- 我國集團公司管理信息化的風險控制研究
- 周常蘭
- 22字
- 2019-01-03 07:24:39
第二章 國內外相關框架及規范的梳理、評價及改進
2.1 國外現行相關框架與規范的梳理
國際上相關組織如ISO、政府或團體發布了各種不同的規范或框架指南,這些框架與規范分別從不同領域和角度吸取并綜合了全球相關專家的理論研究成果和最佳專業實踐經驗,從各個方面對IT相關風險控制或提供理論指導及實踐指南,或提出明確要求。筆者認為,管理信息化方面的風險控制相關框架與規范按照不同角度可分為如下兩類:信息化角度及管理角度。
2.1.1 從信息化角度看,國外的相關框架與規范
1.IT特定領域主要的相關框架與規范
(1)IT服務管理。ITIL:(Information Technology Infrastructure Library,IT基礎架構庫),是英國政府中央計算機與電信管理中心(CCTA)在20世紀90年代初期發布的一套IT服務管理最佳實踐指南,旨在解決IT服務質量不佳的情況。在此之后,CCTA又在HP、IBM、BMC、CA、Peregrine等主流IT資源管理軟件廠商近年來所做出的一系列實踐和探索的基礎之上,總結了IT服務的最佳實踐經驗,形成了一系列基于流程的方法,用以規范IT服務的水平。后來CCTA并入英國政府商務部(OGC),2007年5月,OGC發布ITIL最新版V3。ITIL V3引進了服務生命周期模型;并提供許多豐富的新資源,讓ITIL不再只是提到“做什么”,而是明確說明“怎么做”。[44]
ISO/IEC20000:源于ITIL,2001年,英國標準協會(BSI)正式發布了以ITIL為核心的英國國家標準BS15000。2005年12月,國際標準組織正式發布成為ISO20000,ISO20000基本上就是從BS15000延伸而來。ISO/IEC20000是一個關于IT服務管理體系的要求的國際標準,它幫助識別和管理IT服務的關鍵過程,保證提供有效的IT服務滿足客戶和業務的需求。它共分為兩部分:ISO/IEC20000-1(Information Technology-Service Management Part-1:Specification,信息技術服務管理標準規范、認證要求)與ISO/IEC 20000-2(Information Technology-Service Management Part-2:Code of Practice,信息技術服務管理最佳實踐)。[31]
(2)IT項目管理。PRINCE:(PRojects IN Controlled Environments,受控環境中的項目),是一種對項目管理的某些特定方面提供支持的方法。1979年英國政府計算機和電信中心(CCTA)采納Simpact Systems公司開發的PROMPT項目管理方法作為政府信息系統項目的項目管理方法。在PROMPT項目管理方法的基礎上,20世紀80年代,CCTA出資研究開發PRINCE,1989年Prince正式替代PROMPT成為英國政府IT項目的管理標準。1993年,OGC又將注意力轉移到Prince新改版Prince2的開發。通過整合現有用戶的需求,同時提升該方法成為面向所有類型的項目的、通用的、最佳實踐的項目管理方法。在OGC的組織下,1996年3月開發工作正式結束。目前,Prince2已成為了英國項目管理事實上的標準,Prince2已風行歐洲與北美等地區國家。Sun、Oracle等將Prince2作為實施項目的標準管理方法;香港特別行政區政府資訊科技署將Prince作為政府項目管理的標準指南。[45]
PMBOK:(A Guide to the Project Management Body of Knowledge,項目管理知識體系),是由美國項目管理協會PMI(1996)年綜合大量專家和會員的意見開發完成的,后經過多次更新,目前最新版本為2008版。它是美國項目管理協會對項目管理所需的知識、技能和工具進行的概括性描述。在這個知識體系指南中,把項目管理劃分為9個知識領域,即范圍管理、時間管理、成本管理、質量管理、人力資源管理、溝通管理、采購管理、風險管理和集成管理。國際標準化組織以該文件為框架,制訂了ISO10006關于項目管理的標準。[49]
(3)信息安全管理。ISO/IEC27001—2005及ISO/IEC27002—2005:來源于BS7799,BS7799是英國標準協會(BSI)于1995年2月制定的信息安全標準,BS7799有兩個部分的內容:BS7799-2明確提出信息安全管理要求,BS7799-1則對應地給出了通用的控制方法(措施)。2000年12月,BS7799-1被國際標準化組織(ISO)采納,正式成為ISO 17799標準。ISO于2005年6月發布了新版本即ISO17799—2005(ISO/IEC 27002),新架構包括11個控制域、39個控制措施,133個控制點。該標準涉及以下幾個重要控制域,包括:安全策略、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作安全、信息系統獲得,發展和保持、訪問控制、信息安全事件管理、業務連續性管理、合規性。此外,BS7799-2也被國際標準化組織采納為國際標準,版本號為ISO/IEC27001—2005,于2005年11月發布。[29]
