［摘要］ 本文在IT風(fēng)險(xiǎn)管理框架及相關(guān)理論研究的基礎(chǔ)上，結(jié)合我國企業(yè)的實(shí)際情況，探討了我國企業(yè)IT風(fēng)險(xiǎn)管理的責(zé)任主體及其責(zé)任，并運(yùn)用調(diào)查研究與描述性統(tǒng)計(jì)的方法，對(duì)當(dāng)前我國企業(yè)IT風(fēng)險(xiǎn)管理相關(guān)責(zé)任主體的現(xiàn)狀進(jìn)行了統(tǒng)計(jì)分析，并根據(jù)調(diào)查結(jié)果提出了相應(yīng)的建議。

［關(guān)鍵詞］ IT；風(fēng)險(xiǎn)管理；責(zé)任主體；合規(guī)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022

［中圖分類號(hào)］F272.35［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］1673 - 0194（2012）06- 0045- 03

1問題的提出

信息技術(shù)迅猛發(fā)展和深入應(yīng)用使得企業(yè)的日常運(yùn)營越來越依賴于ＩＴ系統(tǒng)，企業(yè)信息化的規(guī)劃、實(shí)施、運(yùn)行維護(hù)等各階段都存在著各種風(fēng)險(xiǎn)，ＩＴ相關(guān)風(fēng)險(xiǎn)正成為管理層、監(jiān)管部門重點(diǎn)關(guān)注的對(duì)象，ＩＴ內(nèi)部控制與風(fēng)險(xiǎn)管理也逐漸成為企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理的重要組成部分。對(duì)于當(dāng)前我國企業(yè)而言，誰應(yīng)該成為ＩＴ風(fēng)險(xiǎn)管理的責(zé)任主體，董事會(huì)、ＩＴ戰(zhàn)略委員會(huì)、ＩＴ監(jiān)管部門、內(nèi)部審計(jì)部門、外部審計(jì)、風(fēng)險(xiǎn)管理部門、ＩＴ日常管理部門等在ＩＴ風(fēng)險(xiǎn)管理中各承擔(dān)哪些責(zé)任，我國企業(yè)在當(dāng)前ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置情況如何，為了弄清上述我國企業(yè)ＩＴ及其風(fēng)險(xiǎn)管理的責(zé)任主體的相關(guān)問題，筆者在理論分析和問卷調(diào)查的基礎(chǔ)上，整理了相關(guān)的調(diào)查數(shù)據(jù)，統(tǒng)計(jì)并分析了我國企業(yè)在責(zé)任主體設(shè)置方面的分布特征。

2ＩＴ風(fēng)險(xiǎn)管理責(zé)任主體的最新理論框架

與ＩＴ風(fēng)險(xiǎn)管理責(zé)任主體研究有關(guān)的最新的綜合性理論框架為國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ＩＳＡＣＡ）于２００９年１２月頒布的ＩＴ風(fēng)險(xiǎn)管理框架。ＩＳＡＣＡ在ＩＴ風(fēng)險(xiǎn)管理框架中，定義了ＩＴ相關(guān)風(fēng)險(xiǎn)管理的一系列主體，并指出了各主體應(yīng)在某一方面或某幾個(gè)方面負(fù)責(zé)或承擔(dān)責(zé)任。就某一特定方面而言，只有一個(gè)主體為負(fù)責(zé)部門，其他主體或承擔(dān)部分責(zé)任，或沒有責(zé)任。當(dāng)然，該框架也說明由于每個(gè)企業(yè)的組織機(jī)構(gòu)與職能部門設(shè)置情況并不完全相同，作為理論框架，只是提供原則性的指導(dǎo)，沒有必要與某一具體企業(yè)的組織機(jī)構(gòu)與職能部門完全一致，因此，在該框架中，對(duì)每個(gè)責(zé)任主體的定義只是進(jìn)行了簡潔描述。ＩＴ風(fēng)險(xiǎn)管理框架下的ＩＴ風(fēng)險(xiǎn)管理責(zé)任主體及承擔(dān)的責(zé)任如表１所示。

