1.2 國內外研究現狀

1.2.1 國外研究現狀

管理信息化風險控制涉及的內容非常廣泛，近幾年，國內外對這些方面的研究越來越重視，特別是國外在這些方面的研究起步較早，且已經取得了豐碩的成果。總體上看，國外的IT風險控制正在納入企業全面風險管理體系，并成為其中的一個交叉風險控制領域，管理信息化風險不再局限于常規的“操作風險”，它已成為企業的“經營風險”，未來企業的關注重點將逐漸擴展為戰術層面、戰略層面的風險，并把它們作為特定因素來管理，就筆者查閱的國外相關文獻來看，國外研究現狀可以從IT項目風險管理、IT服務及外包風險管理、IT信息安全管理、IT全面風險管理這四個方面來論述。

1.IT項目風險管理方面

近年來，國外關于IT項目風險方面的研究主要包括：Du，Keil，Mathiassen，Shen和Tiwana（2006）的研究，他們運用試驗研究和假設驗證的方法，對兩組測試者（一組為102個具有高專業水平的IT項目管理專家，另一組為105個相對低專業水平的大學生）建立了一個風險識別模型，這個模型主要研究個人如何評估IT項目中的風險，以及什么影響了他們對于IT風險的認識。研究結果發現，對項目控制的意識狀況會影響到個人對于項目中IT風險的認知。這可能向各組織表明，IT風險評估需要由組織內部的員工來執行，并且在IT項目評估中對他們進行適當控制，然后進行比較以期去除個人的風險認知偏見。[15]此外，Johnstone，Huff和Hope（2006）研發了一個模型，來研究IT項目中的風險問題，特別是與項目相關的爭端解決過程，并運用案例分析法驗證了該模型的有用性，證實了該模型在評估項目沖突中是有效的。[35]Kliem（2004）提出了一個基于項目目標的風險及目標指標體系。[36]

2.IT服務及外包風險管理方面

Gewald和Helbig（2006）研發了一種治理模型來降低外包風險，這個模型主要通過案例研究法總結而得出，它是建立在作為世界最大的外包服務商之一的公司所積累的豐富經驗基礎之上的，該模型由戰略方向、治理原則和組織結構幾部分組成。[18]Benvenuto和Brand（2005）識別了外包的驅動力，指出了風險分析過程，以及風險管理要素，并研發了一種通用的風險評估模型。[7]Bahli和Rivard（2005）對研發風險度量工具與外包IT運營相關的風險系數做出了貢獻。他們研發出這些度量工具，并將這些度量工具運用于測試之前研究中已經識別出來的因素，以判斷這些工具的可靠性，這些因素包括對IT外包風險有影響的交易風險、客戶風險、供應商風險。最后論證了組織需要關注IT外包情形下的風險因素，以及項目風險評估能幫助決定執行哪一個外包項目。[5]

3.IT信息安全管理方面

近年來，IT信息安全風險集中了大量的研究，這些研究發現，對信息安全進行適當的管理對于組織來說是很重要的，并且，安全與業務連續性掛鉤。這些研究同時還解釋了為何信息安全過程不成功的原因，并實施了一些項目來評估組織IT安全過程的成熟度。

Ross（2006）探討了信息安全與業務持續性管理之間的聯系問題，發現安全與業務連續性掛鉤，將業務持續性管理和安全作為風險管理范圍內的兩點，指出業務持續性管理是由物理事件導致的損失，而安全則是由邏輯事件導致的損失。并建議業務持續性計劃應包括所有類型的中斷而不僅僅只是災難。[51]Pironti（2006）通過對148名CISM（注冊信息安全管理師）的調查，提出了一個對信息安全進行有效治理的過程，從研究中得到了5個基本成果，支持了正確有效的信息安全治理對組織是重要的這一觀點。[47]Chapin和Akridge（2005）提出了一個評價組織信息安全規劃成熟度模型，將風險評估過程與安全聯系起來。[11]

