施和统一平台框架,为核心系统的持续扩展留下空间,建设高效率、低能耗的数据中心,强化系统核心安全机制建设,保障信息安全。要对信息系统的运行状况进行全程监控,制定应急预案和业务恢复机制,并以较高标准做好数据转移和备份工作,加强灾备演练,以应对突发事件的冲击。
强化对技术外包的风险管理。银行要建立健全外包服务管理制度,加强对服务供应商的资质审核,选择适合的服务供应商成为长期合作伙伴,以确保信息系统建设的持续性和应对突发问题的可靠性。监管部门要加强对银行外包服务的监督检查,指导银行科学制定外包管理策略,合理规划外包服务规模,加强对外包服务风险的防控。
努力培养科技人才,做好信息科技人才储备。银行要树立“人才为本”的理念,加强信息科技人才队伍建设,通过适当的激励机制,吸引高端人才不断加入。同时,要建立信息科技定期培训机制,推动从业人员不断更新知识体系,强化信息科技风险意识。
IT项目风险分析及管理 篇12
1.1 IT项目风险有两个特征
不确定性——风险的事件可能发生也可能不发生, 没有100%发生的风险。
损失———如果风险变成了现实, 就会产生恶性后果或损失。
1.2 按风险类型来说, IT项目有以下几种不同类型的风险:
项目风险:项目风险是指潜在的预算、进度、人力、资源、客户、需求等方面的问题以及它们对项目的影响。
技术风险:是指潜在地设计、实现、接口、验证和维护等方面的问题。包括技术的不确定性、陈旧的技术、以及“过于先进“的技术。
商业风险:
几个主要的商业风险是:市场风险、策略风险、销售风险、管理风险、预算风险。
1.3 按风险方式来说, IT项目风险分为以下方式
已知风险:不现实的交付时间, 没有需求或软件范围的文档、恶劣的开发环境等。
可预测风险:人员调整, 与客户之间无法沟通等。
不可预测风险:政策风险等。
2 软件项目的风险分析及风险管理
下面以软件项目为例, 探讨IT项目中的风险分析及风险管理方法。对于软件项目主要存在以下风险。
2.1 产品规模风险
产品规模的可信程度如何;产品规模平均值的偏差百分比是多少;产品的数据库大小如何;产品的用户数有多少;产品的需求改变有多少;复用的软件有多少。
2.2 商业影响风险
对公司的收入有何影响;是否得到公司高级管理层的重视;交付期限的合理性如何;是否与用户的需要相符合;最终用户的水平如何;用户对本产品开发的约束;延迟交付所造成的成本消耗是多少;产品缺陷所造成的成本消耗是多少;如果出现了较大的百分比偏差则风险较高。
2.3 客户相关风险
以前是否曾与这个客户合作过;该客户是否很清楚需要什么;该客户是否已确定项目范围;该客户是否愿意建立与开发者之间的快速通信渠道;该客户是否愿意参加复审工作;该客户是否具有改产品的技术素养;该客户是否愿意你的人来做他们的工作;该客户是否了解软件过程;
2.4 软件开发产品的过程风险
是否已经拟定了一份软件过程说明;开发人员是否同意按照文档所写的软件过程进行开发工作;该软件过程是否可以用于其它项目;人员是否接受过一系列的软件工程培训;是否提供了确定的软件工程标准;是否为作为软件过程一部分而定义的所有交付物建立了文档概要及示例;是否定期对需求规约、设计和编码进行正式的技术复审;是否定期对测试过程和测试情况进行复审;是否对每一次正式技术复审的结果建立了文档;
有什么机制来保证按照软件工程标准来指导工作;是否使用配置管理来维护系统/软件需求、设计、编码、测试用例之间的一致性;是否使用一个机制来控制用户需求的变化及其对软件的影响;对于每一个承包出去的子合同, 是否有一份文档化的工作说明、一份软件需求规约和一份软件开发计划;
2.5 技术风险
该技术对于公司而言是新的吗;客户的需求是否需要创建新的技术;产品的需求是否要求采用特定的用户界面;产品的需求中是否要求开发某些程序构件;需求中是否要求采用新的分析、设计、测试方法;需求中是否要求使用非传统的软件开发方法;需求中是否有过分的对产品的性能约束;客户能确定所要求的功能是可行的吗。
2.6 开发环境风险
是否有可用的项目管理工具;是否有可用的分析及设计及测试工具;是否有可用的软件配置管理工具;项目组的成员是否接受过每个所使用工具的培训;是否有专家能够回答有关工具的问题。
2.7 与人员数目及经验相关的风险
人员在技术上是否配套;是否有足够的人员可用;开发人员对自己的工作是否有正确的期望;开发人员是否接受过必要的培训。
3 软件风险因素
为了识别和控制软件风险, 可以标识影响软件风险因素, 包括:性能、成本、支持和进度, 包括:性能风险、成本风险、支持风险、进度风险。每一个风险因素的影响均可分为四个影响类别--可忽略的、轻微的、严重的、灾难性的。下表列出由于错误而产生的潜在影响或没有达到预期的结果所产生的潜在影响。
4 风险预测
4.1 建立风险表
风险表是一种简单的风险预测技术。每个风险的概率值可以由项目组成员个别估算, 然后将这些值平均, 得到一个有代表性的概率值。
风险影响及概率从管理的角度来考虑, 具有高影响但发生概率很低的风险因素不应该花费太多的管理时间。而高影响且发生概率为中到高的风险以及低影响但高概率的风险, 应该首先考虑。
4.2 评估风险影响
如果风险真的发生了, 所产生的后果有三个因素可能会受影响:风险的性质、范围、时间。以下的步骤用来确定风险的整体影响:a.确定每个风险元素发生的平均概率。b.确定每个因素的影响。c.完成风险表, 分析其结果。d.项目组定期复查风险表, 再评估每一个风险, 以确定新的情况是否引起其概率及影响的改变。
5 风险缓解、监控和管理
所有风险分析活动都只有一个目的--建立处理风险的策略。风险管理策略要考虑三个问题:风险避免、风险监控、风险管理及意外事件计划。
6 总结
对于IT项目期来说, 如何进行风险分析、管理, 是应该重视的一个问题, 如何开展这项工作, 对于IT项目的实施具有重要意义。目前对于IT项目的风险控制, 大多数公司都在非正式地和表面地进行, 但还缺乏重视, 不能花更多的资源, 但可以这样说:花在标识、分析、管理风险上的时间可以从多个方面得到回报, 可以使项目进展过程更加平稳, 提高跟踪和控制项目的能力, 有这些周密计划可以使整个公司和项目组获得更大的信心, 以保证项目的顺利完成
参考文献
[1]罗耶 (美) .项目风险管理.北京:机械工业出版社, 2005
[2]栾跃.软件开发项目管理[M].上海:上海交通大学出版社, 2005.