資料來源：ＩＳＡＣＡ，Ｒｉｓｋ ＩＴ Ｆｒａｍｅｗｏｒｋ，ＵＳＡ，２００９．１２．

3我國企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)的主要責(zé)任部門及責(zé)任探討

如上述框架所述，不同企業(yè)的組織機(jī)構(gòu)與職能部門設(shè)置情況并不完全相同，就我國而言，近年來，各方面的監(jiān)管層出臺(tái)了大量的規(guī)范，如《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》、《信息技術(shù)服務(wù)運(yùn)維通用要求》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《證券公司信息技術(shù)管理規(guī)范》等等，都對(duì)ＩＴ的相關(guān)風(fēng)險(xiǎn)做出了明確的規(guī)定及要求，企業(yè)已經(jīng)進(jìn)入了“合規(guī)年代”。當(dāng)前我國企業(yè)的ＩＴ風(fēng)險(xiǎn)管理的責(zé)任部門主要包括：ＩＴ戰(zhàn)略委員會(huì)、ＩＴ監(jiān)管部門、ＩＴ日常管理部門、內(nèi)部審計(jì)部門和風(fēng)險(xiǎn)管理部門。

其中，ＩＴ戰(zhàn)略委員會(huì)應(yīng)由企業(yè)的最高管理層及管理執(zhí)行層包括ＩＴ管理和業(yè)務(wù)管理有關(guān)部門負(fù)責(zé)人、管理技術(shù)人員組成，定期召開會(huì)議，就企業(yè)的企業(yè)戰(zhàn)略與ＩＴ戰(zhàn)略的驅(qū)動(dòng)與設(shè)置等議題進(jìn)行討論并做出決策，為企業(yè)ＩＴ及其風(fēng)險(xiǎn)管理提供導(dǎo)向與支持。ＩＴ監(jiān)管部門分為企業(yè)外部和企業(yè)內(nèi)部。

企業(yè)外部監(jiān)管部門主要包括工業(yè)與信息化部、財(cái)政部、審計(jì)署、證監(jiān)會(huì)、銀監(jiān)會(huì)等政府機(jī)構(gòu)，從各自負(fù)責(zé)的領(lǐng)域?qū)ζ髽I(yè)信息技術(shù)的相關(guān)方面提出監(jiān)管標(biāo)準(zhǔn)和要求。企業(yè)內(nèi)部的ＩＴ監(jiān)管部門主要負(fù)責(zé)公司信息技術(shù)方面的評(píng)價(jià)、監(jiān)督以及合規(guī)方面的檢查。

“建立有效、健全的信息系統(tǒng)內(nèi)部控制制度”這一責(zé)任的主要承擔(dān)部門是ＩＴ日常管理部門。外部審計(jì)員對(duì)董事會(huì)負(fù)責(zé)的，協(xié)助董事會(huì)的專業(yè)委員會(huì)來確認(rèn)和分析技術(shù)風(fēng)險(xiǎn)的程度，包括企業(yè)內(nèi)部網(wǎng)與因特網(wǎng)在內(nèi)的任何直接或間接影響財(cái)務(wù)報(bào)表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)。

內(nèi)部審計(jì)員協(xié)助董事會(huì)的專業(yè)委員會(huì)執(zhí)行ＩＴ實(shí)務(wù)和系統(tǒng)的控制檢查，并向委員會(huì)推薦合適的改進(jìn)措施用于參考和實(shí)施。ＩＴ風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理體系至關(guān)重要的組成部分，與企業(yè)其他風(fēng)險(xiǎn)管理程序類似，需要運(yùn)用企業(yè)風(fēng)險(xiǎn)管理的相關(guān)原則與方法，結(jié)合ＩＴ活動(dòng)的特點(diǎn)，執(zhí)行風(fēng)險(xiǎn)管理程序。

風(fēng)險(xiǎn)管理部門需要指導(dǎo)并參與ＩＴ相關(guān)風(fēng)險(xiǎn)管理，即識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、制訂ＩＴ風(fēng)險(xiǎn)工作計(jì)劃、跟蹤風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)，并借助于定期、不定期的檢查風(fēng)險(xiǎn)防范措施的落實(shí)情況，通報(bào)檢查結(jié)果，將風(fēng)險(xiǎn)管理過程納入到日常管理中。

4對(duì)我國企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)責(zé)任部門設(shè)置的現(xiàn)狀調(diào)查與分析

