正如信息系统具有潜在的投资回报一样,信息系统同样具有潜在的风险。IT与业务的融合,在带来企业效率提升和持续竞争力的同时,也加剧了业务可能面临的风险。信息系统任何细微的变故,都有可能导致业务流程完全失效。正因为如此,IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上,CIO所面对的管理,更多的是对各种“可能性和不确定性”即“风险”的管理。
正如信息系统具有潜在的投资回报一样,信息系统同样具有潜在的风险。IT与业务的融合,在带来企业效率提升和持续竞争力的同时,也加剧了业务可能面临的风险。信息系统任何细微的变故,都有可能导致业务流程完全失效。正因为如此,IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上,CIO所面对的管理,更多的是对各种“可能性和不确定性”即“风险”的管理。
然而,IT风险及IT风险管理,一直是一个颇有争议的概念。由于对风险的理解和认识程度不同,或对风险的研究的角度不同,其定义还存在很多争议。
国际内部审计协会(IIA)对风险定义为:“可能对目标的实现产生影响的事件发生的不确定性。”并指出风险的衡量标准是后果与可能性。而国际标准化组织ISO/IEC“Guide73:2002”中关于风险的定义为:“事件发生的可能性及其后果的结合”。COSO发布的《企业风险管理-整合框架》中则将风险定义为:“一个事项将会发生并给目标实现带来负面影响的可能性。”
对于IT风险的认识,同样存在着不同的观点。2006年1月出版的《IT风险——基于IT治理的风险管理之道》一书中认为,所谓IT风险就是指对业务造成负面影响的信息技术失效。2006年9月,中国银监会颁布的《银行业金融机构信息系统风险管理指引》中,信息系统风险是指:“信息系统在规划、研发、建设、运行、维护、监控及退出过程中,由于技术和管理缺陷产生的操作、法律和声誉等风险”。2007年2月赛门铁克公司发布的《IT风险管理报告》中认为,IT风险包括安全性、可用性、能力和合规性四个方面。
正因为这些争议的存在,目前各家企业对IT风险管理方面的理解和做法也存在着差异。这些差异,往往让很多希望加强IT风险管理的企业和CIO们束手无措。为此,CIOINSIGHT杂志邀请到了民生证券股份有限公司信息技术总监景忠、中国海洋石油总公司审计监察部IT审计经理王宇文、ITGov信息系统审计专家王东红,围绕IT风险管理的相关话题,展开了讨论。
对于IT风险的概念特别是IT风险涵盖的范围,现在仍然存在争议,各位是怎么理解IT风险管理的?景忠:对于证券行业来讲,IT系统的风险管理几乎是天天都在抓。从我们的角度来讲,IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。
系统的风险主要是软件、硬件和网络等设备的潜在风险,这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员作弊或者疏忽造成的风险,和关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解,既然是投入就一定要有产出,不管这种产出是显性还是隐性的,但是,也并不是所有的IT投入都能看到产出,甚至很多企业IT项目以失败告终的案例也时有发生。王宇文:IT的作用就是支撑企业的业务运作和运营管理,因此,IT风险实际上就是业务的风险,抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看,之所以关注IT风险,就是要看一旦这些系统出问题,会对业务造成什么样的影响。
国资委出台的《中央企业全面风险管理指引》中将风险定义为:未来的不确定性对企业实现其经营目标的影响,一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等,并将风险分为纯粹风险和机会风险。因此,我们认为IT风险主要是IT系统有可能对业务和经营目标造成的潜在风险。IT是属于横向业务支持领域,IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点,往往在实际操作时IT风险管理相对来说比较独立。
