【正文】 引 》和《 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引 》。 4 ? 企業(yè)風(fēng)險(xiǎn)管理框架（ COSO ） 目標(biāo)：從各種角度來考慮 因素：從相聯(lián)的各種過程來考慮 地點(diǎn)：在組織的各個(gè)層次考慮 5 ? COSO風(fēng)險(xiǎn)管理框架的啟發(fā) ? 要站在企業(yè)管理者的角度來看待風(fēng)險(xiǎn)，企業(yè)風(fēng)險(xiǎn)是由包括 IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成。“軟控制”主要指那些屬于精神層面的事物，如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識(shí)等，“軟控制”影響人的行為。 ? 明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。 6 ? 企業(yè)風(fēng)險(xiǎn)管理組成結(jié)構(gòu) ?風(fēng)險(xiǎn)管理策略 組織對風(fēng)險(xiǎn)的態(tài)度，對風(fēng)險(xiǎn)管理的承諾 ?風(fēng)險(xiǎn)控制過程 組織具體管理風(fēng)險(xiǎn)步驟、做法及工具 ?風(fēng)險(xiǎn)管理基礎(chǔ) 組織內(nèi)支持風(fēng)險(xiǎn)管理的人員、組織、技術(shù)等，來協(xié)助驅(qū)動(dòng)風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)模型舉例 7 ? IT風(fēng)險(xiǎn)控制是企業(yè)風(fēng)險(xiǎn)管理中的重要組成部分 公司層控制 應(yīng)用層控制 基礎(chǔ)層控制 IT控制層 COSO控制框架 ISMS、 ITSM、 BCP、 CMMI、 …… 8 ? IT面臨哪些風(fēng)險(xiǎn)與挑戰(zhàn)？ ? 在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大，高投入帶來了高風(fēng)險(xiǎn)； ? 企業(yè)對 IT系統(tǒng)的依賴性越來越強(qiáng)的同時(shí)，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅， IT系統(tǒng)的停機(jī)將造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競爭優(yōu)勢喪失； ? IT 應(yīng)用與業(yè)務(wù)需求之間邏輯錯(cuò)位， IT設(shè)施最后成了擺設(shè)， IT建設(shè)缺乏績效評(píng)估機(jī)制； ? IT項(xiàng)目的高失敗率，使得企業(yè)無法實(shí)現(xiàn)其預(yù)期的創(chuàng)新與利益，不能實(shí)現(xiàn)對 IT的投資回報(bào)，或者不通對投資回報(bào)進(jìn)行測量； ? 不斷發(fā)展的科技潛力顯著地改變組織形式與商業(yè)模型，在創(chuàng)造出新的機(jī)遇并降低了成本的同時(shí)，也使得商業(yè)競爭不斷加劇 。 ? IT可用性風(fēng)險(xiǎn)－ 業(yè)務(wù)對 IT不斷增強(qiáng)的依賴性和脆弱的基礎(chǔ)設(shè)施及管理流程，使得 IT系統(tǒng)的停機(jī)對組織的業(yè)務(wù)造成巨大損失、聲譽(yù)下降、競爭優(yōu)勢喪失。 ? IT績效風(fēng)險(xiǎn)－ 如果規(guī)劃不當(dāng)、控制不嚴(yán)， IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值，巨額的信息化投入很可能造成新一輪的“投資黑洞”。 10 ? 控制信息化的風(fēng)險(xiǎn)需要制度與管理創(chuàng)新 ? 決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。 ? 應(yīng)該逐步完善企業(yè)的 IT治理機(jī)制，實(shí)現(xiàn) IT與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營、信息安全的深度融合。 ? 構(gòu)筑信息時(shí)代新的“游戲規(guī)則”，“規(guī)則”是“游戲”是重要組成部分。它有具體的概念和定義嗎 ?”“是不是公司治理 ?它與公司治理有區(qū)別嗎 ?” “ IT工作一直是公司戰(zhàn)略中的重點(diǎn)，具體的工作我不太清楚 ,分管副總知道?！? “我們每年年處都制訂很好的 IT計(jì)劃，按計(jì)劃執(zhí)行就行，年終再檢查。