電子商務(wù)背景下企業(yè)IT風(fēng)險(xiǎn)管理框架的構(gòu)建

廖 濤，張學(xué)梅

（1.成都學(xué)院 旅游文化產(chǎn)業(yè)學(xué)院，四川 成都 610106；2.成都學(xué)院 科技處，四川 成都 610106）

建立一個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)正常地運(yùn)轉(zhuǎn)并能實(shí)現(xiàn)業(yè)務(wù)價(jià)值，則是現(xiàn)實(shí)的難題，雖然現(xiàn)實(shí)中有很多針對(duì)IT治理的風(fēng)險(xiǎn)管理框架，但是不是這些框架都適合企業(yè)的IT風(fēng)險(xiǎn)管理，因?yàn)槊總€(gè)標(biāo)準(zhǔn)或框架都是在特定的環(huán)境針對(duì)特定的目標(biāo)而設(shè)計(jì)的，所有的框架在設(shè)計(jì)時(shí)要考慮得一個(gè)重要因素，就是系統(tǒng)本身的關(guān)鍵要素.

1 國(guó)際流行的風(fēng)險(xiǎn)管理框架概述

目前國(guó)際上流行的風(fēng)險(xiǎn)管理框架主要有以下幾種：

1.1 e-SAC(e-systems auditabliity and control)

SAC的概念是在1977年由國(guó)際內(nèi)部審計(jì)研究院(the institute of internal auditors----IIA)第一次明確提出.e-SAC模型主要是為電子商務(wù)控制環(huán)境的評(píng)價(jià)提供了一個(gè)框架，設(shè)定了有效的技術(shù)風(fēng)險(xiǎn)管理的各個(gè)階段，在組織的使命、價(jià)值觀、目標(biāo)和戰(zhàn)略的范疇中，不同的SAC模塊有助于人們對(duì)組織的IT文化形成客觀的看法，而這又將對(duì)客戶、監(jiān)管者、管理當(dāng)局以及董事會(huì)了解和管理風(fēng)險(xiǎn)提供保障.

1.2 COSO

該框架是美國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)于1992年提出，在1994年修改后形成的《內(nèi)部控制——整體框架》，該報(bào)告被認(rèn)為內(nèi)部控制理論研究的歷史性突破，首次把內(nèi)部控制從原來的平面結(jié)構(gòu)提升為立體結(jié)構(gòu)，代表了該領(lǐng)域研究的最高水平，是目前最權(quán)威、使用面最廣的內(nèi)部控制準(zhǔn)則，被譽(yù)為內(nèi)部控制的“圣經(jīng)”.

1.3 COBIT(Objectives for Information and related Technology)

美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)于1996年正式推出了用于“IT審計(jì)”的知識(shí)體系COBIT，后來由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)以及相關(guān)機(jī)構(gòu)組成的IT治理協(xié)會(huì)在原來版本的基礎(chǔ)上出版了第四版本COBIT 4.1，它制定的國(guó)際上最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),為IT的安全管理和控制提供了一個(gè)公認(rèn)的普遍適用的標(biāo)準(zhǔn).

1.4 ISO17799

這個(gè)標(biāo)準(zhǔn)是是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)(BS7799)，2000年國(guó)際標(biāo)準(zhǔn)化組織采納，此后證實(shí)發(fā)布定名為ISO17799，ISO17799是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，目前這標(biāo)準(zhǔn)的最新版本為ISO17799：2005.此標(biāo)準(zhǔn)要求建立一個(gè)完整的信息安全管理體系.該管理體系在組織中建立一個(gè)完整的切入、實(shí)施、維護(hù)和文件化的管理框架.

