COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法,我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论,其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发:
要站在企业管理者的角度来看待风险,企业风险是由包括IT风险在内的其他风险组合而成。
强调“人”的重要性,组织中的每一个人对风险管理都负有责任;
强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等,“软控制”影响人的行为。
强调风险管理是一个“动态过程”,风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。
明确指出内部控制只能做到“合理”保证,目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。
没有不花钱的内部控制,也不存在完美无缺的内部控制。
三、COSO框架下的IT风险管理框架
企业在实施风险管理过程中,四个目标都应当有IT的相关内容,其八个过程也有相应的IT内容,例如:COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”,“风险评估”对应着“IT风险评估及影响分析”等。
这八个方面的各项控制又可进一步分三个层次的控制,一是公司层控制、二是应用层控制,三是一般控制层或称基础层控制。
公司级控制
公司级控制主要与COSO中的控制环境及风险评估有关,为一般控制和应用控制设置基调。公司级控制一般包括以下内容:
最高管理层设定的基调与方向
职业道德中的正直性、价值观、胜任能力
IT管理哲学和业务运行类型
对IT管理层的授权与责任
IT政策与程序
IT组织中人员的责任与技能
一般控制
一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序,包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持,一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括:
安全管理
应用系统变更控制
数据管理
灾难恢复
数据中心运营
问题管理
资产管理
应用控制
应用控制是为保证业务过程的正常运行,而设计在应用系统中控制措施,以防止和检测错误的和非授权的交易,保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制:
进行计算时;
实施数据合法性验证和编辑检查时;
与其他系统有数据接口时;
管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时;
限制对交易和数据访问时。
IT风险管理的过程也类似于企业风险的过程,主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程:
以上三个层次的IT风险管理,在组织中可以分阶段地通过一个个的IT风险控制项目,例如COBIT、ISMS、ITSM、BCP、CMMI等进行实施,也可以选择其中的某些过程进行整合后实施。
对于所建立IT内部控制措施是否能有效地控制风险,还需要通过第三方对组织内部措施的有效性进行独立审计,出具审计报告,以证明内部控制措施完备性。
以上过程是许多上市公司在建立符合萨班斯法要求的IT风险控制框架时的主要方法,这种方法的主要优点是把IT风险放在企业风险的高度进行管理,容易得到管理层的理解与支持,涉及的风险较全面,控制与改进的方法较完备。缺点是控制的粒度还较粗,还不能适当对IT进行精细控制的要求。
四、适用的IT风险管理框架
我们结合以上内容,