Van Solms（2005）探討了信息安全操作管理和信息安全合規管理之間的聯系，定義并識別了信息安全治理這兩個不同維度的關鍵組成部分。提出信息安全治理是好的整個IT治理和公司治理的組成部分，建議組織應設立獨立的信息安全合規管理部門。[60]Stewart（2004）突出了關于信息安全風險評估的復雜性，指出了關于安全從業者、公司及安全行業在風險管理方面的新的方向。[56]Von Solms，B.&Von Solms，R.（2004）探討了實施一個成功信息安全計劃的相關問題，識別了公司在實施信息安全計劃時的10個錯誤，提出了一個評價公司安全計劃的項目清單。[59]Wiederkehr（2003）提出了一個IT安全預警計劃。[64]

4.IT全面風險管理方面

IT全面風險管理研究注重許多問題，如對風險處理初步措施的制定和對關鍵風險因素的識別，對于這些焦點領域的研究都有一些研究做出了重要貢獻。Broadbent，Kitzis和Hunter（2004）闡述了CIO（Chief Information Officer，首席信息官）應負責的新風險：業務內在關聯、合規風險、客戶要求信息安全和IT失敗成本，CIO需要建立能識別目標與威脅、計算相關風險及潛在損失的良好風險管理程序。他們的研究對于理解風險管理過程有著重要的貢獻，此外，這項研究還發現了處理風險的四種方式，即降低，轉移，接受和避免。[9]這些風險應對方法同樣也構成了由COSO（2004）建立起來、世界范圍內廣泛接受的企業風險管理模型的一部分。

Young和Jordan（2002）提出了一種綜合的風險管理方法，目標是確保風險管理經過從決策最底層到董事會高層的研究。他們通過項目失敗的案例分析法及規范分析法提出了一個利益相關者的風險管理框架，整合了風險管理和IT治理，發展了組織內部從操作層到戰略層的溝通治理框架，并將該框架應用于識別IT治理問題方面。[67]Levine（2004）研究了風險管理解決方案的驅動力，以及相關的技術問題，他得出一個結論稱，隨著公司董事意識到理解和降低IT風險是企業風險管理過程的重要一部分，風險管理的花費也隨之增加。[38]

與前述Du，Keil，Mathiassen，Shen和Tiwana（2006）的研究一樣，Hinz和Malinowski（2006）同樣注重風險評估過程，他們通過與專家會談的方法，研究了IT最終應用者存在的風險評估問題，并建立了一個模型，包含對個人網絡問題并解決這一過程，將它作為風險評估過程的一部分。這兩項研究都是關注個人在進行IT風險評估中的重要性的首批部分模型，它們給各組織關于如何進行IT風險評估，以及這些評估相關的潛在問題提供了一些思考。[20]

SAS Ltd.（2004）進行了一項國際范圍內的調查，主要調查金融服務業的操作風險管理，發現20%的受訪者沒有操作風險規劃，發現IT及系統失敗是最大的操作風險源頭，并識別了主要的IT風險因素。[53]Ataya（2003）對財富1000強公司中的50個高級IT執行官進行了訪談，探討了新的IT投資決策對風險的影響，發現IT規劃應考慮投資風險，進行企業風險評估。[3]Hadden，DeZoort和Hermanson（2003）對審計委員會的成員進行了一項調查，研究了誰在提出IT風險方面具有技術能力，誰會提出IT風險，以及這兩者是否存在良好的匹配度。調查內容包括了34項特定的IT風險，研究結果建議審計委員會應參與IT風險的監督，審計委員會的委員具有對IT風險監督的職業判斷能力，審計委員會的參與監督IT風險將減少他們對最高管理層識別IT風險的依賴度，提出了一個問題，即一些審計委員會是否對管理層關于IT風險的報告過于依賴？[19]IT治理研究所（2005）定義了信息風險管理，指出有效的IT風險治理應將風險區分為戰略風險、規劃風險、項目風險和操作風險幾種，并提出了一個處理IT風險的計劃。[33]