1.5 Systrust

加拿大特許會(huì)計(jì)師協(xié)會(huì)與AICPA共同研發(fā)的模型即系統(tǒng)信托模型，為系統(tǒng)控制的可靠性提供了保證.該模型主要用于設(shè)計(jì)、實(shí)施及評(píng)價(jià)內(nèi)部控制系統(tǒng)，特別是針對(duì)在機(jī)構(gòu)的運(yùn)營(yíng)活動(dòng)中對(duì)信息技術(shù)及信息系統(tǒng)非常依賴的情形下尤其明顯.為了能夠客觀地評(píng)價(jià)這個(gè)系統(tǒng)的可靠性，針對(duì)systrust的準(zhǔn)則，分析了可用性、完整性額、安全性、可維護(hù)性四個(gè)最基本原則.

2 企業(yè)IT風(fēng)險(xiǎn)管理框架的目標(biāo)

對(duì)于任何IT風(fēng)險(xiǎn)管理框架，我們都要確定其框架目標(biāo)，對(duì)于在電子商務(wù)背景下的企業(yè)IT風(fēng)險(xiǎn)管理框架，選擇e-SAC框架的目標(biāo)作為整合后的IT風(fēng)險(xiǎn)管理框架的目標(biāo)：在電子商務(wù)控制環(huán)境中提供一個(gè)框架，在組織的使命、價(jià)值觀、目標(biāo)和戰(zhàn)略的范疇中，幫組組織管理管理者對(duì)組織的IT文化形成客觀的看法，對(duì)客戶、監(jiān)管者、管理當(dāng)局以及董事會(huì)了解和管理風(fēng)險(xiǎn)提供保障.

3 企業(yè)IT風(fēng)險(xiǎn)管理框架的內(nèi)容

3.1 組織結(jié)構(gòu)(COSO+e-SAC)

在組織進(jìn)行IT治理時(shí)，首先要考慮的問題就是要建立一個(gè)與IT治理相適應(yīng)的組織結(jié)構(gòu)，這樣才能使IT治理為企業(yè)目標(biāo)服務(wù).對(duì)于電子商務(wù)背景下的企業(yè)IT治理的組織結(jié)構(gòu)，把COSO和e-SAC兩個(gè)框架中有關(guān)組織結(jié)構(gòu)的要求進(jìn)行整合：IT風(fēng)險(xiǎn)的最終負(fù)責(zé)者——董事會(huì)；IT風(fēng)險(xiǎn)的治理的負(fù)責(zé)者—CEO；IT風(fēng)險(xiǎn)治理的監(jiān)督者負(fù)責(zé)者——CAE和審計(jì)委員會(huì)；IT風(fēng)險(xiǎn)治理的技術(shù)保障負(fù)責(zé)者——CIO；IT文化的維護(hù)者——首席道德文化執(zhí)行官.

以上都是針對(duì)大型的電子商務(wù)企業(yè)，這些企業(yè)擁有足夠的財(cái)力和人力建立一個(gè)完善的組織機(jī)構(gòu)，但是還有很多電子商務(wù)企業(yè)的規(guī)模是很小的，其無(wú)論是財(cái)力還是人力都沒法和大型公司相比，對(duì)此類企業(yè)，基于成本和收益的考慮，本文的建議是，在發(fā)展時(shí)期，可以只建立CEO，CAE和風(fēng)險(xiǎn)控制小組，對(duì)于CIO和首席道德文化執(zhí)行官可有CEO或者CAE兼任，等到企業(yè)做大做強(qiáng)時(shí)，再逐步的完善組織結(jié)構(gòu).

3.2 IT文化的建立(e-SAC)

對(duì)于電子商務(wù)環(huán)境中企業(yè)，其企業(yè)文化中有個(gè)特別的文化，那就是IT文化，這種IT文化是企業(yè)文化的一個(gè)重要分支，但是它絕不是IT企業(yè)的獨(dú)有文化，只要應(yīng)用信息技術(shù)的企業(yè)或組織都可以建立IT文化.IT企業(yè)文化中有時(shí)代精神與活力最為重要.通過保持某種專業(yè)技術(shù)的優(yōu)勢(shì)來構(gòu)建一個(gè)具有競(jìng)爭(zhēng)力的企業(yè)文化，因?yàn)?，“產(chǎn)業(yè)轉(zhuǎn)型”將會(huì)是所有IT企業(yè)所面臨的挑戰(zhàn).