筆者于２０１０年７月-２０１０年９月進(jìn)行了多次調(diào)查，調(diào)查形式分為現(xiàn)場紙質(zhì)問卷以及遠(yuǎn)程網(wǎng)絡(luò)問卷，其中，在２０１０年用友技術(shù)大會(huì)、２０１０年國資企業(yè)ＩＴ能力建設(shè)高峰論壇、２０１０年中國信息安全年會(huì)上共發(fā)放現(xiàn)場紙質(zhì)問卷１６５份，回收１１４份，有效問卷數(shù)為９７份，現(xiàn)場紙質(zhì)問卷的有效回收率為５８．７９％，在線發(fā)送遠(yuǎn)程網(wǎng)絡(luò)問卷調(diào)查邀請(qǐng)６０次，在線回收數(shù)據(jù)１４份，剔除不完整問卷２份，有效問卷數(shù)為１２份，遠(yuǎn)程網(wǎng)絡(luò)問卷的有效回收率為２０％，最終用于數(shù)據(jù)分析的有效樣本數(shù)為１０９份。

4.１ 樣本企業(yè)ＩＴ風(fēng)險(xiǎn)管理責(zé)任部門設(shè)置的總體情況

如表２所示，從企業(yè)來看，ＩＴ日常管理部門的設(shè)置最為普遍，有９７％的企業(yè)設(shè)置了ＩＴ日常管理部門；內(nèi)部審計(jì)部門設(shè)置情況較好，有８２％的企業(yè)設(shè)置了內(nèi)部審計(jì)部門；風(fēng)險(xiǎn)管理部門的設(shè)置情況一般，有不到七成的企業(yè)具有風(fēng)險(xiǎn)管理部門；ＩＴ戰(zhàn)略委員會(huì)的設(shè)置情況最差，僅有不到六成的企業(yè)具有ＩＴ戰(zhàn)略委員會(huì)。這一結(jié)果表明：我國部分企業(yè)還沒有把ＩＴ納入戰(zhàn)略層面考慮的范疇，還停留在操作層面的ＩＴ日常管理工作上，作為傳統(tǒng)的內(nèi)部控制監(jiān)督與檢查部門，內(nèi)部審計(jì)部門已成為絕大多數(shù)企業(yè)的常設(shè)機(jī)構(gòu)，一半多的企業(yè)具有了較強(qiáng)的風(fēng)險(xiǎn)管理意識(shí)并將風(fēng)險(xiǎn)管理部門作為常設(shè)機(jī)構(gòu)。

4.２ 不同類別企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置的情況

筆者按照不同經(jīng)濟(jì)成分企業(yè)、不同規(guī)模企業(yè)、不同上市狀況企業(yè)進(jìn)行了分組統(tǒng)計(jì)和比較，結(jié)果如表3所示。

表４表明，總體上看，三資企業(yè)類的企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置情況最好，比重均為第一。其次為中央國有企業(yè)，民營企業(yè)與集體企業(yè)部門設(shè)置情況較差。具體來看，除了個(gè)別民營企業(yè)外，樣本企業(yè)均有ＩＴ日常管理部門。地方國有企業(yè)最不重視ＩＴ戰(zhàn)略委員會(huì)的職能，民營企業(yè)最不重視內(nèi)部審計(jì)部門、風(fēng)險(xiǎn)管理部門的設(shè)置。無論是企業(yè)還是子公司，規(guī)模大的企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置比例明顯高于中小規(guī)模的企業(yè)?？傮w上看，無論是企業(yè)還是子公司，有香港或海外上市公司的企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置比例都是最高的，除ＩＴ監(jiān)管部門外，僅有大陸上市公司的企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置比例第二，無上市公司的企業(yè)設(shè)置比例最低。

4.３ 被調(diào)查者對(duì)企業(yè)高層應(yīng)討論ＩＴ哪些風(fēng)險(xiǎn)的看法

為了了解被調(diào)查者對(duì)企業(yè)高層應(yīng)討論ＩＴ哪些風(fēng)險(xiǎn)的看法，筆者在問卷中設(shè)計(jì)了一道多項(xiàng)選擇題“ＩＴ的哪類風(fēng)險(xiǎn)應(yīng)由企業(yè)高層會(huì)議討論”，列出了ＩＴ投資風(fēng)險(xiǎn)、系統(tǒng)建設(shè)風(fēng)險(xiǎn)、系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)三類風(fēng)險(xiǎn)，以及“都不是”與“不確定”兩個(gè)選項(xiàng)。調(diào)查結(jié)果如表４所示。

