1 問題的提出
信息技術迅猛發展和深入應用使得企業的日常運營越來越依賴于IT系統,企業信息化的規劃、實施、運行維護等各階段都存在著各種風險,IT相關風險正成為管理層、監管部門重點關注的對象,IT內部控制與風險管理也逐漸成為企業內部控制與風險管理的重要組成部分。對于當前我國企業而言,誰應該成為IT風險管理的責任主體,董事會、IT戰略委員會、IT監管部門、內部審計部門、外部審計、風險管理部門、IT日常管理部門等在IT風險管理中各承擔哪些責任,我國企業在當前IT風險管理相關部門設置情況如何,為了弄清上述我國企業IT及其風險管理的責任主體的相關問題,筆者在理論分析和問卷調查的基礎上,整理了相關的調查數據,統計并分析了我國企業在責任主體設置方面的分布特征。
2 IT風險管理責任主體的最新理論框架
與IT風險管理責任主體研究有關的最新的綜合性理論框架為國際信息系統審計與控制協會(ISACA)于2009年12月頒布的IT風險管理框架。ISACA在IT風險管理框架中,定義了IT相關風險管理的一系列主體,并指出了各主體應在某一方面或某幾個方面負責或承擔責任。就某一特定方面而言,只有一個主體為負責部門,其他主體或承擔部分責任,或沒有責任。當然,該框架也說明由于每個企業的組織機構與職能部門設置情況并不完全相同,作為理論框架,只是提供原則性的指導,沒有必要與某一具體企業的組織機構與職能部門完全一致,因此,在該框架中,對每個責任主體的定義只是進行了簡潔描述。IT風險管理框架下的IT風險管理責任主體及承擔的責任如表1所示。
資料來源:ISACA,Risk IT Framework,USA,2009.12.
3 我國企業IT風險管理相關的主要責任部門及責任探討
如上述框架所述,不同企業的組織機構與職能部門設置情況并不完全相同,就我國而言,近年來,各方面的監管層出臺了大量的規范,如《企業內部控制基本規范》、《中央企業全面風險管理指引》、《信息技術服務運維通用要求》、《商業銀行信息科技風險管理指引》、《證券公司信息技術管理規范》等等,都對IT的相關風險做出了明確的規定及要求,企業已經進入了“合規年代”。當前我國企業的IT風險管理的責任部門主要包括:IT戰略委員會、IT監管部門、IT日常管理部門、內部審計部門和風險管理部門。
其中,IT戰略委員會應由企業的最高管理層及管理執行層包括IT管理和業務管理有關部門負責人、管理技術人員組成,定期召開會議,就企業的企業戰略與IT戰略的驅動與設置等議題進行討論并做出決策,為企業IT及其風險管理提供導向與支持。IT監管部門分為企業外部和企業內部。
企業外部監管部門主要包括工業與信息化部、財政部、審計署、證監會、銀監會等政府機構,從各自負責的領域對企業信息技術的相關方面提出監管標準和要求。企業內部的IT監管部門主要負責公司信息技術方面的評價、監督以及合規方面的檢查。
“建立有效、健全的信息系統內部控制制度”這一責任的主要承擔部門是IT日常管理部門。外部審計員對董事會負責的,協助董事會的專業委員會來確認和分析技術風險的程度,包括企業內部網與因特網在內的任何直接或間接影響財務報表或其他至關重要資料的數據或處理系統。
內部審計員協助董事會的專業委員會執行IT實務和系統的控制檢查,并向委員會推薦合適的改進措施用于參考和實施。IT風險是企業風險管理體系至關重要的組成部分,與企業其他風險管理程序類似,需要運用企業風險管理的相關原則與方法,結合IT活動的特點,執行風險管理程序。
風險管理部門需要指導并參與IT相關風險管理,即識別風險、分析風險、制訂IT風險工作計劃、跟蹤風險、應對風險,并借助于定期、不定期的檢查風險防范措施的落實情況,通報檢查結果,將風險管理過程納入到日常管理中。
4 對我國企業IT風險管理相關責任部門設置的現狀調查與分析
筆者于2010年7月-2010年9月進行了多次調查,調查形式分為現場紙質問卷以及遠程網絡問卷,其中,在2010年用友技術大會、2010年國資企業IT能力建設高峰論壇、2010年中國信息安全年會上共發放現場紙質問卷165份,回收114份,有效問卷數為97份,現場紙質問卷的有效回收率為58.79%,在線發送遠程網絡問卷調查邀請60次,在線回收數據14份,剔除不完整問卷2份,有效問卷數為12份,遠程網絡問卷的有效回收率為20%,最終用于數據分析的有效樣本數為109份。
