我国企业IT风险管理的责任主体探讨

［摘要］ 本文在IT风险管理框架及相关理论研究的基础上，结合我国企业的实际情况，探讨了我国企业IT风险管理的责任主体及其责任，并运用调查研究与描述性统计的方法，对当前我国企业IT风险管理相关责任主体的现状进行了统计分析，并根据调查结果提出了相应的建议。

［关键词］ IT；风险管理；责任主体；合规

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022

［中图分类号］F272.35［文献标识码］A［文章编号］1673 - 0194（2012）06- 0045- 03

1问题的提出

信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于ＩＴ系统，企业信息化的规划、实施、运行维护等各阶段都存在着各种风险，ＩＴ相关风险正成为管理层、监管部门重点关注的对象，ＩＴ内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言，谁应该成为ＩＴ风险管理的责任主体，董事会、ＩＴ战略委员会、ＩＴ监管部门、内部审计部门、外部审计、风险管理部门、ＩＴ日常管理部门等在ＩＴ风险管理中各承担哪些责任，我国企业在当前ＩＴ风险管理相关部门设置情况如何，为了弄清上述我国企业ＩＴ及其风险管理的责任主体的相关问题，笔者在理论分析和问卷调查的基础上，整理了相关的调查数据，统计并分析了我国企业在责任主体设置方面的分布特征。

2ＩＴ风险管理责任主体的最新理论框架

与ＩＴ风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会（ＩＳＡＣＡ）于２００９年１２月颁布的ＩＴ风险管理框架。ＩＳＡＣＡ在ＩＴ风险管理框架中，定义了ＩＴ相关风险管理的一系列主体，并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言，只有一个主体为负责部门，其他主体或承担部分责任，或没有责任。当然，该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同，作为理论框架，只是提供原则性的指导，没有必要与某一具体企业的组织机构与职能部门完全一致，因此，在该框架中，对每个责任主体的定义只是进行了简洁描述。ＩＴ风险管理框架下的ＩＴ风险管理责任主体及承担的责任如表１所示。

资料来源：ＩＳＡＣＡ，Ｒｉｓｋ ＩＴ Ｆｒａｍｅｗｏｒｋ，ＵＳＡ，２００９．１２．

3我国企业ＩＴ风险管理相关的主要责任部门及责任探讨

如上述框架所述，不同企业的组织机构与职能部门设置情况并不完全相同，就我国而言，近年来，各方面的监管层出台了大量的规范，如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等，都对ＩＴ的相关风险做出了明确的规定及要求，企业已经进入了“合规年代”。当前我国企业的ＩＴ风险管理的责任部门主要包括：ＩＴ战略委员会、ＩＴ监管部门、ＩＴ日常管理部门、内部审计部门和风险管理部门。

其中，ＩＴ战略委员会应由企业的最高管理层及管理执行层包括ＩＴ管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业的企业战略与ＩＴ战略的驱动与设置等议题进行讨论并做出决策，为企业ＩＴ及其风险管理提供导向与支持。ＩＴ监管部门分为企业外部和企业内部。

企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构，从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的ＩＴ监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。

“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是ＩＴ日常管理部门。外部审计员对董事会负责的，协助董事会的专业委员会来确认和分析技术风险的程度，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。

内部审计员协助董事会的专业委员会执行ＩＴ实务和系统的控制检查，并向委员会推荐合适的改进措施用于参考和实施。ＩＴ风险是企业风险管理体系至关重要的组成部分，与企业其他风险管理程序类似，需要运用企业风险管理的相关原则与方法，结合ＩＴ活动的特点，执行风险管理程序。

风险管理部门需要指导并参与ＩＴ相关风险管理，即识别风险、分析风险、制订ＩＴ风险工作计划、跟踪风险、应对风险，并借助于定期、不定期的检查风险防范措施的落实情况，通报检查结果，将风险管理过程纳入到日常管理中。

4对我国企业ＩＴ风险管理相关责任部门设置的现状调查与分析

笔者于２０１０年７月-２０１０年９月进行了多次调查，调查形式分为现场纸质问卷以及远程网络问卷，其中，在２０１０年用友技术大会、２０１０年国资企业ＩＴ能力建设高峰论坛、２０１０年中国信息安全年会上共发放现场纸质问卷１６５份，回收１１４份，有效问卷数为９７份，现场纸质问卷的有效回收率为５８．７９％，在线发送远程网络问卷调查邀请６０次，在线回收数据１４份，剔除不完整问卷２份，有效问卷数为１２份，远程网络问卷的有效回收率为２０％，最终用于数据分析的有效样本数为１０９份。

