电子商务背景下企业IT风险管理框架的构建

廖 涛，张学梅

（1.成都学院 旅游文化产业学院，四川 成都 610106；2.成都学院 科技处，四川 成都 610106）

建立一个信息系统是容易的，让这个系统正常地运转并能实现业务价值，则是现实的难题，虽然现实中有很多针对IT治理的风险管理框架，但是不是这些框架都适合企业的IT风险管理，因为每个标准或框架都是在特定的环境针对特定的目标而设计的，所有的框架在设计时要考虑得一个重要因素，就是系统本身的关键要素.

1 国际流行的风险管理框架概述

目前国际上流行的风险管理框架主要有以下几种：

1.1 e-SAC(e-systems auditabliity and control)

SAC的概念是在1977年由国际内部审计研究院(the institute of internal auditors----IIA)第一次明确提出.e-SAC模型主要是为电子商务控制环境的评价提供了一个框架，设定了有效的技术风险管理的各个阶段，在组织的使命、价值观、目标和战略的范畴中，不同的SAC模块有助于人们对组织的IT文化形成客观的看法，而这又将对客户、监管者、管理当局以及董事会了解和管理风险提供保障.

1.2 COSO

该框架是美国虚假财务报告委员会下属的发起人委员会于1992年提出，在1994年修改后形成的《内部控制——整体框架》，该报告被认为内部控制理论研究的历史性突破，首次把内部控制从原来的平面结构提升为立体结构，代表了该领域研究的最高水平，是目前最权威、使用面最广的内部控制准则，被誉为内部控制的“圣经”.

1.3 COBIT(Objectives for Information and related Technology)

美国信息系统审计与控制协会(ISACA)于1996年正式推出了用于“IT审计”的知识体系COBIT，后来由信息系统审计和控制协会以及相关机构组成的IT治理协会在原来版本的基础上出版了第四版本COBIT 4.1，它制定的国际上最先进、最权威的安全与信息技术管理和控制的标准,为IT的安全管理和控制提供了一个公认的普遍适用的标准.

1.4 ISO17799

这个标准是是英国标准协会制定的信息安全管理体系标准(BS7799)，2000年国际标准化组织采纳，此后证实发布定名为ISO17799，ISO17799是国际上具有代表性的信息安全管理体系标准，目前这标准的最新版本为ISO17799：2005.此标准要求建立一个完整的信息安全管理体系.该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架.

1.5 Systrust

加拿大特许会计师协会与AICPA共同研发的模型即系统信托模型，为系统控制的可靠性提供了保证.该模型主要用于设计、实施及评价内部控制系统，特别是针对在机构的运营活动中对信息技术及信息系统非常依赖的情形下尤其明显.为了能够客观地评价这个系统的可靠性，针对systrust的准则，分析了可用性、完整性额、安全性、可维护性四个最基本原则.

2 企业IT风险管理框架的目标

对于任何IT风险管理框架，我们都要确定其框架目标，对于在电子商务背景下的企业IT风险管理框架，选择e-SAC框架的目标作为整合后的IT风险管理框架的目标：在电子商务控制环境中提供一个框架，在组织的使命、价值观、目标和战略的范畴中，帮组组织管理管理者对组织的IT文化形成客观的看法，对客户、监管者、管理当局以及董事会了解和管理风险提供保障.

3 企业IT风险管理框架的内容

3.1 组织结构(COSO+e-SAC)

在组织进行IT治理时，首先要考虑的问题就是要建立一个与IT治理相适应的组织结构，这样才能使IT治理为企业目标服务.对于电子商务背景下的企业IT治理的组织结构，把COSO和e-SAC两个框架中有关组织结构的要求进行整合：IT风险的最终负责者——董事会；IT风险的治理的负责者—CEO；IT风险治理的监督者负责者——CAE和审计委员会；IT风险治理的技术保障负责者——CIO；IT文化的维护者——首席道德文化执行官.

以上都是针对大型的电子商务企业，这些企业拥有足够的财力和人力建立一个完善的组织机构，但是还有很多电子商务企业的规模是很小的，其无论是财力还是人力都没法和大型公司相比，对此类企业，基于成本和收益的考虑，本文的建议是，在发展时期，可以只建立CEO，CAE和风险控制小组，对于CIO和首席道德文化执行官可有CEO或者CAE兼任，等到企业做大做强时，再逐步的完善组织结构.

3.2 IT文化的建立(e-SAC)

对于电子商务环境中企业，其企业文化中有个特别的文化，那就是IT文化，这种IT文化是企业文化的一个重要分支，但是它绝不是IT企业的独有文化，只要应用信息技术的企业或组织都可以建立IT文化.IT企业文化中有时代精神与活力最为重要.通过保持某种专业技术的优势来构建一个具有竞争力的企业文化，因为，“产业转型”将会是所有IT企业所面临的挑战.

