- 我国集团公司管理信息化的风险控制研究
- 周常兰
- 22字
- 2025-04-02 14:11:40
第二章 国内外相关框架及规范的梳理、评价及改进
2.1 国外现行相关框架与规范的梳理
国际上相关组织如ISO、政府或团体发布了各种不同的规范或框架指南,这些框架与规范分别从不同领域和角度吸取并综合了全球相关专家的理论研究成果和最佳专业实践经验,从各个方面对IT相关风险控制或提供理论指导及实践指南,或提出明确要求。笔者认为,管理信息化方面的风险控制相关框架与规范按照不同角度可分为如下两类:信息化角度及管理角度。
2.1.1 从信息化角度看,国外的相关框架与规范
1.IT特定领域主要的相关框架与规范
(1)IT服务管理。ITIL:(Information Technology Infrastructure Library,IT基础架构库),是英国政府中央计算机与电信管理中心(CCTA)在20世纪90年代初期发布的一套IT服务管理最佳实践指南,旨在解决IT服务质量不佳的情况。在此之后,CCTA又在HP、IBM、BMC、CA、Peregrine等主流IT资源管理软件厂商近年来所做出的一系列实践和探索的基础之上,总结了IT服务的最佳实践经验,形成了一系列基于流程的方法,用以规范IT服务的水平。后来CCTA并入英国政府商务部(OGC),2007年5月,OGC发布ITIL最新版V3。ITIL V3引进了服务生命周期模型;并提供许多丰富的新资源,让ITIL不再只是提到“做什么”,而是明确说明“怎么做”。[44]
ISO/IEC20000:源于ITIL,2001年,英国标准协会(BSI)正式发布了以ITIL为核心的英国国家标准BS15000。2005年12月,国际标准组织正式发布成为ISO20000,ISO20000基本上就是从BS15000延伸而来。ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。它共分为两部分:ISO/IEC20000-1(Information Technology-Service Management Part-1:Specification,信息技术服务管理标准规范、认证要求)与ISO/IEC 20000-2(Information Technology-Service Management Part-2:Code of Practice,信息技术服务管理最佳实践)。[31]
(2)IT项目管理。PRINCE:(PRojects IN Controlled Environments,受控环境中的项目),是一种对项目管理的某些特定方面提供支持的方法。1979年英国政府计算机和电信中心(CCTA)采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代,CCTA出资研究开发PRINCE,1989年Prince正式替代PROMPT成为英国政府IT项目的管理标准。1993年,OGC又将注意力转移到Prince新改版Prince2的开发。通过整合现有用户的需求,同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在OGC的组织下,1996年3月开发工作正式结束。目前,Prince2已成为了英国项目管理事实上的标准,Prince2已风行欧洲与北美等地区国家。Sun、Oracle等将Prince2作为实施项目的标准管理方法;香港特别行政区政府资讯科技署将Prince作为政府项目管理的标准指南。[45]
PMBOK:(A Guide to the Project Management Body of Knowledge,项目管理知识体系),是由美国项目管理协会PMI(1996)年综合大量专家和会员的意见开发完成的,后经过多次更新,目前最新版本为2008版。它是美国项目管理协会对项目管理所需的知识、技能和工具进行的概括性描述。在这个知识体系指南中,把项目管理划分为9个知识领域,即范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、采购管理、风险管理和集成管理。国际标准化组织以该文件为框架,制订了ISO10006关于项目管理的标准。[49]