4.１ 样本企业ＩＴ风险管理责任部门设置的总体情况

如表２所示，从企业来看，ＩＴ日常管理部门的设置最为普遍，有９７％的企业设置了ＩＴ日常管理部门；内部审计部门设置情况较好，有８２％的企业设置了内部审计部门；风险管理部门的设置情况一般，有不到七成的企业具有风险管理部门；ＩＴ战略委员会的设置情况最差，仅有不到六成的企业具有ＩＴ战略委员会。这一结果表明：我国部分企业还没有把ＩＴ纳入战略层面考虑的范畴，还停留在操作层面的ＩＴ日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构，一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。

4.２ 不同类别企业ＩＴ风险管理相关部门设置的情况

笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较，结果如表3所示。

表４表明，总体上看，三资企业类的企业ＩＴ风险管理相关部门设置情况最好，比重均为第一。其次为中央国有企业，民营企业与集体企业部门设置情况较差。具体来看，除了个别民营企业外，样本企业均有ＩＴ日常管理部门。地方国有企业最不重视ＩＴ战略委员会的职能，民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司，规模大的企业ＩＴ风险管理相关部门设置比例明显高于中小规模的企业。总体上看，无论是企业还是子公司，有香港或海外上市公司的企业ＩＴ风险管理相关部门设置比例都是最高的，除ＩＴ监管部门外，仅有大陆上市公司的企业ＩＴ风险管理相关部门设置比例第二，无上市公司的企业设置比例最低。

4.３ 被调查者对企业高层应讨论ＩＴ哪些风险的看法

为了了解被调查者对企业高层应讨论ＩＴ哪些风险的看法，笔者在问卷中设计了一道多项选择题“ＩＴ的哪类风险应由企业高层会议讨论”，列出了ＩＴ投资风险、系统建设风险、系统运行维护风险三类风险，以及“都不是”与“不确定”两个选项。调查结果如表４所示。

结果表明，选择“都不是”的仅有１５％，选择“不确定”的仅有８％，两者相加的比重为２３％，即有将近八成的被调查者认为高层应讨论ＩＴ相关风险，这一结果说明绝大多数被调查者均认识到ＩＴ相关风险不仅是公司操作层、战术层应关注的，还应上升到战略层进行讨论。在三类风险中，被调查者认为高层应讨论ＩＴ系统建设风险的比重最大（为４０％），认为应讨论ＩＴ投资风险的接近４０％，说明投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

5结论与建议

当前我国企业的ＩＴ风险管理的主要责任部门包括：ＩＴ战略委员会、ＩＴ监管部门、ＩＴ日常管理部门、内部审计部门和风险管理部门。我国企业ＩＴ日常管理部门的设置最为普遍，但当前我国部分企业还没有把ＩＴ纳入战略层面考虑的范畴，还停留在操作层面的ＩＴ日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构。从规模特性来看，特大型企业ＩＴ风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看，有香港或海外上市公司的企业ＩＴ风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

由此，笔者提出如下建议：

（1）要建立健全ＩＴ风险管理的组织机构，其中的重点是建立ＩＴ战略委员会，发挥ＩＴ战略委员会在战略层面ＩＴ风险管理中的作用。此外，还应重视建立风险管理部门，把全面风险管理作为专业职能部门的职责，在指导全部关键资产的风险治理机制方面发挥指导作用。

（2）做好相关人员的培训工作，风险管理意识方面，要加强对相关人员风险意识的培养，树立ＩＴ投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面，要加强企业内部的复合型人才培养和队伍建设工作，企业自身才是ＩＴ风险管理的主体，应该注意培养自己的人才队伍，学习如何识别、收集、评估、主动控制ＩＴ风险方面的系统化知识和专业化的方法。

主要参考文献

［１］杨周南.论会计管理信息化的ＩＳＣＡ模型［Ｊ］.会计研究，２００３（１０）：３０－３２.

［2］周常兰，陈宝峰.ＩＳＣＡ模型——ＩＴ治理视角下的解析［Ｊ］.会计研究，２００９（２）：６１－６７.