ISO/IEC27005-2008:從ISO/IEC TR 13335-3—1998(信息技術IT安全管理指南第3部分:IT安全的管理技術)和ISO/IEC TR 13335-4—2000(信息技術IT安全管理指南第4部分:安全防衛的選擇)[28]而來,并替代了這兩者。該標準給出了信息安全風險管理的指南,其中所描述的技術遵循ISO/IEC27001中的通用概念、模型和過程。該標準介紹了一般性的風險管理過程,并重點闡述了風險評估的幾個重要環節,包括風險評估、風險處理、風險接受等。在標準的附錄中,給出了資產、影響、脆弱性,以及風險評估的方法,并列出了常見的威脅和脆弱性。最后還給出了根據不同通信系統以及不同安全問題和威脅選擇控制措施的方法。ISO/IEC 27005更多的是介紹了很多概念性的東西,而對實際操作的提供的信息非常有限。[30]
(4)軟件開發管理。CM Mi(Capability Maturity Model Integration,軟件能力成熟度集成模型):1991年,CMMi由美國卡內基梅隆大學的軟件工程研究所(SEI)創立。2006年8月,SEI發布CMMIV1.2版,現在,CMMi已經演進為一種為軟件開發、系統工程及研發提供流程改進指導的框架。該框架通常被用來提高產品和服務質量,加快開發效率以及降低與開發項目相關的風險。它具有5個不同的“成熟度”級別,每個級別都代表著一套企業在實施流程改進時所必需的最佳實踐標準。CMMi主要指導在軟件開發、系統工程、研發及其他活動中的流程改進。[54]
(5)IT治理測評。ISO38500:2008年6月,國際標準化組織正式發布了ISO38500,國際標準化組織以澳大利亞國家標準委員會制定的國家標準AS8015(2005)為藍本,并結合AS8000:2003(良好的治理原則)和AS3806:2006(合規性程序),制定了IT治理的國際標準ISO 38500:2008。該標準是第一個直接以IT治理命名的國際標準,與上述標準相比,其特點是指導、評價與監控,側重點是有效的IT治理范圍、技術與業務溝通,主要用途是IT治理的測評。[27]
2.主要的綜合性相關框架與規范
(1)ISACA(國際信息系統審計與控制協會)發布的框架與規范。2009年12月9日,ISACA最新發布了The Risk IT Framework(IT風險管理框架),與其2007年發布的COBIT(信息及相關技術的控制目標)4.1版和2008年發布的The Val IT Framework(IT價值管理框架)2.0版一起,共同構成了一個具有內在聯系的IT相關風險控制總模型
[23],其相互關系如圖2-1[26]所示。
圖2-1 COBIT、IT風險管理框架、IT價值管理框架關系
資料來源:ISACA,Risk IT Framework,USA,2009.12.
①COBIT(Control Objectives for Information and Related Technology,信息及相關技術的控制目標)。1996年,COBIT作為一項IT安全與控制的實踐標準,是由美國信息系統審計與控制協會(ISACA)及其所屬的IT治理研究所(ITGI)共同開發、公布的業界標準,目前已經更新至第4.1版,是國際上公認的最先進、最權威的安全與信息技術管理和控制的標準。COBIT形成了一套專供企業經營者、使用者、IT專家、信息系統審計員與安全控制人員來強化和評估IT管理和控制的規范,為IT的治理、安全與控制提供了一個一般適用的公認標準,并輔助管理層進行IT治理。它正在成為控制數據、系統和相關風險的優秀的實踐法則,并逐漸被越來越多的用戶所接受。它將幫助企業部署對系統和網絡的有效管理。[24]COBIT立方圖如圖2-2[108]所示。
圖2-2 COBIT立方圖
資料來源:苗連琦.COBIT:加強會計信息系統的內部控制與審計的一個不可或缺的工具[J].中國管理信息化,2008(2):90.
②IT風險管理研究的新發展——IT風險管理框架(Risk IT Framework Based on COBIT)。ISACA的IT風險管理框架示意圖如圖2-3[[145]所示。
圖2-3 ISACA的IT風險管理框架
資料來源:ISACA,Risk IT Framework,USA,2009,12.