3.3 風(fēng)險(xiǎn)分析方法(bs7799)

在構(gòu)建的電子商務(wù)背景下的IT風(fēng)險(xiǎn)管理框架中，使用英國(guó)《信息安全管理業(yè)務(wù)規(guī)范》（BS7799）中風(fēng)險(xiǎn)分析方法，該標(biāo)準(zhǔn)之風(fēng)險(xiǎn)分析方法克服了定量分析過程復(fù)雜和定性分析主觀性強(qiáng)等缺點(diǎn).有機(jī)地結(jié)合了傳統(tǒng)的定量分析和定性分析兩種方法，取長(zhǎng)補(bǔ)短，從而使風(fēng)險(xiǎn)評(píng)估更加客觀、公正.具體的方法有故障樹分析方法和風(fēng)險(xiǎn)模式影響和危害性分析方法.

3.3.1 故障樹分析方法.將系統(tǒng)總的風(fēng)險(xiǎn)狀況作為樹頂事件，通過對(duì)造成“樹頂事件”的的原因的分析及相互間關(guān)系研究，畫出邏輯關(guān)系圖，確定樹頂事件發(fā)生原因的概率，屬于演繹的風(fēng)險(xiǎn)分析法，其步驟如下：

A)了解系統(tǒng)的相關(guān)資料；

B)了解系統(tǒng)整體工作模式；

C)確定樹頂事件；

D)構(gòu)建風(fēng)險(xiǎn)樹；

E)確定風(fēng)險(xiǎn)樹最小割集及其風(fēng)險(xiǎn)模式；

F)根據(jù)上一步驟求解樹頂事件的發(fā)生概率.

其中A、B、C、D步驟主要進(jìn)行定性的研究，而E、F則是定量分析.

3.3.2 風(fēng)險(xiǎn)模式影響和危害性分析的方法.通過對(duì)被評(píng)估系統(tǒng)所有可能的風(fēng)險(xiǎn)模式的分析來確定不同風(fēng)險(xiǎn)對(duì)系統(tǒng)潛在危害，進(jìn)而找出單點(diǎn)風(fēng)險(xiǎn)，再找出系統(tǒng)中潛在的薄弱環(huán)節(jié)，以此選擇恰當(dāng)?shù)姆绞饺サ艋驕p少危害.一般包括如下步驟：

A)分析系統(tǒng)的定義；

B)繪出系統(tǒng)功能圖和安全性框圖；

結(jié)果顯示，在40～800 μg/L的濃度范圍，所有分析物的質(zhì)量濃度x(ng/mL)和響應(yīng)值y之間線性相關(guān)系數(shù)為0.99999；以性噪比為3確定檢出限為40 μg/L，以性噪比為10確定定量限為100 μg/L。

C)系統(tǒng)潛在的風(fēng)險(xiǎn)模式的確定；

D)根據(jù)估算的最壞的后果評(píng)估風(fēng)險(xiǎn)模式；

E)不同風(fēng)險(xiǎn)模式發(fā)生的概率及頻率比的確定；

F)確定不同風(fēng)險(xiǎn)模式的危害程度；

G)計(jì)算系統(tǒng)的風(fēng)險(xiǎn)損失.

其中A到E是風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)模式影響的分析，F(xiàn)、G則是風(fēng)險(xiǎn)影響危害程度的分析.

3.4 風(fēng)險(xiǎn)控制

風(fēng)險(xiǎn)控制是指管理者運(yùn)用各種措施和方法，消除或降低風(fēng)險(xiǎn)事件發(fā)生的概率,或者降低風(fēng)險(xiǎn)事件發(fā)生時(shí)造成的損失.因此最合理的控制就是把風(fēng)險(xiǎn)減少到能夠接受的程度，盡量降低在達(dá)到總體目標(biāo)和完成相關(guān)任務(wù)中的不良影響.風(fēng)險(xiǎn)控制主要有4方法：

3.4.1 風(fēng)險(xiǎn)回避：是一種最消極的對(duì)待風(fēng)險(xiǎn)的辦法，在這種方法下投資主體選擇放棄風(fēng)險(xiǎn)行為，在做出放棄風(fēng)險(xiǎn)行為時(shí)，往往也割舍了潛在的收益.