1.2.2 國內研究現狀

1.IT項目風險管理方面

（1）一般IT項目風險管理。方德英（2003）構建了IT項目風險管理體系框架，以系統化的風險管理為思路提出了風險實體的概念，設計出了基于影響圖（ID）的風險辨識方法，給出了目標導向的ID風險評估方法，將PERT技術、貝葉斯置信網絡應用于風險評估中，探討了控制風險后果的實物期權方法。[80]劉磊（2004）采用項目工作結構分解法與魚刺圖法對企業信息化項目的風險因素進行辨識，構建企業信息化項目風險評價的指標體系，并建立指標體系的模糊綜合評價模型，并結合案例對該評估方法進行實證。[103]晁亮（2005）闡述了風險管理在項目管理中的重要性，分析了IT項目管理的特殊性，提出了由風險管理指南（G）、P/T過程模型（P）和風險狀態圖（S）組成的GPS風險管理框架，對基于此框架的計算機輔助風險管理信息系統的設計和體系結構作了探討，并在管理實踐中對此框架進行了案例檢驗。[73]唐愛國（2007）提出了基于貝葉斯網絡的軟件項目風險評估模型，分析了該模型的構建思路和原理，細化了模型中各個階段的子模型結構，并對模型中的關鍵技術和難點，提出解決方案和具體實現方法。[113]吳兆明（2008）構建了IT企業項目管理成熟度評價模型，提出了基于模糊偏好關系群決策的指標篩選方法和基于模糊綜合評判的項目管理成熟度評價方法。[117]

（2）ERP實施項目風險管理。甄阜銘（2007）以ERP系統實施項目風險管理為研究對象，指出ERP系統實施與企業能力成熟度有關，給出了ERP系統實施項目風險管理模型。[140]王慧瑜（2007）構建了ERP項目監理效果評價指標體系，利用模糊綜合評價法對監理效果指標進行定量分析。對我國企業實施ERP項目時如何進行風險控制提供了一些建議和想法。[115]魏云霞（2008）將內部審計理論與項目風險管理理論結合起來，針對內部審計人員參與ERP項目實施風險管理的問題，構建了ERP項目風險審計流程，提出ERP關鍵活動風險審計思想，針對其中的三項關鍵活動，建立了相應的風險評價模型。[116]

2.IT治理理論與方法方面

（1）IT責任主體。孟佳佳（2007）圍繞IT治理結構、治理過程中存在的多層委托代理關系進行研究，提出了協同共治的IT治理結構，并結合每一層委托代理關系的特點，深入探析IT治理中的風險分擔和激勵監督機制。并通過案例和最新的IT治理模式的分析，描述其具體結構、流程、機制和輔助工具。[107]韓姣杰（2008）根據集團信息化項目的特點，通過對其委托代理關系進行分析，得出集團信息化委托代理的分析框架。將集團信息化委托代理鏈定義為一個兩層的結構，其中信息部處于整個委托代理鏈的中心。建立了基于委托代理的風險治理框架，并提出從代理人的選擇、激勵制度、風險分擔制度和監督制度四個方面來控制風險。[90]

（2）IT治理模型。肖榮（2005）在企業信息化生命周期的基礎上，提出了信息化風險治理的模型——層次風險支撐框架。在COBIT框架體系的基礎上，構建了企業信息化風險過程風險控制模型，模型給出了詳細的信息化過程控制評判指標體系，形成了完整的對信息化風險的分析和評價過程。[120]夏志杰（2008）分析了Val IT治理框架和IT組合管理模型，從前者得到模型構建的指導思想和原則，從后者得到實現這些思想和原則的手段。構建了基于組合權衡的IT項目投資決策模型，構建決策過程的決策權分配矩陣，用以了解和規范不同利益相關者參與決策的形式，給出模型實現的具體步驟和方法。[118]胡海清（2009）結合多元化集團型企業的信息化特征提出了信息化規劃模型。根據赫塞-布蘭查德的情景領導理論建立信息化不同發展階段的IT負責人的領導模型。以諾蘭模型為基礎，建立了企業信息化需求變化階段模型。[92]

