新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

1 問題的提出
　　 信息技術(shù)迅猛發(fā)展和深入應(yīng)用使得企業(yè)的日常運營越來越依賴于ＩＴ系統(tǒng)，企業(yè)信息化的規(guī)劃、實施、運行維護(hù)等各階段都存在著各種風(fēng)險，ＩＴ相關(guān)風(fēng)險正成為管理層、監(jiān)管部門重點關(guān)注的對象，ＩＴ內(nèi)部控制與風(fēng)險管理也逐漸成為企業(yè)內(nèi)部控制與風(fēng)險管理的重要組成部分。對于當(dāng)前我國企業(yè)而言，誰應(yīng)該成為ＩＴ風(fēng)險管理的責(zé)任主體，董事會、ＩＴ戰(zhàn)略委員會、ＩＴ監(jiān)管部門、內(nèi)部審計部門、外部審計、風(fēng)險管理部門、ＩＴ日常管理部門等在ＩＴ風(fēng)險管理中各承擔(dān)哪些責(zé)任，我國企業(yè)在當(dāng)前ＩＴ風(fēng)險管理相關(guān)部門設(shè)置情況如何，為了弄清上述我國企業(yè)ＩＴ及其風(fēng)險管理的責(zé)任主體的相關(guān)問題，筆者在理論分析和問卷調(diào)查的基礎(chǔ)上，整理了相關(guān)的調(diào)查數(shù)據(jù)，統(tǒng)計并分析了我國企業(yè)在責(zé)任主體設(shè)置方面的分布特征。
　　2 ＩＴ風(fēng)險管理責(zé)任主體的最新理論框架
　　與ＩＴ風(fēng)險管理責(zé)任主體研究有關(guān)的最新的綜合性理論框架為國際信息系統(tǒng)審計與控制協(xié)會（ＩＳＡＣＡ）于２００９年１２月頒布的ＩＴ風(fēng)險管理框架。ＩＳＡＣＡ在ＩＴ風(fēng)險管理框架中，定義了ＩＴ相關(guān)風(fēng)險管理的一系列主體，并指出了各主體應(yīng)在某一方面或某幾個方面負(fù)責(zé)或承擔(dān)責(zé)任。就某一特定方面而言，只有一個主體為負(fù)責(zé)部門，其他主體或承擔(dān)部分責(zé)任，或沒有責(zé)任。當(dāng)然，該框架也說明由于每個企業(yè)的組織機(jī)構(gòu)與職能部門設(shè)置情況并不完全相同，作為理論框架，只是提供原則性的指導(dǎo)，沒有必要與某一具體企業(yè)的組織機(jī)構(gòu)與職能部門完全一致，因此，在該框架中，對每個責(zé)任主體的定義只是進(jìn)行了簡潔描述。ＩＴ風(fēng)險管理框架下的ＩＴ風(fēng)險管理責(zé)任主體及承擔(dān)的責(zé)任如表１所示。
　　資料來源：ＩＳＡＣＡ，Ｒｉｓｋ ＩＴ Ｆｒａｍｅｗｏｒｋ，ＵＳＡ，２００９．１２．
　　3 我國企業(yè)ＩＴ風(fēng)險管理相關(guān)的主要責(zé)任部門及責(zé)任探討
　　如上述框架所述，不同企業(yè)的組織機(jī)構(gòu)與職能部門設(shè)置情況并不完全相同，就我國而言，近年來，各方面的監(jiān)管層出臺了大量的規(guī)范，如《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)全面風(fēng)險管理指引》、《信息技術(shù)服務(wù)運維通用要求》、《商業(yè)銀行信息科技風(fēng)險管理指引》、《證券公司信息技術(shù)管理規(guī)范》等等，都對ＩＴ的相關(guān)風(fēng)險做出了明確的規(guī)定及要求，企業(yè)已經(jīng)進(jìn)入了“合規(guī)年代”。當(dāng)前我國企業(yè)的ＩＴ風(fēng)險管理的責(zé)任部門主要包括：ＩＴ戰(zhàn)略委員會、ＩＴ監(jiān)管部門、ＩＴ日常管理部門、內(nèi)部審計部門和風(fēng)險管理部門。
　　其中，ＩＴ戰(zhàn)略委員會應(yīng)由企業(yè)的最高管理層及管理執(zhí)行層包括ＩＴ管理和業(yè)務(wù)管理有關(guān)部門負(fù)責(zé)人、管理技術(shù)人員組成，定期召開會議，就企業(yè)的企業(yè)戰(zhàn)略與ＩＴ戰(zhàn)略的驅(qū)動與設(shè)置等議題進(jìn)行討論并做出決策，為企業(yè)ＩＴ及其風(fēng)險管理提供導(dǎo)向與支持。ＩＴ監(jiān)管部門分為企業(yè)外部和企業(yè)內(nèi)部。
　　企業(yè)外部監(jiān)管部門主要包括工業(yè)與信息化部、財政部、審計署、證監(jiān)會、銀監(jiān)會等政府機(jī)構(gòu)，從各自負(fù)責(zé)的領(lǐng)域?qū)ζ髽I(yè)信息技術(shù)的相關(guān)方面提出監(jiān)管標(biāo)準(zhǔn)和要求。企業(yè)內(nèi)部的ＩＴ監(jiān)管部門主要負(fù)責(zé)公司信息技術(shù)方面的評價、監(jiān)督以及合規(guī)方面的檢查。