(3)信息安全管理。ISO/IEC27001—2005及ISO/IEC27002—2005:来源于BS7799,BS7799是英国标准协会(BSI)于1995年2月制定的信息安全标准,BS7799有两个部分的内容:BS7799-2明确提出信息安全管理要求,BS7799-1则对应地给出了通用的控制方法(措施)。2000年12月,BS7799-1被国际标准化组织(ISO)采纳,正式成为ISO 17799标准。ISO于2005年6月发布了新版本即ISO17799—2005(ISO/IEC 27002),新架构包括11个控制域、39个控制措施,133个控制点。该标准涉及以下几个重要控制域,包括:安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,发展和保持、访问控制、信息安全事件管理、业务连续性管理、合规性。此外,BS7799-2也被国际标准化组织采纳为国际标准,版本号为ISO/IEC27001—2005,于2005年11月发布。[29]
ISO/IEC27005-2008:从ISO/IEC TR 13335-3—1998(信息技术IT安全管理指南第3部分:IT安全的管理技术)和ISO/IEC TR 13335-4—2000(信息技术IT安全管理指南第4部分:安全防卫的选择)[28]而来,并替代了这两者。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性,以及风险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。ISO/IEC 27005更多的是介绍了很多概念性的东西,而对实际操作的提供的信息非常有限。[30]
(4)软件开发管理。CM Mi(Capability Maturity Model Integration,软件能力成熟度集成模型):1991年,CMMi由美国卡内基梅隆大学的软件工程研究所(SEI)创立。2006年8月,SEI发布CMMIV1.2版,现在,CMMi已经演进为一种为软件开发、系统工程及研发提供流程改进指导的框架。该框架通常被用来提高产品和服务质量,加快开发效率以及降低与开发项目相关的风险。它具有5个不同的“成熟度”级别,每个级别都代表着一套企业在实施流程改进时所必需的最佳实践标准。CMMi主要指导在软件开发、系统工程、研发及其他活动中的流程改进。[54]
(5)IT治理测评。ISO38500:2008年6月,国际标准化组织正式发布了ISO38500,国际标准化组织以澳大利亚国家标准委员会制定的国家标准AS8015(2005)为蓝本,并结合AS8000:2003(良好的治理原则)和AS3806:2006(合规性程序),制定了IT治理的国际标准ISO 38500:2008。该标准是第一个直接以IT治理命名的国际标准,与上述标准相比,其特点是指导、评价与监控,侧重点是有效的IT治理范围、技术与业务沟通,主要用途是IT治理的测评。[27]
2.主要的综合性相关框架与规范
(1)ISACA(国际信息系统审计与控制协会)发布的框架与规范。2009年12月9日,ISACA最新发布了The Risk IT Framework(IT风险管理框架),与其2007年发布的COBIT(信息及相关技术的控制目标)4.1版和2008年发布的The Val IT Framework(IT价值管理框架)2.0版一起,共同构成了一个具有内在联系的IT相关风险控制总模型
[23],其相互关系如图2-1[26]所示。
图2-1 COBIT、IT风险管理框架、IT价值管理框架关系
资料来源:ISACA,Risk IT Framework,USA,2009.12.
①COBIT(Control Objectives for Information and Related Technology,信息及相关技术的控制目标)。1996年,COBIT作为一项IT安全与控制的实践标准,是由美国信息系统审计与控制协会(ISACA)及其所属的IT治理研究所(ITGI)共同开发、公布的业界标准,目前已经更新至第4.1版,是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT形成了一套专供企业经营者、使用者、IT专家、信息系统审计员与安全控制人员来强化和评估IT管理和控制的规范,为IT的治理、安全与控制提供了一个一般适用的公认标准,并辅助管理层进行IT治理。它正在成为控制数据、系统和相关风险的优秀的实践法则,并逐渐被越来越多的用户所接受。它将帮助企业部署对系统和网络的有效管理。[24]COBIT立方图如图2-2[108]所示。
图2-2 COBIT立方图
资料来源:苗连琦.COBIT:加强会计信息系统的内部控制与审计的一个不可或缺的工具[J].中国管理信息化,2008(2):90.
②IT风险管理研究的新发展——IT风险管理框架(Risk IT Framework Based on COBIT)。ISACA的IT风险管理框架示意图如图2-3[[145]所示。
图2-3 ISACA的IT风险管理框架
资料来源:ISACA,Risk IT Framework,USA,2009,12.