3.在IT治理理論與方法的應用研究方面

（1）應用于電子政務。郭順利（2003）分析了COBIT在國內電子政務系統建設中的應用，結合國內電子政務建設的現狀，提出電子政務系統的管理控制和運行控制目標。[86]張希平（2008）將企業的IT治理理念引入電子政務治理中，提出了實現電子政務IT治理的三大策略：基于IT治理的電子政務流程再造、建立政府CIO制度、建立IT治理委員會和信息系統審計制度。[139]強益（2008）結合陜西“金財工程”現狀和存在的問題，將IT治理戰略引入“金財工程”建設中，從IT資源管理、IT服務管理，以及IT安全體系等方面提出了構建“金財工程”IT治理機制的基本策略及其實施方案。[110]

（2）應用于企業信息化建設與管理。余瑾（2006）以IT治理COBIT模型為研究工具，選取薩班斯法案404條款的要求作為企業IT控制有效性的衡量標準，并結合IBM WBCR所實現的控制功能，嘗試對企業IT控制體系的有效性做出論證。[135]閃蘭魁（2007）借鑒COBIT的IT治理思想和框架，分析了電力企業信息化建設的現狀和存在的問題，并全面詳盡地提出了電力企業信息化建設的IT治理對策。[112]高麗（2006）通過大樣本實證研究發現我國企業的IT應用及決策水平不高，高層管理者治理意識不強，治理政策連續性不高是IT治理有效性提高的障礙。結構能力影響治理有效性的程度最大。由實證分析得出了影響企業IT治理有效性的因素。[81]許寶山（2007）通過問卷調查的方式，對集團企業的IT現狀進行了分析，認為對IT決策權力歸屬和責任擔當不清楚是導致企業信息化項目失敗的重要因素。提出善治的IT治理是解決該問題的有效途徑。提出了包括治理機制、治理過程與評價、治理績效和IT服務提供與支持四個方面的集團企業IT治理框架。[127]劉鄂湘（2004）以基金公司信息化為主要脈絡，運用風險控制理論，結合基金公司的運營管理，探討了信息化管理與風險控制的關系，對基金公司加強信息化管理，完善風險控制提出了解決思路。[102]聶偉（2004）分析了中小企業信息化的現狀及風險，采用定性分析與定量分析相結合的方法，得出中小企業信息化建設風險控制的策略。[109]

（3）應用于企業信息化建設與管理的案例研究。李冠民（2004）結合工業工程的理論和方法，對天津市自來水集團企業信息化現狀的進行總體分析及和評價，并從規劃框架、安全保障體系、綜合管理體系、標準規范體系、保證措施和手段等方面，研究了企業信息化建設的管理方法。[99]屈玉閣（2005）研究了IT治理思想、管理控制理論、需求工程方法、軟件工程方法、受控環境下的項目管理方法（PRINCE2）、戴明循環法（PDCA）、平衡計分卡在中國網通集團企業信息化管理控制體系中的應用。[111]杜軍政（2007）從機制安排角度給出其IT治理的決策框架、責任框架，參考IT治理的標準，提出了適用于天宏焦化公司的IT治理流程和標準，并建立了信息化績效評價體系。通過案例探索了我國國有企業成功實施IT治理的方法和途徑。[79]胡勇（2008）借助COBIT等IT治理理論和框架對中國人民財產保險股份有限公司的IT現狀進行了案例分析，發現了缺乏對IT的績效管理、管理的制度基礎和控制手段薄弱，執行力不強、IT安全治理和風險管理缺位這三個主要問題。[93]