IT風險管理框架是國際上第一個全面的IT風險管理框架,其出發點是為了幫助企業管理IT相關風險,ISACA組織了一個全球性的相關實務工作者和專家團隊,集中了團隊成員的經驗與智慧,總結了全球范圍內現有的及新出現的有效IT風險管理的實踐和方法。它建立在一系列指導原則基礎上,并遵照這些原則提出了相應的過程模型和管理指南。COBIT通過設定一套最佳實踐法則為“企業降低IT風險提供了方式或手段”,而IT風險管理框架則建立了一個風險識別、治理及管理風險的框架,體現的是最佳實踐如何完成并實現,為“企業管理IT風險提供了程序和方法”,IT風險管理框架基于COBIT,同時是COBIT的補充和擴展,IT風險框架作為一個完整的框架,在單獨使用時也十分有效。[26]
③IT價值管理框架(Val IT Framework Based on COBIT)。IT價值管理框架也以COBIT框架為基礎。作為一種治理框架,它包含了IT投資評估選擇相關的指導原則,以及支持流程,幫助企業從它們在信息技術和IT支持的變革上的投資中實現價值。企業的IT投資如能在行之有效的治理框架內運行良好,就能夠為企業提供創造價值的重要機會。相反,如果沒有高效的治理框架和良好的管理,那么IT投資就會對價值造成損毀。IT投資能帶來高回報,但前提是必須有正確的IT治理和管理模式。IT價值管理框架能夠給領導人員提供清晰、切實可行的指導方針和配套的措施,此外,它還能協助董事和管理層理解和執行自己在IT投資中扮演的角色。它也是對COBIT的擴展和補充,它著眼于投資決定(我們做得是否正確?),以及收益的實現(我們賺錢了嗎?),而COBIT關注的是實行(我們做得正確嗎?我們完成得好嗎?)IT風險管理與IT價值管理是對同一項IT活動的兩個方面的管理,比如IT投資風險是IT相關風險的一部分,對IT投資風險的管理包含在IT風險管理框架與IT價值管理框架范圍內,但是,兩者的管理原則與管理流程并不相同,而是相互補充的。它們都將IT活動與經營目標聯系起來,著眼于受托責任、平衡風險與價值。[22]
(2)CISR(麻省理工大學斯隆管理學院信息系統研究中心)的CISR模型。CISR的Peter Weill教授(2002)發現優秀企業的IT治理與一般企業是不同的。一般企業采用的是被廣為接受的執行標準,即由董事會和高管層牢牢控制IT決策權,隨后他和他的研究團隊對23個國家的256個企業進行了相關研究,發現五個IT關鍵領域:信息技術原則、信息技術結構、信息技術基礎設施、企業應用需要和信息技術投資及優先次序。優秀企業在這五個關鍵領域誰做決策和如何決策和一般企業不同,對應于每個關鍵領域分別有著不同的決策方式,如表2-1可分為如下六類[63]。
表2-1 CISR模型的IT決策方式
資料來源:Weill,P..Don't just Lead,Govern:How Top-Performing Firms Govern IT.MIS Quarterly Executive,2004,3(1),1-17.
在確定了應做出哪些決策、誰來做的問題后,就要解決如何做出決策和實施監督的問題——即設計和實施IT治理機制。他們的研究認為,機制應能夠促成所希望行為的產生。在這些研究的基礎上,Peter Weill教授和他的研究團隊進而提出了CISR治理模型,如圖2-4[101]所示。
圖2-4 CISR治理模型
資料來源:李維安,王德祿.IT治理及其模型的比較分析[J].首都經濟貿易大學學報,2005(5):46-47.