能搞掂就繼續(xù)合同，出問題就換一家 …… ” “公司很少討論 IT治理，系統(tǒng)只要不出事就好，出事了技術(shù)主管就麻煩大了！” …… 二、戰(zhàn)略層的 IT治理 反映出的問題 （ 1） IT資源在公司的戰(zhàn)略資產(chǎn)中地位受到一定的重視，但是具體情況不清楚； （ 2）缺乏 IT治理明確的概念描述和參數(shù)指標(biāo)； （ 3） IT治理需要的明確責(zé)任與職能不清晰。 ?在采用相同戰(zhàn)略目標(biāo)的情況下，具有良好 IT治理的企業(yè)，其利潤要比那些治理低下的企業(yè)高出 20%。 －引自彼得 .維爾和珍妮 .羅斯的 IT治理研究 15 ? 什么 IT治理？ ?德勤定義如下 : IT 治理是一個(gè)含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題。 ? ISACA定義： IT 治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo)。前者由 IT與業(yè)務(wù)的戰(zhàn)略一致性驅(qū)動(dòng)，后者由企業(yè)內(nèi)部建立的責(zé)任驅(qū)動(dòng)； ?這兩者都需要獲得足夠的資源并進(jìn)行績效測量，以保證獲得預(yù)期結(jié)果。 ?戰(zhàn)術(shù)層面 —利用國際認(rèn)可的最佳實(shí)施規(guī)范建立 IT控制框架。 ? 建立有效確定 IT決策權(quán)歸屬 和 責(zé)任分配 的框架，包括有效的治理制度安排與治理機(jī)制的設(shè)計(jì)。包括項(xiàng)目的審批和論證技術(shù) 業(yè)務(wù)應(yīng)用需求決策 為購買或內(nèi)部開發(fā)IT應(yīng)用確定業(yè)務(wù)需求 21 ? IT原則 ?對于 IT在該企業(yè)如何運(yùn)用的一系列最高陳述。 ? IT原則至少要闡述三個(gè)對 IT的預(yù)期： ? 企業(yè)期望的運(yùn)行模式是什么？ ? IT如何支持期望的運(yùn)行模式？ ? 組織中如何資助 IT？ 22 ? IT架構(gòu) ?指導(dǎo) IT投資和設(shè)計(jì)決策的 IT框架，是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖，是對企業(yè)不同的信息視圖進(jìn)行架構(gòu)描述的綜合 。 IT基礎(chǔ)設(shè)施 變化頻繁的業(yè)務(wù)應(yīng)用系統(tǒng) 共享的、標(biāo)準(zhǔn)的應(yīng)用，變化較少，例如：會(huì)計(jì)系統(tǒng)、 HRM、 ERP等 長時(shí)間保持穩(wěn)定的服務(wù)，例如共享的客戶數(shù)據(jù)加管理、 PC/LAN 知識(shí)、技能、政策、標(biāo)準(zhǔn)和經(jīng)驗(yàn)約束組件等人務(wù)基礎(chǔ)組織 計(jì)算機(jī)、路由器、操作系統(tǒng)、數(shù)據(jù)庫軟件、信用卡機(jī)等日常設(shè)備 24 ? IT基礎(chǔ)設(shè)施的 10個(gè)能力群 25 ? 業(yè)務(wù)應(yīng)用需求 ?業(yè)務(wù)需求是促進(jìn) IT發(fā)展的源動(dòng)力，準(zhǔn)確、及時(shí)地識(shí)別組織的業(yè)務(wù)需求，并使之成為信息化建設(shè)與調(diào)整的依據(jù)，這是降低 IT風(fēng)險(xiǎn)的可靠保證。 模型 誰擁有決策權(quán)或輸入權(quán)？ 業(yè)務(wù)君主制 一群業(yè)務(wù)主管或者單個(gè)主管（ CXOs）。不包括獨(dú)立設(shè)備的 IT主管。 封建制 業(yè)務(wù)單位領(lǐng)導(dǎo)，關(guān)鍵流程負(fù)責(zé)人或其代表。相當(dāng)于中央政府和州政府的協(xié)同工作方式。 無政府制 每一個(gè)單獨(dú)的使用者。其決策特征為：由 IT主管人員和企業(yè)內(nèi)的其他團(tuán)體之間達(dá)成的一種雙邊協(xié)議。 ? 在技術(shù)含量較低的 IT決策領(lǐng)域（ IT原則、業(yè)務(wù)應(yīng)用需求和 IT投資）很多組織更喜歡使用 IT雙寡頭模式進(jìn)行決策。 決策 原型 IT原則 IT架構(gòu) IT基礎(chǔ)設(shè)施 戰(zhàn)略 業(yè)務(wù)應(yīng)用 需求 IT投資 輸入 決策 輸入 決策 輸入 決策 輸入 決策 輸入 決策 業(yè)務(wù)君主制 0 27 0 6 0 7 1 12 1 30 IT君主制 1 18 20 73 10 59 0 8 0 9 封建制 0 3 0 0 1 2 1 18 0 3 聯(lián)邦制 83 14 46 4 59 6 81 30 93 27 IT雙寡頭制 15 36 34 15 30 23 17 27 6 30 無政府制 0 0 0 1 0 1 0 3 0 1 無數(shù)據(jù)或 不知道 1 2 0 1 0 2 0 2 0 0 －單位：百分比，每列相加為 100% 33 ? 什么是 IT治理機(jī)制 ?企業(yè)通過一系列的結(jié)構(gòu)、流程和溝通來實(shí)施 IT治理計(jì)劃，設(shè)計(jì)周詳、容易理解和清晰的機(jī)制，促進(jìn)了期望 IT行為的產(chǎn)生。 ? 工作流程－用于保證日常行為和 IT政策相一致，并提供返回到?jīng)Q策的輸入信息的正式流程。 ? 溝通方法－傳播 IT治理原則、政策和 IT決策制定流程結(jié)果的公告、建議、渠道和培訓(xùn)努力等。 – 高層管理團(tuán)隊(duì)中的一個(gè)小組專門負(fù)責(zé) IT問題。 35 ?聯(lián)邦制的決策結(jié)構(gòu) ? 如果一個(gè)高級(jí)執(zhí)行團(tuán)隊(duì)從各個(gè)業(yè)務(wù)吸收人員，則他們采用的是聯(lián)邦制的決策結(jié)構(gòu)。 ? 大多數(shù)聯(lián)邦制的 IT組織設(shè)計(jì)的核心就是對數(shù)據(jù)和 IT基礎(chǔ)設(shè)施共享的要求。 – 要解決業(yè)務(wù)部門由于規(guī)模不同而帶來能力不同，所造成需求不同的問題， IT領(lǐng)導(dǎo)團(tuán)隊(duì)的選擇權(quán)可能也不一樣。擁有 IT領(lǐng)導(dǎo)團(tuán)隊(duì)的企業(yè)具有更高的治理績效。在大多數(shù)情況下，架構(gòu)委員會(huì)的角色是對 IT領(lǐng)導(dǎo)團(tuán)隊(duì)提供架構(gòu)建議，但有時(shí)也可成為治理決策主體。 37 ?雙寡頭制的決策結(jié)構(gòu) ? 決策團(tuán)隊(duì)如 IT理事會(huì)同時(shí)包含 IT人員和業(yè)務(wù)人員，把兩者融合起來，能夠在重要決策中把業(yè)務(wù)戰(zhàn)略和IT聯(lián)合起來。 ? 雙寡頭制的核心是找出既代表業(yè)務(wù)，又代表 IT部門的高級(jí)領(lǐng)導(dǎo)組合，使他們能夠在認(rèn)識(shí)到每個(gè)業(yè)務(wù)部門需求的同時(shí)，支持整個(gè)企業(yè) IT項(xiàng)目實(shí)施。 ?治理工作流程應(yīng)當(dāng)能使委員會(huì)的每個(gè)人都向治理決策提供輸入，又能將他們的 IT決策結(jié)果發(fā)布出去。 ?管理層越是對現(xiàn)有的 IT治理機(jī)制、工作方式、預(yù)期的效果進(jìn)行正式地溝通，他們的治理就越有效。 ? 評(píng)估治理績效時(shí)要評(píng)估五個(gè)因素，利用下表進(jìn)行對照比較。 三、戰(zhàn)術(shù)層的 IT治理 49 ? COBIT是什么？ ? ISACA制定的 COBIT(Control Objectives for Information and related Technology)是一個(gè)在國際上公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。 ?第二版于 1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（ Implementation Tool Set） ?信息系統(tǒng)審計(jì)與控制基金會(huì)（ ISACA）及其相關(guān)的基金會(huì)在 1998年創(chuàng)立 IT治理研究院 (ITGI)，由 ITGI制定并發(fā)布了 COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對 IT治理的關(guān)注； ? COBIT基于 ISACF的建立的 IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ? ITGI于 2023年底發(fā)布了 COBIT第四版，這一版對 IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了 IT控制與 IT治理五個(gè)領(lǐng)域的對應(yīng)關(guān)系 52 ? COBIT的目標(biāo)使用者 ?管理層 幫助他們在不可預(yù)知的 IT環(huán)境中平衡風(fēng)險(xiǎn)和控制之間的矛盾 (采用控制措施需要投入資金 )。 ?審計(jì)師 證實(shí)他們的觀點(diǎn)，在內(nèi)部控制問題上為管理層提出建議。 56 ? COBIT如何滿足業(yè)務(wù)要求 ?機(jī)密性 ?完整性 ?可用性 ?有效性 (效能 ) ?經(jīng)濟(jì)性 (效率 ) ?機(jī)密性 ?完整性 ?可用性 ?合規(guī)性 ?可靠性 (信息 ) ?質(zhì)量 ?成本 ?交付 ?運(yùn)行的有效性和經(jīng)濟(jì)性 ?信息的可靠性 ?與法律、法規(guī)的符合性 質(zhì)量需求 信譽(yù)需求 安全需求 57 ? COBIT信息標(biāo)準(zhǔn)的定義 ? 有效性 —處理與業(yè)務(wù)過程相關(guān)的信息，并以及時(shí)、正確、一致和可用的方式交付。 ? 機(jī)密性 —保護(hù)敏感信息不被非授權(quán)泄露。 ? 可用性 —在無論是在當(dāng)前還是將來，業(yè)務(wù)過程所