王东红:前面两位更多的是从实践工作中,对IT风险管理的理解和认识来谈的,我主要从理论的角度谈谈我的理解。目前来看,银监会对于IT风险的定义是比较全面的,它符合当今世界全面风险管理的发展趋势,是一个全生命周期的风险。而IT风险管理目前在研究和实践中都还没有一个统一的定义。
在我看来,IT风险管理,已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段,因此,IT风险管理也可以称为“IT全面风险管理”。综合比较主流的IT风险管理定义,不妨可以对IT风险管理给出这样的定义,所谓IT风险管理是指围绕信息化战略目标,通过在信息系统的规划、开发与建设,运行与维护,监控与评价管理的各个阶段中执行风险管理的基本流程,包括风险管理策略制定、风险识别、风险评估,进而选择适当的处理方法加以控制、处理,达到信息化可持续发展的目标。
三位的表述虽然略有不同,但是都谈到了IT风险与业务的关系。是不是只有当企业的业务与IT足够紧密时,才会考虑IT风险管理?王宇文:在信息化发展的初期,信息系统使用得比较少,这种情况下,产生风险的概率自然比较低。因为大部分的业务流程与IT都是脱离的,不论IT的状况如何,业务都能照常进行,从业务角度来看,IT带来的潜在风险就微乎其微。随着业务流程对IT依赖程度的不断加深,IT的作用变得越发明显,IT可能对业务带来的潜在风险也就会更多,相比之下,这时候IT风险管理也就显得更加重要。
但是,并不是说只有信息化发展到业务与IT足够紧密时,才应该考虑IT风险管理。在信息化的前期,虽然信息系统比较少,仍然需要适当考虑IT风险管理,因为风险的规避更多的是未雨绸缪的工作。
从中海油的经验来看,也确实是这样,IT系统建设的时候,我们就同步把很多风险管理和内部控制的内容考虑进去,这样做显然比IT做完了再去考虑风险和内控,进而对IT进行改造,要更有优势。
业务流程是企业战略落地的具体实现,IT系统就是业务流程的自动化,IT风险管理就是流程风险管理的一部分,而IT系统本身也是降低业务流程风险的手段。目前,国际OCEG组织提出的GRC框架也定义了IT系统在企业治理、风险及合规管理中的作用和标准。
王东红:“只有当企业的业务与IT足够紧密时,才应该考虑IT风险管理,”这句话看起来有些道理,却很不全面。IT风险,不仅是IT本身的风险,IT对企业的流程、战略等都会造成潜在风险,只要一部分流程依赖于IT,就有可能产生这种风险。另外,在信息系统建设初期,虽然业务与IT的紧密程度很低,但是这时候往往是企业对信息化建设进行大规模投资的时候,这些IT投入的产出也是有风险存在的,这也是IT风险的一部分。
景忠:是否应该考虑IT风险管理,我觉得这其中更多地与企业的业务类型有关。如果企业的业务虽然密切依赖IT,但是如果业务能够承受IT停顿带来的风险,那么,不考虑IT风险管理也可以。同时,还要与IT风险管理本身所产生的成本进行权衡。
IT风险包括的内容很多,在信息化发展的不同阶段,可能IT风险管理的侧重点会不同,比如大规模建设时期,可能重点更多的是放在IT投入的风险上,而当大规模建设初步结束之后,更多的是从维护业务稳定等方面考虑IT风险。
对IT风险进行管理的前提,是先识别IT风险。在识别IT风险方面,民生证券有哪些做法?
景忠:证券行业的特殊性让我们对风险管理一直非常重视,IT风险管理也是整个风险管理工作中非常重要的一部分。从目前的组织架构来看,涉及到IT风险管理的主要有IT决策委员会、风险管理部和信息技术部。IT决策委员会主要从战略发展的高度对IT投入进行把控,降低IT投入的产出风险。风险管理部更多的是从业务角度看IT可能对业务造成的潜在影响,并找出这些潜在的IT风险。我们IT部门更多的是从信息系统运行、维护的角度去看系统的潜在风险。
在IT部门内部,我们会每月进行严格的定期安全巡检,这个巡检不仅涉及核心系统,还包括日常管理、设施维护等IT部门的方方面面。为此我们已经形成了固定的表格,每次巡检会按照表格逐个核对,检查涉及IT部门的每一个流程。我们还会有监控,仅监控的表格每天就有6张,对于发现的潜在问题都能立刻解决。
景忠更多的是从IT部门的角度谈对IT风险的管理。王宇文,你能否谈谈中海油的IT审计部门是怎么对IT风险进行审计的?