　　“建立有效、健全的信息系統(tǒng)內(nèi)部控制制度”這一責(zé)任的主要承擔(dān)部門是ＩＴ日常管理部門。外部審計員對董事會負(fù)責(zé)的，協(xié)助董事會的專業(yè)委員會來確認(rèn)和分析技術(shù)風(fēng)險的程度，包括企業(yè)內(nèi)部網(wǎng)與因特網(wǎng)在內(nèi)的任何直接或間接影響財務(wù)報表或其他至關(guān)重要資料的數(shù)據(jù)或處理系統(tǒng)。
　　內(nèi)部審計員協(xié)助董事會的專業(yè)委員會執(zhí)行ＩＴ實務(wù)和系統(tǒng)的控制檢查，并向委員會推薦合適的改進(jìn)措施用于參考和實施。ＩＴ風(fēng)險是企業(yè)風(fēng)險管理體系至關(guān)重要的組成部分，與企業(yè)其他風(fēng)險管理程序類似，需要運用企業(yè)風(fēng)險管理的相關(guān)原則與方法，結(jié)合ＩＴ活動的特點，執(zhí)行風(fēng)險管理程序。
　　風(fēng)險管理部門需要指導(dǎo)并參與ＩＴ相關(guān)風(fēng)險管理，即識別風(fēng)險、分析風(fēng)險、制訂ＩＴ風(fēng)險工作計劃、跟蹤風(fēng)險、應(yīng)對風(fēng)險，并借助于定期、不定期的檢查風(fēng)險防范措施的落實情況，通報檢查結(jié)果，將風(fēng)險管理過程納入到日常管理中。
　　4 對我國企業(yè)ＩＴ風(fēng)險管理相關(guān)責(zé)任部門設(shè)置的現(xiàn)狀調(diào)查與分析
　　筆者于２０１０年７月-２０１０年９月進(jìn)行了多次調(diào)查，調(diào)查形式分為現(xiàn)場紙質(zhì)問卷以及遠(yuǎn)程網(wǎng)絡(luò)問卷，其中，在２０１０年用友技術(shù)大會、２０１０年國資企業(yè)ＩＴ能力建設(shè)高峰論壇、２０１０年中國信息安全年會上共發(fā)放現(xiàn)場紙質(zhì)問卷１６５份，回收１１４份，有效問卷數(shù)為９７份，現(xiàn)場紙質(zhì)問卷的有效回收率為５８．７９％，在線發(fā)送遠(yuǎn)程網(wǎng)絡(luò)問卷調(diào)查邀請６０次，在線回收數(shù)據(jù)１４份，剔除不完整問卷２份，有效問卷數(shù)為１２份，遠(yuǎn)程網(wǎng)絡(luò)問卷的有效回收率為２０％，最終用于數(shù)據(jù)分析的有效樣本數(shù)為１０９份。
　　4.１ 樣本企業(yè)ＩＴ風(fēng)險管理責(zé)任部門設(shè)置的總體情況
　　如表２所示，從企業(yè)來看，ＩＴ日常管理部門的設(shè)置最為普遍，有９７％的企業(yè)設(shè)置了ＩＴ日常管理部門；內(nèi)部審計部門設(shè)置情況較好，有８２％的企業(yè)設(shè)置了內(nèi)部審計部門；風(fēng)險管理部門的設(shè)置情況一般，有不到七成的企業(yè)具有風(fēng)險管理部門；ＩＴ戰(zhàn)略委員會的設(shè)置情況最差，僅有不到六成的企業(yè)具有ＩＴ戰(zhàn)略委員會。這一結(jié)果表明：我國部分企業(yè)還沒有把ＩＴ納入戰(zhàn)略層面考慮的范疇，還停留在操作層面的ＩＴ日常管理工作上，作為傳統(tǒng)的內(nèi)部控制監(jiān)督與檢查部門，內(nèi)部審計部門已成為絕大多數(shù)企業(yè)的常設(shè)機(jī)構(gòu)，一半多的企業(yè)具有了較強的風(fēng)險管理意識并將風(fēng)險管理部門作為常設(shè)機(jī)構(gòu)。
　　4.２ 不同類別企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置的情況
　　筆者按照不同經(jīng)濟(jì)成分企業(yè)、不同規(guī)模企業(yè)、不同上市狀況企業(yè)進(jìn)行了分組統(tǒng)計和比較，結(jié)果如表3所示。
　　表４表明，總體上看，三資企業(yè)類的企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置情況最好，比重均為第一。其次為中央國有企業(yè)，民營企業(yè)與集體企業(yè)部門設(shè)置情況較差。具體來看，除了個別民營企業(yè)外，樣本企業(yè)均有ＩＴ日常管理部門。地方國有企業(yè)最不重視ＩＴ戰(zhàn)略委員會的職能，民營企業(yè)最不重視內(nèi)部審計部門、風(fēng)險管理部門的設(shè)置。無論是企業(yè)還是子公司，規(guī)模大的企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置比例明顯高于中小規(guī)模的企業(yè)?？傮w上看，無論是企業(yè)還是子公司，有香港或海外上市公司的企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置比例都是最高的，除ＩＴ監(jiān)管部門外，僅有大陸上市公司的企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置比例第二，無上市公司的企業(yè)設(shè)置比例最低。
