廖 濤，張學梅

（1.成都學院 旅游文化產業(yè)學院，四川 成都 610106；2.成都學院 科技處，四川 成都 610106）

建立一個信息系統是容易的，讓這個系統正常地運轉并能實現業(yè)務價值，則是現實的難題，雖然現實中有很多針對IT治理的風險管理框架，但是不是這些框架都適合企業(yè)的IT風險管理，因為每個標準或框架都是在特定的環(huán)境針對特定的目標而設計的，所有的框架在設計時要考慮得一個重要因素，就是系統本身的關鍵要素.

1 國際流行的風險管理框架概述

目前國際上流行的風險管理框架主要有以下幾種：

1.1 e-SAC(e-systems auditabliity and control)

SAC的概念是在1977年由國際內部審計研究院(the institute of internal auditors----IIA)第一次明確提出.e-SAC模型主要是為電子商務控制環(huán)境的評價提供了一個框架，設定了有效的技術風險管理的各個階段，在組織的使命、價值觀、目標和戰(zhàn)略的范疇中，不同的SAC模塊有助于人們對組織的IT文化形成客觀的看法，而這又將對客戶、監(jiān)管者、管理當局以及董事會了解和管理風險提供保障.

1.2 COSO

該框架是美國虛假財務報告委員會下屬的發(fā)起人委員會于1992年提出，在1994年修改后形成的《內部控制——整體框架》，該報告被認為內部控制理論研究的歷史性突破，首次把內部控制從原來的平面結構提升為立體結構，代表了該領域研究的最高水平，是目前最權威、使用面最廣的內部控制準則，被譽為內部控制的“圣經”.

1.3 COBIT(Objectives for Information and related Technology)

美國信息系統審計與控制協會(ISACA)于1996年正式推出了用于“IT審計”的知識體系COBIT，后來由信息系統審計和控制協會以及相關機構組成的IT治理協會在原來版本的基礎上出版了第四版本COBIT 4.1，它制定的國際上最先進、最權威的安全與信息技術管理和控制的標準,為IT的安全管理和控制提供了一個公認的普遍適用的標準.

1.4 ISO17799

這個標準是是英國標準協會制定的信息安全管理體系標準(BS7799)，2000年國際標準化組織采納，此后證實發(fā)布定名為ISO17799，ISO17799是國際上具有代表性的信息安全管理體系標準，目前這標準的最新版本為ISO17799：2005.此標準要求建立一個完整的信息安全管理體系.該管理體系在組織中建立一個完整的切入、實施、維護和文件化的管理框架.

1.5 Systrust

加拿大特許會計師協會與AICPA共同研發(fā)的模型即系統信托模型，為系統控制的可靠性提供了保證.該模型主要用于設計、實施及評價內部控制系統，特別是針對在機構的運營活動中對信息技術及信息系統非常依賴的情形下尤其明顯.為了能夠客觀地評價這個系統的可靠性，針對systrust的準則，分析了可用性、完整性額、安全性、可維護性四個最基本原則.

2 企業(yè)IT風險管理框架的目標

對于任何IT風險管理框架，我們都要確定其框架目標，對于在電子商務背景下的企業(yè)IT風險管理框架，選擇e-SAC框架的目標作為整合后的IT風險管理框架的目標：在電子商務控制環(huán)境中提供一個框架，在組織的使命、價值觀、目標和戰(zhàn)略的范疇中，幫組組織管理管理者對組織的IT文化形成客觀的看法，對客戶、監(jiān)管者、管理當局以及董事會了解和管理風險提供保障.

3 企業(yè)IT風險管理框架的內容

3.1 組織結構(COSO+e-SAC)

在組織進行IT治理時，首先要考慮的問題就是要建立一個與IT治理相適應的組織結構，這樣才能使IT治理為企業(yè)目標服務.對于電子商務背景下的企業(yè)IT治理的組織結構，把COSO和e-SAC兩個框架中有關組織結構的要求進行整合：IT風險的最終負責者——董事會；IT風險的治理的負責者—CEO；IT風險治理的監(jiān)督者負責者——CAE和審計委員會；IT風險治理的技術保障負責者——CIO；IT文化的維護者——首席道德文化執(zhí)行官.

