我国企业IT风险管理责任主体探讨.docVIP

我国企业IT风险管理责任主体探讨 　　［摘 要］ 本文在IT风险管理框架及相关理论研究的基础上，结合我国企业的实际情况，探讨了我国企业IT风险管理的责任主体及其责任，并运用调查研究与描述性统计的方法，对当前我国企业IT风险管理相关责任主体的现状进行了统计分析，并根据调查结果提出了相应的建议。 　　［关键词］ IT；风险管理；责任主体；合规 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022 　　［中图分类号］ F272.35 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）06- 0045- 03 　　1 问题的提出 　　 信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于ＩＴ系统，企业信息化的规划、实施、运行维护等各阶段都存在着各种风险，ＩＴ相关风险正成为管理层、监管部门重点关注的对象，ＩＴ内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言，谁应该成为ＩＴ风险管理的责任主体，董事会、ＩＴ战略委员会、ＩＴ监管部门、内部审计部门、外部审计、风险管理部门、ＩＴ日常管理部门等在ＩＴ风险管理中各承担哪些责任，我国企业在当前ＩＴ风险管理相关部门设置情况如何，为了弄清上述我国企业ＩＴ及其风险管理的责任主体的相关问题，笔者在理论分析和问卷调查的基础上，整理了相关的调查数据，统计并分析了我国企业在责任主体设置方面的分布特征。 　　2 ＩＴ风险管理责任主体的最新理论框架 　　与ＩＴ风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会（ＩＳＡＣＡ）于２００９年１２月颁布的ＩＴ风险管理框架。ＩＳＡＣＡ在ＩＴ风险管理框架中，定义了ＩＴ相关风险管理的一系列主体，并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言，只有一个主体为负责部门，其他主体或承担部分责任，或没有责任。当然，该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同，作为理论框架，只是提供原则性的指导，没有必要与某一具体企业的组织机构与职能部门完全一致，因此，在该框架中，对每个责任主体的定义只是进行了简洁描述。ＩＴ风险管理框架下的ＩＴ风险管理责任主体及承担的责任如表１所示。 　　资料来源：ＩＳＡＣＡ，Ｒｉｓｋ ＩＴ Ｆｒａｍｅｗｏｒｋ，ＵＳＡ，２００９．１２． 　　3 我国企业ＩＴ风险管理相关的主要责任部门及责任探讨 　　如上述框架所述，不同企业的组织机构与职能部门设置情况并不完全相同，就我国而言，近年来，各方面的监管层出台了大量的规范，如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等，都对ＩＴ的相关风险做出了明确的规定及要求，企业已经进入了“合规年代”。当前我国企业的ＩＴ风险管理的责任部门主要包括：ＩＴ战略委员会、ＩＴ监管部门、ＩＴ日常管理部门、内部审计部门和风险管理部门。 　　其中，ＩＴ战略委员会应由企业的最高管理层及管理执行层包括ＩＴ管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业的企业战略与ＩＴ战略的驱动与设置等议题进行讨论并做出决策，为企业ＩＴ及其风险管理提供导向与支持。ＩＴ监管部门分为企业外部和企业内部。 　　企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构，从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的ＩＴ监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。 　　“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是ＩＴ日常管理部门。外部审计员对董事会负责的，协助董事会的专业委员会来确认和分析技术风险的程度，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。 　　内部审计员协助董事会的专业委员会执行ＩＴ实务和系统的控制检查，并向委员会推荐合适的改进措施用于参考和实施。ＩＴ风险是企业风险管理体系至关重要的组成部分，与企业其他风险管理程序类似，需要运用企业风险管理的相关原则与方法，结合ＩＴ活动的特点，执行风险管理程序。 　　风险管理部门需要指导并参与ＩＴ相关风险管理，即识别风险、分析风险、制订ＩＴ风险工作计划、跟踪风险、应对风险，并借助于定期、不定期的检查风险防范措施的落实情况，通报检查结果，将风险管理过程纳入到日常管理中。 　　4 对我国企业ＩＴ风险管理相关责任部门设置的现状调查与分析 　　笔者于２０１０年７月-２０１０年９月进行了多次调查，调查形式分为现场纸质问卷以及远程网络问卷，其中，在２０１０年用友技术大会、２０