IT风险控制与一般风险控制的关系与比较
一、引言
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,而企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,是风险控制的对象,同时,信息技术也成为企业控制风险的一种手段,此外,随着网络技术和通讯技术的发展,信息技术正在改变一些企业的商业模式,从而带来新的利润增长源,因此,信息技术相关风险不仅仅包括以往大家所认识的操作层面的风险,它已经成为企业的一项战略风险,IT投资风险与价值管理已被纳入IT全面风险控制的范畴,信息化的相关风险正成为理论界和实务界研究及关注的对象,IT风险控制也逐渐成为企业全面风险控制的重要组成部分。在企业一般风险控制领域,已经产生了相当多的优秀理论成果,这些成果可以应用到IT风险控制领域,但不能直接照搬,要考虑信息化的特点和IT领域的理论成果,弄清楚IT风险控制与一般风险控制的区别与联系,进而对企业的信息化风险控制实践提供有益的指导。
二、企业一般风险控制相关理论是IT风险控制的理论基础
1.从历史发展历程来看
笔者从企业风险管理的历史发展路径与IT风险管理的历史发展路径这一个角度,来分析IT风险控制与一般风险之间的理论渊源及关系。
风险管理最初产生并应用于金融领域,由于风险管理理论的广泛适用性,现在已广泛应用于各国社会与经济发展的诸多领域,其中包括了企业。对于企业而言,风险管理理论的提出与应用还是源于内部控制发展的需要。21世纪的企业环境对内部控制提出了新要求,不仅要求把风险控制作为一个控制目标,还要把风险本身作为一个特定的要素进行管理。
20世纪40年代诞生了第一台计算机,随后信息技术逐步得到快速发展,早在计算机进入实用阶段时,美国就开始提出系统审计(System Audit),1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1984年美国EDPAA协会发布一套EDP控制标准―《EDP控制目的》,该标准源于早期的内部控制(上个世纪年代)。
1994年该协会更名为信息系统审计与控制协会(ISACA),1996年,ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准, COBIT作为一项IT安全与控制的实践标准,是由ISACA及其所属的IT治理研究所(ITGI)共同开发、公布的业界标准,目前已经更新至第4.1版和第5版,但COBIT5旨在提供一个通用的高层次的原则导向,它只是用来作为一个通用的框架,不提供最详细的实践指南,ISACA的COBIT源于COSO的《内部控制―整合框架》。
2.从风险管理角度的标准比较来看
下面从风险管理角度的标准比较这一角度来分析IT风险控制与一般风险控制的理论渊源与关系。
对于企业风险管理,不同国家的不同组织有不同的定义,比如,COSO的定义为:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。” COSO于2004年发布的《企业风险管理―整合框架》拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。并且,它将内部控制框架纳入其中,从而构建了一个更强有力的概念和管理工具。公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。COSO在其企业风险管理框架里说明了风险管理的八个相互关联的构成要素即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
2002年,英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)颁布的ARMS(A Risk Management Standard,风险管理准则),该准则指出,风险管理是任何组织战略管理的中心,是组织以一定方式处理其活动相关的风险,以便从每项活动及所有活动的组合当中获取持续性利益的过程。良好风险管理的核心是识别并处理风险,其目标是使组织所有活动的可持续价值最大化。该准则将风险管理过程划分为确定组织战略目标、风险评估、风险报告与交流、风险处理、监督和复核这五个步骤。
在IT风险管理需求日益膨胀的情况下,需要把IT风险作为特定的要素来管理,IT风险管理框架是把IT相关风险本身作为一个特定的要素进行管理的一个持续性过程模型。企业必须面对各种风险(包括IT相关风险),管理层要管理IT相关风险,并在一定范围内处理和控制它们。所以,企业需要去识别可能对企业有影响的潜在的事项,让管理层在企业可能承受的风险范围内,对IT相关风险进行管理,保证企业实现经营目标。ISACA发布的《IT风险管理框架》提供了对IT相关风险进行风险管理的原则、程序与方法,这些原则、程序与方法参考了COSO的《企业风险管理―整体框架》及其他一般企业风险管理框架与规范如前述的AS/NZS4360与ARMS,包括了企业风险管理的原则,以及事项识别、风险评估以及风险的应对措施。通过这些原则和程序方法,将企业的IT相关风险控制在可以管理的范围之内。所以,可以认为,《IT风险管理框架》的优点在于提供的程序方法能够帮助企业更好地识别和控制风险。 ISACA在《IT风险管理框架》的附录部分,比较了《IT风险管理框架》与国际上其他主要风险管理框架或规范的原则及特征的覆盖程度。《IT风险管理框架》与其他风险管理框架或规范在六大风险管理原则及四个特征方面的比较如下表所示:(表中的完全、部分、无分别表示完全包括、部分包括、不包括)。