3.4.3 風(fēng)險(xiǎn)轉(zhuǎn)移：是指通過簽訂協(xié)議，將所有者的風(fēng)險(xiǎn)轉(zhuǎn)移給受讓人承擔(dān)的一種行為.該方法可大大減少主體的風(fēng)險(xiǎn)程度，其主要形式是保險(xiǎn)與合同.

3.4.4 風(fēng)險(xiǎn)保留：由主體自行承擔(dān)風(fēng)險(xiǎn)，即如果發(fā)生損失，相關(guān)主體會(huì)以當(dāng)時(shí)自己可自由支配的資金進(jìn)行補(bǔ)償.

3.5 監(jiān)控(COBIT+e-SAC)

為健康有序地運(yùn)作，信息系統(tǒng)發(fā)布實(shí)施之后需要對(duì)其進(jìn)行有效監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和缺陷.對(duì)于如何實(shí)施監(jiān)控工作都有相對(duì)詳細(xì)的規(guī)則，本文遵循并融合了COBIT標(biāo)準(zhǔn)和e-SAC，提出如下建議：

3.5.1 監(jiān)控處理流程.通過收集各種監(jiān)控?cái)?shù)據(jù)并評(píng)價(jià)其性能，然后再針對(duì)用戶的滿意度進(jìn)行評(píng)價(jià)，最后形成相應(yīng)報(bào)告.

3.5.2 評(píng)價(jià)內(nèi)部控制實(shí)施的適當(dāng)性.對(duì)于企業(yè)內(nèi)部的控制也要進(jìn)行必要地和及時(shí)地監(jiān)控，以保證內(nèi)部控制的順利進(jìn)行與操作安全同時(shí)形成報(bào)告.

3.5.3 保證獲得的獨(dú)立性.需要對(duì)IT服務(wù)和第三方服務(wù)的獨(dú)立的有效性進(jìn)行準(zhǔn)確的評(píng)價(jià)，在不違背法律和相關(guān)法規(guī)的前提下確保兩者的獨(dú)立性，以保證各項(xiàng)功能實(shí)現(xiàn)獨(dú)立性.

3.5.4 推進(jìn)IT文化的建設(shè).正如前面所述IT文化是企業(yè)形成良好IT治理的重要因素，組織在日常監(jiān)控中，需要對(duì)IT文化的建設(shè)情況保持實(shí)時(shí)的跟進(jìn)，獲得組織IT文化建設(shè)的信息，并對(duì)此進(jìn)行必要的評(píng)價(jià)，防止IT文化偏離組織目標(biāo)，推進(jìn)IT文化的建設(shè).

3.5.5 提供必要的獨(dú)立審計(jì)的條件 (Provide for Independent Audit).為保證該規(guī)則的有效性，要求其從組織地位上必須獨(dú)立于政府的IT職能部門和最終用戶部門.

3.6 風(fēng)險(xiǎn)管理和企業(yè)戰(zhàn)略的匹配(e-SAC)

風(fēng)險(xiǎn)管理雖然目前成為關(guān)注的重心，但是風(fēng)險(xiǎn)管理常常與戰(zhàn)略脫節(jié)造成了高質(zhì)量的企業(yè)風(fēng)險(xiǎn)管理仍然難以實(shí)現(xiàn).這其中最重要的一個(gè)原因就在與很多企業(yè)首先強(qiáng)調(diào)的是安全性，這意味著它們關(guān)注的不是管理風(fēng)險(xiǎn)而是如何降低風(fēng)險(xiǎn)，而對(duì)于如何使企業(yè)的風(fēng)險(xiǎn)管理和戰(zhàn)略管理匹配，世界沒有完美的解決之道，因?yàn)槊總€(gè)組織面對(duì)的無(wú)論是外部的經(jīng)濟(jì)環(huán)境還是內(nèi)部的治理環(huán)境都不盡相同.即使這樣，我們還是有基本的原則可循，e-SAC在此問題給出了幾點(diǎn)建議：

3.6.1 根據(jù)組織發(fā)展戰(zhàn)略對(duì)戰(zhàn)略目標(biāo)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，進(jìn)而制定相應(yīng)的風(fēng)險(xiǎn)管理對(duì)策.