以上都是針對大型的電子商務企業(yè)，這些企業(yè)擁有足夠的財力和人力建立一個完善的組織機構，但是還有很多電子商務企業(yè)的規(guī)模是很小的，其無論是財力還是人力都沒法和大型公司相比，對此類企業(yè)，基于成本和收益的考慮，本文的建議是，在發(fā)展時期，可以只建立CEO，CAE和風險控制小組，對于CIO和首席道德文化執(zhí)行官可有CEO或者CAE兼任，等到企業(yè)做大做強時，再逐步的完善組織結構.

3.2 IT文化的建立(e-SAC)

對于電子商務環(huán)境中企業(yè)，其企業(yè)文化中有個特別的文化，那就是IT文化，這種IT文化是企業(yè)文化的一個重要分支，但是它絕不是IT企業(yè)的獨有文化，只要應用信息技術的企業(yè)或組織都可以建立IT文化.IT企業(yè)文化中有時代精神與活力最為重要.通過保持某種專業(yè)技術的優(yōu)勢來構建一個具有競爭力的企業(yè)文化，因為，“產業(yè)轉型”將會是所有IT企業(yè)所面臨的挑戰(zhàn).

3.3 風險分析方法(bs7799)

在構建的電子商務背景下的IT風險管理框架中，使用英國《信息安全管理業(yè)務規(guī)范》（BS7799）中風險分析方法，該標準之風險分析方法克服了定量分析過程復雜和定性分析主觀性強等缺點.有機地結合了傳統的定量分析和定性分析兩種方法，取長補短，從而使風險評估更加客觀、公正.具體的方法有故障樹分析方法和風險模式影響和危害性分析方法.

3.3.1 故障樹分析方法.將系統總的風險狀況作為樹頂事件，通過對造成“樹頂事件”的的原因的分析及相互間關系研究，畫出邏輯關系圖，確定樹頂事件發(fā)生原因的概率，屬于演繹的風險分析法，其步驟如下：

A)了解系統的相關資料；

B)了解系統整體工作模式；

C)確定樹頂事件；

D)構建風險樹；

E)確定風險樹最小割集及其風險模式；

F)根據上一步驟求解樹頂事件的發(fā)生概率.

其中A、B、C、D步驟主要進行定性的研究，而E、F則是定量分析.

3.3.2 風險模式影響和危害性分析的方法.通過對被評估系統所有可能的風險模式的分析來確定不同風險對系統潛在危害，進而找出單點風險，再找出系統中潛在的薄弱環(huán)節(jié)，以此選擇恰當的方式去掉或減少危害.一般包括如下步驟：

A)分析系統的定義；

B)繪出系統功能圖和安全性框圖；

結果顯示，在40～800 μg/L的濃度范圍，所有分析物的質量濃度x(ng/mL)和響應值y之間線性相關系數為0.99999；以性噪比為3確定檢出限為40 μg/L，以性噪比為10確定定量限為100 μg/L。

C)系統潛在的風險模式的確定；

D)根據估算的最壞的后果評估風險模式；

E)不同風險模式發(fā)生的概率及頻率比的確定；

F)確定不同風險模式的危害程度；

G)計算系統的風險損失.

其中A到E是風險對風險模式影響的分析，F、G則是風險影響危害程度的分析.

3.4 風險控制

風險控制是指管理者運用各種措施和方法，消除或降低風險事件發(fā)生的概率,或者降低風險事件發(fā)生時造成的損失.因此最合理的控制就是把風險減少到能夠接受的程度，盡量降低在達到總體目標和完成相關任務中的不良影響.風險控制主要有4方法：

3.4.1 風險回避：是一種最消極的對待風險的辦法，在這種方法下投資主體選擇放棄風險行為，在做出放棄風險行為時，往往也割舍了潛在的收益.

3.4.3 風險轉移：是指通過簽訂協議，將所有者的風險轉移給受讓人承擔的一種行為.該方法可大大減少主體的風險程度，其主要形式是保險與合同.

3.4.4 風險保留：由主體自行承擔風險，即如果發(fā)生損失，相關主體會以當時自己可自由支配的資金進行補償.