王宇文:在以前,审计部门主要是对企业财务、企业经营等的最后结果进行审计,现在审计工作正在不断前移,从对结果的审计前移到对制度、流程、实际执行过程进行以风险为导向的全周期的审计,包括对风险的识别和控制,因为这些结果的产生往往是由之前的不规范造成的。IT审计也是对风险进行事前控制的有效环节之一。
从去年开始,审计监察部已经对集团的下属上市公司进行过两次IT审计,主要是依据COBIT。我们对COBIT要求的34个流程进行了某些简化,并根据中海油的业务特点增加了一些内容,并以企业标准的形式发布了中海油内部的信息系统审计标准。IT部门根据这个要点进行风险控制和管理,我们也是依据要点中的内容进行IT审计。
在中海油,IT审计不是单独进行的,而是与整个公司审计一并进行的。IT部门与IT审计部门关注风险的角度确实有所不同,但是都会遵循相应的标准规范。王东红,请你给我们介绍一下目前主流的标准规范有哪些?
王东红:IT风险是业务与IT技术结合的产物。未雨绸缪,让一切风险和意外尽在掌握之中是一件非常重要的事情。于是,如何在这些潜在风险转化为灾难之前,就能迅速地被发现,显得极为重要。
除了刚刚中海油提到的COBIT之外,还有很多团体、组织或学者建立了风险管理模型,包括澳大利亚—新西兰联合委员会的AS/NZE4360、英国商务部OGC发布的M-o-R模型、DavidMcName模型、加拿大CICA的CoCo内部控制框架、1997COSO内部控制-整合框架、IIA研究基金IASB的ERM框架、2004COSO-ERM模型等。其实,这些模型都不是IT风险管理的模型,然而由于其广泛适用性,现在不仅适用于企业风险管理,也适用于IT风险管理。这也正说明了IT风险其实就是业务风险的一部分,因为管控的手段都是类似的。
2006年银监会发布了关于IT风险管理的行业指引——《银行业金融机构信息系统风险管理指引》,这是我国第一部IT风险管理规范。
至于究竟哪些规范更适合,很难有统一的答案。相比之下,COBIT是国际公认的IT治理架构,这个由国际IT治理协会研究发布的模型目前被世界各地的企业广为采用,它不仅是为用户和审计者而设计的,同时也为管理层和公司流程的所有者提供了详细的指导。
IT审计部门对信息系统的审计实际上就是要“挑毛病”和“找漏洞”,面对IT审计部门的这种“挑毛病”,IT部门是什么样的态度呢?
景忠:我觉得IT审计是个很好的事情,关键要看这项工作能否落到实处。IT审计本质上是一种控制,以确认IT是否有效率、效果、安全、合规以及可靠。就目前普遍开展的IT审计而言,IT审计在合规性、安全性、可靠性等方面的实质性作用是毋庸置疑的,而对于IT的效率及效果涉及得却很少。
我觉得IT审计要做好,审计师必须要了解我们系统的特点,知道系统的关键点在哪儿,需要检查哪些内容,这些方面对审计师的水平要求很高,会有一定的难度。但是,如果IT审计师水平不高,IT审计的效果就很难预料。
王宇文:IT审计特别是我们企业的内部审计,已经从“挑毛病”转变为帮助和促进业务部门的管理,更多扮演的是咨询师的角色。我们从IT风险审计的专业角度,发现IT的管理及信息系统存在的隐藏风险,并与IT部门一起面对风险进行应对,从前两次审计的过程和结果来看,IT部门对于IT审计确实是比较欢迎的,因为我们的目标都是共同的,那就是降低IT风险的发生,提高IT管理水平,确保业务稳定和公司目标的顺利实现。
对于已经发现的IT风险,又该如何实施管理,具体流程是什么样的?