　　4.３ 被調(diào)查者對企業(yè)高層應(yīng)討論ＩＴ哪些風(fēng)險的看法
　　為了了解被調(diào)查者對企業(yè)高層應(yīng)討論ＩＴ哪些風(fēng)險的看法，筆者在問卷中設(shè)計了一道多項選擇題“ＩＴ的哪類風(fēng)險應(yīng)由企業(yè)高層會議討論”，列出了ＩＴ投資風(fēng)險、系統(tǒng)建設(shè)風(fēng)險、系統(tǒng)運行維護(hù)風(fēng)險三類風(fēng)險，以及“都不是”與“不確定”兩個選項。調(diào)查結(jié)果如表４所示。
　　
　　結(jié)果表明，選擇“都不是”的僅有１５％，選擇“不確定”的僅有８％，兩者相加的比重為２３％，即有將近八成的被調(diào)查者認(rèn)為高層應(yīng)討論ＩＴ相關(guān)風(fēng)險，這一結(jié)果說明絕大多數(shù)被調(diào)查者均認(rèn)識到ＩＴ相關(guān)風(fēng)險不僅是公司操作層、戰(zhàn)術(shù)層應(yīng)關(guān)注的，還應(yīng)上升到戰(zhàn)略層進(jìn)行討論。在三類風(fēng)險中，被調(diào)查者認(rèn)為高層應(yīng)討論ＩＴ系統(tǒng)建設(shè)風(fēng)險的比重最大（為４０％），認(rèn)為應(yīng)討論ＩＴ投資風(fēng)險的接近４０％，說明投資風(fēng)險與系統(tǒng)建設(shè)風(fēng)險是應(yīng)上升到戰(zhàn)略層考慮的風(fēng)險，而系統(tǒng)運行維護(hù)風(fēng)險往往是戰(zhàn)術(shù)層或操作層考慮的風(fēng)險。
　　
　　5 結(jié)論與建議
　　當(dāng)前我國企業(yè)的ＩＴ風(fēng)險管理的主要責(zé)任部門包括：ＩＴ戰(zhàn)略委員會、ＩＴ監(jiān)管部門、ＩＴ日常管理部門、內(nèi)部審計部門和風(fēng)險管理部門。我國企業(yè)ＩＴ日常管理部門的設(shè)置最為普遍，但當(dāng)前我國部分企業(yè)還沒有把ＩＴ納入戰(zhàn)略層面考慮的范疇，還停留在操作層面的ＩＴ日常管理工作上，作為傳統(tǒng)的內(nèi)部控制監(jiān)督與檢查部門，內(nèi)部審計部門已成為絕大多數(shù)企業(yè)的常設(shè)機(jī)構(gòu)。從規(guī)模特性來看，特大型企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置比例明顯高于非特大型的企業(yè)。從上市情況來看，有香港或海外上市公司的企業(yè)ＩＴ風(fēng)險管理相關(guān)部門設(shè)置比例都是最高。被調(diào)查者認(rèn)為投資風(fēng)險與系統(tǒng)建設(shè)風(fēng)險是應(yīng)上升到戰(zhàn)略層考慮的風(fēng)險，而系統(tǒng)運行維護(hù)風(fēng)險往往是戰(zhàn)術(shù)層或操作層考慮的風(fēng)險。
　　由此，筆者提出如下建議：
　?。?）要建立健全ＩＴ風(fēng)險管理的組織機(jī)構(gòu)，其中的重點是建立ＩＴ戰(zhàn)略委員會，發(fā)揮ＩＴ戰(zhàn)略委員會在戰(zhàn)略層面ＩＴ風(fēng)險管理中的作用。此外，還應(yīng)重視建立風(fēng)險管理部門，把全面風(fēng)險管理作為專業(yè)職能部門的職責(zé)，在指導(dǎo)全部關(guān)鍵資產(chǎn)的風(fēng)險治理機(jī)制方面發(fā)揮指導(dǎo)作用。
　?。?）做好相關(guān)人員的培訓(xùn)工作，風(fēng)險管理意識方面，要加強對相關(guān)人員風(fēng)險意識的培養(yǎng)，樹立ＩＴ投資的成本效益觀念。提高各部門負(fù)責(zé)人的戰(zhàn)略風(fēng)險意識。知識能力方面，要加強企業(yè)內(nèi)部的復(fù)合型人才培養(yǎng)和隊伍建設(shè)工作，企業(yè)自身才是ＩＴ風(fēng)險管理的主體，應(yīng)該注意培養(yǎng)自己的人才隊伍，學(xué)習(xí)如何識別、收集、評估、主動控制ＩＴ風(fēng)險方面的系統(tǒng)化知識和專業(yè)化的方法。