4.IT風險管理方法方面

（1）IT相關風險評估方法。肖龍（2006）將信息系統劃分為九個風險區域，為信息系統建立了一個普遍適用的系統資源數據庫，為將風險分析的一般方法應用到信息系統的安全分析中建立系統風險評估體系提供了參考。[119]胡勇（2007）提出了改進的風險評估要素關系模型，將風險評估涉及的要素都包含其中。基于該模型提出了風險評估流程，概括了風險評估的完整過程。在風險的評估量化上，提出主客觀相結合的多種評估方法。[94]李松林（2007）研究了模糊數學方法和層次分析方法在財務公司信息系統風險評估中的應用，提出了基于改進威脅樹的評估方法。[100]谷永浩（2007）提出信息系統風險管理方法TPISRM，提出基于貝葉斯信息網絡的系統風險管理預算模型BBSMBM，采用了模糊多屬性安全評估方法對系統遭受的風險進行排序，提出一種權重綜合算法，提出一種基于因果關系圖和成本效益法相結合的自動事件響應方法。[84]陳天平，鄭連清，張新源（2008）設計了信息系統的HHM（等級全息建模）框架，并將其應用到信息采集和風險識別過程，改進了風險識別的完備性，提高了風險評估的準確性。[75]周英（2008）對信息系統安全風險評估中存在的主要問題進行了研究，將層次分析法應用到風險評估中，提出了改進方法；對模糊群決策進行研究，進行模糊綜合評價，最后進行綜合排序，得出最優方案。[147]曾宇潔（2008）研究了粗糙集理論在信息系統風險評估中的應用，搭建了基于粗糙集數據分析的信息系統風險評估決策支持系統，從歷史評估數據中挖掘出具有一定可信度和覆蓋率的風險規則，輔助評估人員做出決策。[136]

（2）IT風險及風險管理有效性測量方法。劉勇（2007）將Zachman框架應用于IT風險管理，提出了IT風險管理的Zachman框架。給出了能夠彌補缺陷的實施IT風險管理的組織結構和改進的風險管理流程。基于Zachman框架，利用風險度量技術VaR法與損失分布法，結合IT風險管理中的各風險要素，給出了IT風險預期損失的計算，從而得到IT風險量化度量模型。[105]劉鵬東（2007）將模糊積分引入IT治理有效性測度與評價體系，設計了企業IT治理有效性測度與評價調查問卷，構建了企業技術IT治理測度與評價指標體系。[104]張凌欣、胡克瑾（2008）在COBIT的基礎上，構建了定量化的成熟度模型，以盡量減少主觀性，然后圍繞這一模型，開發了相應的匯總分析和回溯分析技術，并用計算機模擬案例說明其可操作性。[137]

1.2.3 對國內外相關研究現狀的評價

1.對國外相關研究現狀的評價

國外在IT相關風險管理焦點領域起步較早，而且其研究勢頭在近5年里增長較快，并且比其他焦點領域，如IT隨業務的戰略調整、IT價值傳遞、IT資源管理研究、IT系統的業績評價方面要深得多，寬廣得多，幫助了各組織的內部加深對IT風險的理解。[10]然而，這一研究領域的重點一直是與IT風險因素的概念、思維和模型，此領域模型注重識別風險，風險管理，以及風險評估或度量過程。關于識別風險的研究主要集中于IT項目、IT外包和信息安全風險。IT風險管理研究仍在發展，而至今為止只有部分重要問題得以解決。這個領域的模型仍在不斷改進，如同風險評估一樣，對IT風險管理通常被視為企業風險管理過程的一部分，因此，這些內容同樣也被COSO（美國反欺詐財務報告全國委員會的發起組織委員會）框架在內的諸多模型的研究包括進來了。

2.對國內相關研究現狀的評價

國內相關研究主要集中在近幾年，這是國內經濟發展和企業信息化建設發展與深入對IT相關風險控制要求日益增強的體現，從總體上來說，以對國外IT相關風險控制理論和方法、工具的應用研究為主，應用研究中的案例研究又占了很大比重，應用分析使用的工具以COBIT最多；在IT相關風險控制的方法研究方面，信息安全評估方法、項目風險控制方法占了大多數，引入了現代數學、計算機軟件技術的一些最新成果；在IT相關風險控制的理論研究方面，主要集中在對IT相關風險控制的責任主體和治理模型的研究。

此外，與國外的研究相比，從總體上說，我國在這些方面的研究起步較晚，相關研究有待進一步加強，迄今為止，我國學者大多側重于某一方面的研究，側重于對理論框架或規范的應用研究，對企業的調查研究與綜合性的整體研究較少，因此，有必要通過調查來研究中國企業管理信息化風險及風險控制的實際情況，在引進、消化、吸收西方先進的理論、方法和經驗的基礎上，進行多角度的綜合分析。