3.5 監(jiān)控(COBIT+e-SAC)

為健康有序地運作，信息系統發(fā)布實施之后需要對其進行有效監(jiān)控，及時發(fā)現系統漏洞和缺陷.對于如何實施監(jiān)控工作都有相對詳細的規(guī)則，本文遵循并融合了COBIT標準和e-SAC，提出如下建議：

3.5.1 監(jiān)控處理流程.通過收集各種監(jiān)控數據并評價其性能，然后再針對用戶的滿意度進行評價，最后形成相應報告.

3.5.2 評價內部控制實施的適當性.對于企業(yè)內部的控制也要進行必要地和及時地監(jiān)控，以保證內部控制的順利進行與操作安全同時形成報告.

3.5.3 保證獲得的獨立性.需要對IT服務和第三方服務的獨立的有效性進行準確的評價，在不違背法律和相關法規(guī)的前提下確保兩者的獨立性，以保證各項功能實現獨立性.

3.5.4 推進IT文化的建設.正如前面所述IT文化是企業(yè)形成良好IT治理的重要因素，組織在日常監(jiān)控中，需要對IT文化的建設情況保持實時的跟進，獲得組織IT文化建設的信息，并對此進行必要的評價，防止IT文化偏離組織目標，推進IT文化的建設.

3.5.5 提供必要的獨立審計的條件 (Provide for Independent Audit).為保證該規(guī)則的有效性，要求其從組織地位上必須獨立于政府的IT職能部門和最終用戶部門.

3.6 風險管理和企業(yè)戰(zhàn)略的匹配(e-SAC)

風險管理雖然目前成為關注的重心，但是風險管理常常與戰(zhàn)略脫節(jié)造成了高質量的企業(yè)風險管理仍然難以實現.這其中最重要的一個原因就在與很多企業(yè)首先強調的是安全性，這意味著它們關注的不是管理風險而是如何降低風險，而對于如何使企業(yè)的風險管理和戰(zhàn)略管理匹配，世界沒有完美的解決之道，因為每個組織面對的無論是外部的經濟環(huán)境還是內部的治理環(huán)境都不盡相同.即使這樣，我們還是有基本的原則可循，e-SAC在此問題給出了幾點建議：

3.6.1 根據組織發(fā)展戰(zhàn)略對戰(zhàn)略目標的風險進行評估，進而制定相應的風險管理對策.

3.6.2 變傳統的風險管理的事后控制為事前控制，全過程監(jiān)控，主動應對風險.

3.6.3 積極建立企業(yè)風險信息標準和傳送渠道，形成企業(yè)內部對風險信息的統一認識，提高風險管理決策的效率和效果.

3.6.4 提高組織對外部不確定性環(huán)境的預測能力，在風險中尋找機會.

3.6.5 在公司管理層尤其是高級管理層，做風險管理思想培訓，使風險管理理念融入日常管理.

3.6.6 設立CIO的職位強化信息技術在企業(yè)戰(zhàn)略中的應用,以確保IT戰(zhàn)略規(guī)劃的成功實施.

4 結論

電子商務企業(yè)的風險控制應當在e-SAC的理論支撐下構建風險治理框架.該理論下的ERM的成功需要有來自CEO和董事會的鼎力支持，以及一個合理組織結構.要保證該治理框架成功，還要以COSO+e-SAC+BS799的重要原則作為前提基礎.CIO可以保證不但都有人負責所有的流程，還可以使關鍵性要素的風險管理的功能和要求都能實現.同時IT風險管理專家的領導不容忽視，首先風險管理專家必須向CIO進行直接報告，其次風險管理專家在事后還需要指導所有職能經理去辯別、評價、管理和報告屬于他們職責范圍內的風險.只有通過這樣流程，才能使控制真正可以嵌入到實際得操作流程中，讓控制在實際執(zhí)行過程中才可能實現充分有效.

〔1〕劉勰.James N.K.Liu.The Investigation of IT Governance of Enterprises in China from the Perspective of CISR[J].JOURNAL OF INTELL IGENCE,2009(10):34-37.

〔2〕趙鑫.虛擬企業(yè)沖突的協調管理[J].黑龍江對外經貿,2006（3）:1-3.

〔3〕張利飛,曾德明,袁信,企業(yè)IT治理的整體性框架分析[J].科技管理研究,2007（10）：192-195.

〔4〕國際標準化組織(ISO).ISO?31000風險管理原則與實施指南[M].2009.1-5.

〔5〕劉福生.電子商務風險之我見[J].商場現代,2006(1）:131-134.