3.6.2 變傳統(tǒng)的風(fēng)險(xiǎn)管理的事后控制為事前控制，全過程監(jiān)控，主動(dòng)應(yīng)對(duì)風(fēng)險(xiǎn).

3.6.3 積極建立企業(yè)風(fēng)險(xiǎn)信息標(biāo)準(zhǔn)和傳送渠道，形成企業(yè)內(nèi)部對(duì)風(fēng)險(xiǎn)信息的統(tǒng)一認(rèn)識(shí)，提高風(fēng)險(xiǎn)管理決策的效率和效果.

3.6.4 提高組織對(duì)外部不確定性環(huán)境的預(yù)測(cè)能力，在風(fēng)險(xiǎn)中尋找機(jī)會(huì).

3.6.5 在公司管理層尤其是高級(jí)管理層，做風(fēng)險(xiǎn)管理思想培訓(xùn)，使風(fēng)險(xiǎn)管理理念融入日常管理.

3.6.6 設(shè)立CIO的職位強(qiáng)化信息技術(shù)在企業(yè)戰(zhàn)略中的應(yīng)用,以確保IT戰(zhàn)略規(guī)劃的成功實(shí)施.

4 結(jié)論

電子商務(wù)企業(yè)的風(fēng)險(xiǎn)控制應(yīng)當(dāng)在e-SAC的理論支撐下構(gòu)建風(fēng)險(xiǎn)治理框架.該理論下的ERM的成功需要有來自CEO和董事會(huì)的鼎力支持，以及一個(gè)合理組織結(jié)構(gòu).要保證該治理框架成功，還要以COSO+e-SAC+BS799的重要原則作為前提基礎(chǔ).CIO可以保證不但都有人負(fù)責(zé)所有的流程，還可以使關(guān)鍵性要素的風(fēng)險(xiǎn)管理的功能和要求都能實(shí)現(xiàn).同時(shí)IT風(fēng)險(xiǎn)管理專家的領(lǐng)導(dǎo)不容忽視，首先風(fēng)險(xiǎn)管理專家必須向CIO進(jìn)行直接報(bào)告，其次風(fēng)險(xiǎn)管理專家在事后還需要指導(dǎo)所有職能經(jīng)理去辯別、評(píng)價(jià)、管理和報(bào)告屬于他們職責(zé)范圍內(nèi)的風(fēng)險(xiǎn).只有通過這樣流程，才能使控制真正可以嵌入到實(shí)際得操作流程中，讓控制在實(shí)際執(zhí)行過程中才可能實(shí)現(xiàn)充分有效.

〔1〕劉勰.James N.K.Liu.The Investigation of IT Governance of Enterprises in China from the Perspective of CISR[J].JOURNAL OF INTELL IGENCE,2009(10):34-37.

〔2〕趙鑫.虛擬企業(yè)沖突的協(xié)調(diào)管理[J].黑龍江對(duì)外經(jīng)貿(mào),2006（3）:1-3.

〔3〕張利飛,曾德明,袁信,企業(yè)IT治理的整體性框架分析[J].科技管理研究,2007（10）：192-195.

〔4〕國(guó)際標(biāo)準(zhǔn)化組織(ISO).ISO?31000風(fēng)險(xiǎn)管理原則與實(shí)施指南[M].2009.1-5.

〔5〕劉福生.電子商務(wù)風(fēng)險(xiǎn)之我見[J].商場(chǎng)現(xiàn)代,2006(1）:131-134.