4.1 樣本企業IT風險管理責任部門設置的總體情況
如表2所示,從企業來看,IT日常管理部門的設置最為普遍,有97%的企業設置了IT日常管理部門;內部審計部門設置情況較好,有82%的企業設置了內部審計部門;風險管理部門的設置情況一般,有不到七成的企業具有風險管理部門;IT戰略委員會的設置情況最差,僅有不到六成的企業具有IT戰略委員會。這一結果表明:我國部分企業還沒有把IT納入戰略層面考慮的范疇,還停留在操作層面的IT日常管理工作上,作為傳統的內部控制監督與檢查部門,內部審計部門已成為絕大多數企業的常設機構,一半多的企業具有了較強的風險管理意識并將風險管理部門作為常設機構。
4.2 不同類別企業IT風險管理相關部門設置的情況
筆者按照不同經濟成分企業、不同規模企業、不同上市狀況企業進行了分組統計和比較,結果如表3所示。
表4表明,總體上看,三資企業類的企業IT風險管理相關部門設置情況最好,比重均為第一。其次為中央國有企業,民營企業與集體企業部門設置情況較差。具體來看,除了個別民營企業外,樣本企業均有IT日常管理部門。地方國有企業最不重視IT戰略委員會的職能,民營企業最不重視內部審計部門、風險管理部門的設置。無論是企業還是子公司,規模大的企業IT風險管理相關部門設置比例明顯高于中小規模的企業。總體上看,無論是企業還是子公司,有香港或海外上市公司的企業IT風險管理相關部門設置比例都是最高的,除IT監管部門外,僅有大陸上市公司的企業IT風險管理相關部門設置比例第二,無上市公司的企業設置比例最低。
4.3 被調查者對企業高層應討論IT哪些風險的看法
為了了解被調查者對企業高層應討論IT哪些風險的看法,筆者在問卷中設計了一道多項選擇題“IT的哪類風險應由企業高層會議討論”,列出了IT投資風險、系統建設風險、系統運行維護風險三類風險,以及“都不是”與“不確定”兩個選項。調查結果如表4所示。
結果表明,選擇“都不是”的僅有15%,選擇“不確定”的僅有8%,兩者相加的比重為23%,即有將近八成的被調查者認為高層應討論IT相關風險,這一結果說明絕大多數被調查者均認識到IT相關風險不僅是公司操作層、戰術層應關注的,還應上升到戰略層進行討論。在三類風險中,被調查者認為高層應討論IT系統建設風險的比重最大(為40%),認為應討論IT投資風險的接近40%,說明投資風險與系統建設風險是應上升到戰略層考慮的風險,而系統運行維護風險往往是戰術層或操作層考慮的風險。
5 結論與建議
當前我國企業的IT風險管理的主要責任部門包括:IT戰略委員會、IT監管部門、IT日常管理部門、內部審計部門和風險管理部門。我國企業IT日常管理部門的設置最為普遍,但當前我國部分企業還沒有把IT納入戰略層面考慮的范疇,還停留在操作層面的IT日常管理工作上,作為傳統的內部控制監督與檢查部門,內部審計部門已成為絕大多數企業的常設機構。從規模特性來看,特大型企業IT風險管理相關部門設置比例明顯高于非特大型的企業。從上市情況來看,有香港或海外上市公司的企業IT風險管理相關部門設置比例都是最高。被調查者認為投資風險與系統建設風險是應上升到戰略層考慮的風險,而系統運行維護風險往往是戰術層或操作層考慮的風險。
由此,筆者提出如下建議:
(1)要建立健全IT風險管理的組織機構,其中的重點是建立IT戰略委員會,發揮IT戰略委員會在戰略層面IT風險管理中的作用。此外,還應重視建立風險管理部門,把全面風險管理作為專業職能部門的職責,在指導全部關鍵資產的風險治理機制方面發揮指導作用。
(2)做好相關人員的培訓工作,風險管理意識方面,要加強對相關人員風險意識的培養,樹立IT投資的成本效益觀念。提高各部門負責人的戰略風險意識。知識能力方面,要加強企業內部的復合型人才培養和隊伍建設工作,企業自身才是IT風險管理的主體,應該注意培養自己的人才隊伍,學習如何識別、收集、評估、主動控制IT風險方面的系統化知識和專業化的方法。