IT风险管理框架是国际上第一个全面的IT风险管理框架,其出发点是为了帮助企业管理IT相关风险,ISACA组织了一个全球性的相关实务工作者和专家团队,集中了团队成员的经验与智慧,总结了全球范围内现有的及新出现的有效IT风险管理的实践和方法。它建立在一系列指导原则基础上,并遵照这些原则提出了相应的过程模型和管理指南。COBIT通过设定一套最佳实践法则为“企业降低IT风险提供了方式或手段”,而IT风险管理框架则建立了一个风险识别、治理及管理风险的框架,体现的是最佳实践如何完成并实现,为“企业管理IT风险提供了程序和方法”,IT风险管理框架基于COBIT,同时是COBIT的补充和扩展,IT风险框架作为一个完整的框架,在单独使用时也十分有效。[26]
③IT价值管理框架(Val IT Framework Based on COBIT)。IT价值管理框架也以COBIT框架为基础。作为一种治理框架,它包含了IT投资评估选择相关的指导原则,以及支持流程,帮助企业从它们在信息技术和IT支持的变革上的投资中实现价值。企业的IT投资如能在行之有效的治理框架内运行良好,就能够为企业提供创造价值的重要机会。相反,如果没有高效的治理框架和良好的管理,那么IT投资就会对价值造成损毁。IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式。IT价值管理框架能够给领导人员提供清晰、切实可行的指导方针和配套的措施,此外,它还能协助董事和管理层理解和执行自己在IT投资中扮演的角色。它也是对COBIT的扩展和补充,它着眼于投资决定(我们做得是否正确?),以及收益的实现(我们赚钱了吗?),而COBIT关注的是实行(我们做得正确吗?我们完成得好吗?)IT风险管理与IT价值管理是对同一项IT活动的两个方面的管理,比如IT投资风险是IT相关风险的一部分,对IT投资风险的管理包含在IT风险管理框架与IT价值管理框架范围内,但是,两者的管理原则与管理流程并不相同,而是相互补充的。它们都将IT活动与经营目标联系起来,着眼于受托责任、平衡风险与价值。[22]
(2)CISR(麻省理工大学斯隆管理学院信息系统研究中心)的CISR模型。CISR的Peter Weill教授(2002)发现优秀企业的IT治理与一般企业是不同的。一般企业采用的是被广为接受的执行标准,即由董事会和高管层牢牢控制IT决策权,随后他和他的研究团队对23个国家的256个企业进行了相关研究,发现五个IT关键领域:信息技术原则、信息技术结构、信息技术基础设施、企业应用需要和信息技术投资及优先次序。优秀企业在这五个关键领域谁做决策和如何决策和一般企业不同,对应于每个关键领域分别有着不同的决策方式,如表2-1可分为如下六类[63]。
表2-1 CISR模型的IT决策方式
资料来源:Weill,P..Don't just Lead,Govern:How Top-Performing Firms Govern IT.MIS Quarterly Executive,2004,3(1),1-17.
在确定了应做出哪些决策、谁来做的问题后,就要解决如何做出决策和实施监督的问题——即设计和实施IT治理机制。他们的研究认为,机制应能够促成所希望行为的产生。在这些研究的基础上,Peter Weill教授和他的研究团队进而提出了CISR治理模型,如图2-4[101]所示。
图2-4 CISR治理模型
资料来源:李维安,王德禄.IT治理及其模型的比较分析[J].首都经济贸易大学学报,2005(5):46-47.