三、IT风险控制与一般风险控制的不同点
1.IT价值管理构成了IT风险控制整合框架的特有维度
IT风险控制与一般风险控制相比,最大的不同在于IT风险控制包含IT价值管理,这是因为,IT对于企业而言是一把“双刃剑”,体现在以下两个方面:
第一方面有两种情况,一种情况是IT会给企业带来新的机遇或利益,比如,IT投资转化为IT能力,通过组织学习、竞争行动、生产过程、企业决策等中间变量提高了企业的绩效,特别是在当前网络技术与通信技术发展与深入应用的情况下,IT还给某些行业的企业带来商业模式的改变进而产生新的利润增长点,等等,因此,IT具有商业价值;第二种情况是IT自身还是企业加强风险控制的有效手段之一,企业能够利用IT手段加强对业务的控制,进而实现价值增值。在这两种情况下,信息技术是企业获取利益或风险控制的手段。
第二方面是信息技术本身给企业带来的各种风险,这时,信息技术是企业风险控制的对象。IT带来的风险和机会是一枚硬币的两面,企业每一个IT活动都包含了风险和机会,风险与机遇同行,为了给企业的利益相关者增加企业价值,企业必须在经营中抓住各种机会,而所有机会伴随着不确定性,因此,管理风险和机会已经成为企业要获取成功必须考虑的一项战略活动。
IT价值管理需要包含IT投资评估选择相关的指导原则以及支持流程,帮助企业从它们在信息技术和IT支持的变革上的投资中实现价值。企业的IT投资如能在行之有效的治理框架内运行良好,就能够为企业提供创造价值的重要机会。相反,如果没有高效的治理框架和良好的管理,那么IT投资就会对价值造成损毁。IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式。IT价值管理方法能够给领导人员提供清晰、切实可行的指导方针和配套的措施,此外,它还能协助董事和管理层理解和执行自己在IT投资中扮演的角色。它着眼于投资决定(做得是否正确?)以及收益的实现(赚钱了吗?),而信息化“流程环节”中的控制活动关注的是实行(做得正确吗?完成得好吗?),IT价值管理与IT风险管理是对同一项IT活动的两个方面的管理,着眼于平衡风险与价值。
在ISACA的《IT价值管理框架》中,IT价值管理被分为三个部分:即价值治理、组合管理、投资管理。其中,价值治理包括建立治理框架,并且将其集成到整个企业的治理当中去,为投资决策提供战略方向,确定所需投资组合的特点,用以支持新的投资和由此产生的IT服务、资产和其他资源,并在经验教训的基础上不断完善价值治理。组合管理包括建立和管理资源概况,确定投资门槛,评估、优选次序、筛选、推迟、或者拒绝新的投资和优化整体投资组合,监测和报告投资组合的业绩表现。投资管理包括明确业务需求,制定一个明确了解候选投资项目的方案,分析各种途径的实施方案,明确每一个方案和每一份文档,并且了解详细的业务情况包括在整个投资的经济生命周期中详细的收益情况,明晰权责,通过整个经济生命周期对每个方案的实施进行管理,对每项方案的业绩进行监测和报告。IT价值管理与IT风险管理的原则与过程对同一项IT活动的管理是相互联系、相互补充的。
2.IT的流程环节中存在特定领域的风险控制
IT特定领域的风险控制是IT风险控制的专门领域,这是一般风险控制所不具有的,归纳起来,主要有IT服务管理、IT项目管理、信息安全管理三个IT特定领域的风险控制,随着信息技术及应用的发展,这三个领域相应的风险控制规范或标准也得到了逐步发展与完善。这些规范或标准分别从不同领域和角度吸取并综合了全球相关专家的理论研究成果和最佳专业实践经验,从各个方面对IT相关特定领域的风险进行控制或提供理论指导及实践指南,或提出明确要求。这些风险控制规范或标准可以用于指导信息化相对应的各个流程环节的具体风险控制实践,适用于IT风险控制整合框架中“流程环节”这一维度在特定领域的具体控制活动。
(1)IT服务管理
(2)IT项目管理
(3)信息安全管理
四、结论
无论从历史发展历程来看还是从风险管理角度的标准比较来看,企业一般风险控制相关理论是IT风险控制的理论基础。企业一般风险控制领域的优秀理论成果可以应用到IT风险控制领域,但应考虑信息化的特点,还应吸收IT领域的理论成果。IT风险控制与一般风险控制的区别表现在两个方面:IT价值管理包含在IT风险控制之中,构成了IT风险控制的特有维度;IT特定领域的风险控制是IT风险控制的专门领域,这些特定领域的实践和理论成果可以帮助企业实现IT特定领域的风险控制。