李維安,王德祿(2005)指出,COBIT模型強調的是應加強對信息技術投入和使用的監督和控制過程,CISR模型則強調對信息技術投入和使用的權力劃分和責任分配,并形成組織所希望的行為。并認為兩者雖然都強調控制,但COBIT模型強調對決策過程的控制,而CISR模型強調決策前的控制。[101]唐志豪,計春陽,胡克瑾(2008)則認為COBIT可稱為控制型模型,歸入了控制型IT治理流派;認為CISR模型可稱為引導型模型,歸入了引導型IT治理流派。[114]
2.1.2 從管理角度來看,國外主要的相關框架與規范
1.內部控制——整合框架(1994)
COSO是美國反欺詐財務報告全國委員會即Treadway委員會的發起組織委員會,Treadway委員會由美國注冊會計師協會(AICPA)、美國會計學會(AAA)、國際財務經理協會(FEI)、內部審計師協會(IIA)和管理會計師協會(IMA)等5個組織于1985年成立。1987年,Treadway委員會發布一份報告,建議其發起組織共同協作,整合各種內部控制的概念和定義。1992年,COSO發布了著名的《內部控制——整合框架》,并于1994年作出局部修正,成為了內部控制領域最為權威的文獻之一,被國際和各國審計準則制定機構、銀行監管機構和其他方面所采納。COSO《內部控制——整合框架》系統地描述了內部控制的定義、目標、構成要素和有效性評價標準等。經過十幾年的應用,其已經成為世界各地普遍認可的一個標準。[13]
2.《企業風險管理——整合框架》(2004)
2003年7月,COSO又發布了《企業風險管理——整合框架》的征求意見稿,并于2004年9月,發布了《企業風險管理——整合框架》的最終文本。這份《企業風險管理——整合框架》拓展了內部控制,更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。并且,它將內部控制框架納入其中,從而構建了一個更強有力的概念和管理工具。公司不僅可以借助這個企業風險管理框架來滿足它們內部控制的需要,還可以借此轉向一個更加全面的風險管理過程[12](該框架對企業風險管理的定義及其基本內容在第一章的理論基礎部分已進行了詳盡闡述)。
3.AS/NZS4360(2004)及國際標準化組織的ISO31000(2009)
澳大利亞-新西蘭風險管理標準AS/NZS4360是世界上第一個國家風險管理標準,是澳大利亞和新西蘭的聯合標準。它于1995年首次發布。當時制定此標準的目的是為了制定一個統一的標準,以期對若干澳大利亞和新西蘭上市或私有企業在風險管理應用問題上有所幫助。此標準參考了1993的《澳洲新南威爾士洲風險管理指南》,AS/NZS 4360分別于1999年2004年進行修訂。到目前為止,AS/NZS 4360標準已經被澳大利亞政府和世界上許多上市公司采用。[55]ISO 31000基本上是由AS/NZS 4360:2004延伸而來。[32]
4.ARMS(2002)
2002年,英國風險管理協會(IRM)、保險和風險管理師協會(AIRMIC),以及公共部門風險管理協會(ALARM)頒布的ARMS(A Risk Management Standard,風險管理準則),該準則指出,風險管理是任何組織戰略管理的中心,是組織以一定方式處理其活動相關的風險,以便從每項活動及所有活動的組合當中獲取持續性利益的過程。良好風險管理的核心是識別并處理風險,其目標是使組織所有活動的可持續價值最大化。該準則將風險管理過程劃分為確定組織戰略目標、風險評估、風險報告與交流、風險處理、監督和復核這五個步驟。[2]
5.薩班斯—奧克斯利法案(SOX法案)有關IT條款
2002年7月,美國國會頒布了SOX法案,法案對整個公司管理層對內控體系和信息披露提出了嚴格的要求,并且針對要求提出了監管和懲罰的措施。SOX法案要求財務報表的準確性,財務報表靠業務流程,而業務流程又是由信息系統支撐的。法案的404條款要求企業管理層對企業必須建立一個有效的內控體系,并且對內控體系要進行評估。評估內容包括:公司數據的完整性受到公司IT控制的充分性影響;公司交易從交易開始、記錄、處理到報告全程應用IT;加快并支持財務報告的IT控制;IT控制有效性記錄與評價的要求;IT一般控制與應用控制;利用IT自動記錄并監控控制制度的執行。[52]
6.BaselⅡ(新巴塞爾資本協議或巴塞爾第二號協議)有關IT條款
巴塞爾協議是國際清算銀行成員國的中央銀行在瑞士巴塞爾達成的若干重要協議的統稱,是國際銀行業風險管理的理論指導、行動指南和實踐總結。1988年巴塞爾協議全稱為《統一資本衡量和資本標準的國際協議》(Basel Ⅰ),2004年6月26日,十國集團央行行長和銀行監管當局負責人一致同意公布《資本計量和資本標準的國際協議:修訂框架》(BaselⅡ),新巴塞爾資本協議要求銀行不僅僅處理傳統的信用風險,還要求處理日益復雜的市場風險和操作風險。新巴塞爾協議將IT相關風險定義為操作風險,新巴塞爾協議IT咨詢專家、EDS全球金融業總裁格立·大衛認為,在信息技術方面,遵循新巴塞爾協議將在以下方面帶來變化:IT架構、數據管理、數據存儲流程、作業流技術的使用、交易處理應用系統的設計方法。這些變化是由于經營活動中增加的對信息公開和操作透明度的需要而產生的。[6]