李维安,王德禄(2005)指出,COBIT模型强调的是应加强对信息技术投入和使用的监督和控制过程,CISR模型则强调对信息技术投入和使用的权力划分和责任分配,并形成组织所希望的行为。并认为两者虽然都强调控制,但COBIT模型强调对决策过程的控制,而CISR模型强调决策前的控制。[101]唐志豪,计春阳,胡克瑾(2008)则认为COBIT可称为控制型模型,归入了控制型IT治理流派;认为CISR模型可称为引导型模型,归入了引导型IT治理流派。[114]
2.1.2 从管理角度来看,国外主要的相关框架与规范
1.内部控制——整合框架(1994)
COSO是美国反欺诈财务报告全国委员会即Treadway委员会的发起组织委员会,Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年成立。1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了著名的《内部控制——整合框架》,并于1994年作出局部修正,成为了内部控制领域最为权威的文献之一,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。COSO《内部控制——整合框架》系统地描述了内部控制的定义、目标、构成要素和有效性评价标准等。经过十几年的应用,其已经成为世界各地普遍认可的一个标准。[13]
2.《企业风险管理——整合框架》(2004)
2003年7月,COSO又发布了《企业风险管理——整合框架》的征求意见稿,并于2004年9月,发布了《企业风险管理——整合框架》的最终文本。这份《企业风险管理——整合框架》拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。并且,它将内部控制框架纳入其中,从而构建了一个更强有力的概念和管理工具。公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程[12](该框架对企业风险管理的定义及其基本内容在第一章的理论基础部分已进行了详尽阐述)。
3.AS/NZS4360(2004)及国际标准化组织的ISO31000(2009)
澳大利亚-新西兰风险管理标准AS/NZS4360是世界上第一个国家风险管理标准,是澳大利亚和新西兰的联合标准。它于1995年首次发布。当时制定此标准的目的是为了制定一个统一的标准,以期对若干澳大利亚和新西兰上市或私有企业在风险管理应用问题上有所帮助。此标准参考了1993的《澳洲新南威尔士洲风险管理指南》,AS/NZS 4360分别于1999年2004年进行修订。到目前为止,AS/NZS 4360标准已经被澳大利亚政府和世界上许多上市公司采用。[55]ISO 31000基本上是由AS/NZS 4360:2004延伸而来。[32]
4.ARMS(2002)
2002年,英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC),以及公共部门风险管理协会(ALARM)颁布的ARMS(A Risk Management Standard,风险管理准则),该准则指出,风险管理是任何组织战略管理的中心,是组织以一定方式处理其活动相关的风险,以便从每项活动及所有活动的组合当中获取持续性利益的过程。良好风险管理的核心是识别并处理风险,其目标是使组织所有活动的可持续价值最大化。该准则将风险管理过程划分为确定组织战略目标、风险评估、风险报告与交流、风险处理、监督和复核这五个步骤。[2]
5.萨班斯—奥克斯利法案(SOX法案)有关IT条款
2002年7月,美国国会颁布了SOX法案,法案对整个公司管理层对内控体系和信息披露提出了严格的要求,并且针对要求提出了监管和惩罚的措施。SOX法案要求财务报表的准确性,财务报表靠业务流程,而业务流程又是由信息系统支撑的。法案的404条款要求企业管理层对企业必须建立一个有效的内控体系,并且对内控体系要进行评估。评估内容包括:公司数据的完整性受到公司IT控制的充分性影响;公司交易从交易开始、记录、处理到报告全程应用IT;加快并支持财务报告的IT控制;IT控制有效性记录与评价的要求;IT一般控制与应用控制;利用IT自动记录并监控控制制度的执行。[52]
6.BaselⅡ(新巴塞尔资本协议或巴塞尔第二号协议)有关IT条款
巴塞尔协议是国际清算银行成员国的中央银行在瑞士巴塞尔达成的若干重要协议的统称,是国际银行业风险管理的理论指导、行动指南和实践总结。1988年巴塞尔协议全称为《统一资本衡量和资本标准的国际协议》(Basel Ⅰ),2004年6月26日,十国集团央行行长和银行监管当局负责人一致同意公布《资本计量和资本标准的国际协议:修订框架》(BaselⅡ),新巴塞尔资本协议要求银行不仅仅处理传统的信用风险,还要求处理日益复杂的市场风险和操作风险。新巴塞尔协议将IT相关风险定义为操作风险,新巴塞尔协议IT咨询专家、EDS全球金融业总裁格立·大卫认为,在信息技术方面,遵循新巴塞尔协议将在以下方面带来变化:IT架构、数据管理、数据存储流程、作业流技术的使用、交易处理应用系统的设计方法。这些变化是由于经营活动中增加的对信息公开和操作透明度的需要而产生的。[6]