王宇文:对于发现的潜在IT风险,首先要明确应该采取什么样的处理措施,这些处理措施包括承担、规避、分担、转移和减轻等等。经过对风险的评估排序,就可以了解风险对企业影响的大小和发生概率。高风险是业务不能容忍的,就一定要采取措施减少或减轻,有些是可以勉强接受的,或者有客观条件限制的就可以进行转移或者减轻。这个过程中也需要进行评估和权衡,因为很多措施的采用都需要追加投资,在确定之前一定要评估这些投资是否值得,评估完成之后才会采取相应的措施。
对于每一个识别出来的风险,相应的部门签字确认之后,每个风险都有相应的责任人,风险责任人要不断跟踪这些风险,定期对风险处理的措施和效果进行评估,确保风险得到有效控制,审计部门也要定期对风险的管理进行检查评价。
为了确保风险管理的措施能落到实处,中海油同样做了很多工作。审计监察部专门开发了全集团统一的风险管理信息系统,进入系统中,可以随时查看当前的风险列表,每个风险由什么部门负责、需要在什么时间采取什么措施将风险降低到什么程度,以及相应的完成情况,都一目了然。领导层可以随时对风险管理工作进行跟踪和监督。我们这套系统也得到了国资委的肯定。
除了风险管理信息系统确保实时跟踪和监督之外,中海油还通过科学合理的组织结构、将风险管理效果与绩效考核挂钩等手段,确保风险管理落到实处。
随着风险管理工作的深入,我们的认识也在逐步提高,风险管理涉及到的流程管理、制度体系管理是整个企业管理的核心,以往这些管理都是分散在各个部门独立管理的,现在,我们正在扩充风险管理系统功能,以流程管理为核心建立企业管理框架模型,把组织、制度、管理、监督等管理功能与流程管理有机地关联在一起,使企业管理更加清晰、有效。
景忠,你在前面谈到了目前有内部巡检、IT审计和IT决策委员会对潜在IT风险进行三重把关,这已经是很完备的体系了,你觉得还有哪些可以改进的地方吗?
景忠:有一个问题我一直在担心,那就是供应商可能带来的风险。目前来看,证券行业的供应商就那么几家,可选择的余地很小,这些供应商的系统是不是存在漏洞,券商的IT部门很难有能力去检测,并且,这些供应商的突然变故也会对我们造成很大的影响,比如之前Novell公司的转型,就给很多券商带来了不小的麻烦。还有去年证券行业推行的第三方存管,当时很多券商也都比较仓促,是否存在风险还需要进一步核实。
这些外部因素造成的潜在风险,目前仍然缺乏比较有效的手段去及时发现,这是整个行业都普遍面临的风险,不是一两家券商就能解决的,需要有更高层面特别是监管机构的组织,才能更好地解决这些问题。
中海油和民生证券对IT风险管理都非常重视,相信大多数企业的IT风险管理都还没有达到他们的水平。王东红,对于如何更好地实施IT风险管理,你能不能给点建议?
王东红:目前来看,国内企业的IT风险管理主要面临如下挑战:董事会和高级管理层缺乏对信息技术的关注和统筹安排,对IT风险了解甚少;信息技术风险分层次、分部门管理,职责分散,分支机构IT风险管理职能缺失,岗位缺失,缺乏统一的IT风险战略和策略;无序购置和外包的现象十分严重,导致软硬件及核心技术受制于人;缺乏有效的预警机制,对IT风险没有进行全面的事前、事中、事后监测和控制;IT风险人才匮乏等,已经成为制约IT建设和风险管控能力提高的重要瓶颈;IT风险事件呈现多发态势等。
对于任何一家企业来讲,要想有效降低潜在的IT风险,就必须对上面的这些误区和挑战给予足够重视。面对几乎无处不在的信息技术风险威胁,我们无法逃避,我们必须面对挑战。对于大部分企业来讲,只有很少的信息技术风险经验,没有成熟的IT风险模型,更谈不上对IT风险进行度量了。因此,我们需要用理性的、实事求是的、现实的态度,来面对、防范并化解信息技术风险。
大体来讲,可以从这么四个方面着手推进这项工作:建立对机构信息技术风险负责的相应组织与架构;强化产品投产流程,系统与产品推出之前应进行详细的风险分析,准备好应对措施;现在开始着手调查、收集、分析同IT失效有关的风险损失、模式及相关性,为未来的信息技术风险建模与度量做好技术准备;培养员工的信息技术风险意识,建立与之相适应的企业文化。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]