結(jié)果表明，選擇“都不是”的僅有１５％，選擇“不確定”的僅有８％，兩者相加的比重為２３％，即有將近八成的被調(diào)查者認(rèn)為高層應(yīng)討論ＩＴ相關(guān)風(fēng)險(xiǎn)，這一結(jié)果說明絕大多數(shù)被調(diào)查者均認(rèn)識(shí)到ＩＴ相關(guān)風(fēng)險(xiǎn)不僅是公司操作層、戰(zhàn)術(shù)層應(yīng)關(guān)注的，還應(yīng)上升到戰(zhàn)略層進(jìn)行討論。在三類風(fēng)險(xiǎn)中，被調(diào)查者認(rèn)為高層應(yīng)討論ＩＴ系統(tǒng)建設(shè)風(fēng)險(xiǎn)的比重最大（為４０％），認(rèn)為應(yīng)討論ＩＴ投資風(fēng)險(xiǎn)的接近４０％，說明投資風(fēng)險(xiǎn)與系統(tǒng)建設(shè)風(fēng)險(xiǎn)是應(yīng)上升到戰(zhàn)略層考慮的風(fēng)險(xiǎn)，而系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)往往是戰(zhàn)術(shù)層或操作層考慮的風(fēng)險(xiǎn)。

5結(jié)論與建議

當(dāng)前我國企業(yè)的ＩＴ風(fēng)險(xiǎn)管理的主要責(zé)任部門包括：ＩＴ戰(zhàn)略委員會(huì)、ＩＴ監(jiān)管部門、ＩＴ日常管理部門、內(nèi)部審計(jì)部門和風(fēng)險(xiǎn)管理部門。我國企業(yè)ＩＴ日常管理部門的設(shè)置最為普遍，但當(dāng)前我國部分企業(yè)還沒有把ＩＴ納入戰(zhàn)略層面考慮的范疇，還停留在操作層面的ＩＴ日常管理工作上，作為傳統(tǒng)的內(nèi)部控制監(jiān)督與檢查部門，內(nèi)部審計(jì)部門已成為絕大多數(shù)企業(yè)的常設(shè)機(jī)構(gòu)。從規(guī)模特性來看，特大型企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置比例明顯高于非特大型的企業(yè)。從上市情況來看，有香港或海外上市公司的企業(yè)ＩＴ風(fēng)險(xiǎn)管理相關(guān)部門設(shè)置比例都是最高。被調(diào)查者認(rèn)為投資風(fēng)險(xiǎn)與系統(tǒng)建設(shè)風(fēng)險(xiǎn)是應(yīng)上升到戰(zhàn)略層考慮的風(fēng)險(xiǎn)，而系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)往往是戰(zhàn)術(shù)層或操作層考慮的風(fēng)險(xiǎn)。

由此，筆者提出如下建議：

（1）要建立健全ＩＴ風(fēng)險(xiǎn)管理的組織機(jī)構(gòu)，其中的重點(diǎn)是建立ＩＴ戰(zhàn)略委員會(huì)，發(fā)揮ＩＴ戰(zhàn)略委員會(huì)在戰(zhàn)略層面ＩＴ風(fēng)險(xiǎn)管理中的作用。此外，還應(yīng)重視建立風(fēng)險(xiǎn)管理部門，把全面風(fēng)險(xiǎn)管理作為專業(yè)職能部門的職責(zé)，在指導(dǎo)全部關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)治理機(jī)制方面發(fā)揮指導(dǎo)作用。

（2）做好相關(guān)人員的培訓(xùn)工作，風(fēng)險(xiǎn)管理意識(shí)方面，要加強(qiáng)對(duì)相關(guān)人員風(fēng)險(xiǎn)意識(shí)的培養(yǎng)，樹立ＩＴ投資的成本效益觀念。提高各部門負(fù)責(zé)人的戰(zhàn)略風(fēng)險(xiǎn)意識(shí)。知識(shí)能力方面，要加強(qiáng)企業(yè)內(nèi)部的復(fù)合型人才培養(yǎng)和隊(duì)伍建設(shè)工作，企業(yè)自身才是ＩＴ風(fēng)險(xiǎn)管理的主體，應(yīng)該注意培養(yǎng)自己的人才隊(duì)伍，學(xué)習(xí)如何識(shí)別、收集、評(píng)估、主動(dòng)控制ＩＴ風(fēng)險(xiǎn)方面的系統(tǒng)化知識(shí)和專業(yè)化的方法。

主要參考文獻(xiàn)

［１］楊周南.論會(huì)計(jì)管理信息化的ＩＳＣＡ模型［Ｊ］.會(huì)計(jì)研究，２００３（１０）：３０－３２.

［2］周常蘭，陳寶峰.ＩＳＣＡ模型——ＩＴ治理視角下的解析［Ｊ］.會(huì)計(jì)研究，２００９（２）：６１－６７.