3.3 风险分析方法(bs7799)

在构建的电子商务背景下的IT风险管理框架中，使用英国《信息安全管理业务规范》（BS7799）中风险分析方法，该标准之风险分析方法克服了定量分析过程复杂和定性分析主观性强等缺点.有机地结合了传统的定量分析和定性分析两种方法，取长补短，从而使风险评估更加客观、公正.具体的方法有故障树分析方法和风险模式影响和危害性分析方法.

3.3.1 故障树分析方法.将系统总的风险状况作为树顶事件，通过对造成“树顶事件”的的原因的分析及相互间关系研究，画出逻辑关系图，确定树顶事件发生原因的概率，属于演绎的风险分析法，其步骤如下：

A)了解系统的相关资料；

B)了解系统整体工作模式；

C)确定树顶事件；

D)构建风险树；

E)确定风险树最小割集及其风险模式；

F)根据上一步骤求解树顶事件的发生概率.

其中A、B、C、D步骤主要进行定性的研究，而E、F则是定量分析.

3.3.2 风险模式影响和危害性分析的方法.通过对被评估系统所有可能的风险模式的分析来确定不同风险对系统潜在危害，进而找出单点风险，再找出系统中潜在的薄弱环节，以此选择恰当的方式去掉或减少危害.一般包括如下步骤：

A)分析系统的定义；

B)绘出系统功能图和安全性框图；

结果显示，在40～800 μg/L的浓度范围，所有分析物的质量浓度x(ng/mL)和响应值y之间线性相关系数为0.99999；以性噪比为3确定检出限为40 μg/L，以性噪比为10确定定量限为100 μg/L。

C)系统潜在的风险模式的确定；

D)根据估算的最坏的后果评估风险模式；

E)不同风险模式发生的概率及频率比的确定；

F)确定不同风险模式的危害程度；

G)计算系统的风险损失.

其中A到E是风险对风险模式影响的分析，F、G则是风险影响危害程度的分析.

3.4 风险控制

风险控制是指管理者运用各种措施和方法，消除或降低风险事件发生的概率,或者降低风险事件发生时造成的损失.因此最合理的控制就是把风险减少到能够接受的程度，尽量降低在达到总体目标和完成相关任务中的不良影响.风险控制主要有4方法：

3.4.1 风险回避：是一种最消极的对待风险的办法，在这种方法下投资主体选择放弃风险行为，在做出放弃风险行为时，往往也割舍了潜在的收益.

3.4.3 风险转移：是指通过签订协议，将所有者的风险转移给受让人承担的一种行为.该方法可大大减少主体的风险程度，其主要形式是保险与合同.

3.4.4 风险保留：由主体自行承担风险，即如果发生损失，相关主体会以当时自己可自由支配的资金进行补偿.

3.5 监控(COBIT+e-SAC)

为健康有序地运作，信息系统发布实施之后需要对其进行有效监控，及时发现系统漏洞和缺陷.对于如何实施监控工作都有相对详细的规则，本文遵循并融合了COBIT标准和e-SAC，提出如下建议：

3.5.1 监控处理流程.通过收集各种监控数据并评价其性能，然后再针对用户的满意度进行评价，最后形成相应报告.

3.5.2 评价内部控制实施的适当性.对于企业内部的控制也要进行必要地和及时地监控，以保证内部控制的顺利进行与操作安全同时形成报告.

3.5.3 保证获得的独立性.需要对IT服务和第三方服务的独立的有效性进行准确的评价，在不违背法律和相关法规的前提下确保两者的独立性，以保证各项功能实现独立性.

3.5.4 推进IT文化的建设.正如前面所述IT文化是企业形成良好IT治理的重要因素，组织在日常监控中，需要对IT文化的建设情况保持实时的跟进，获得组织IT文化建设的信息，并对此进行必要的评价，防止IT文化偏离组织目标，推进IT文化的建设.

3.5.5 提供必要的独立审计的条件 (Provide for Independent Audit).为保证该规则的有效性，要求其从组织地位上必须独立于政府的IT职能部门和最终用户部门.

3.6 风险管理和企业战略的匹配(e-SAC)

风险管理虽然目前成为关注的重心，但是风险管理常常与战略脱节造成了高质量的企业风险管理仍然难以实现.这其中最重要的一个原因就在与很多企业首先强调的是安全性，这意味着它们关注的不是管理风险而是如何降低风险，而对于如何使企业的风险管理和战略管理匹配，世界没有完美的解决之道，因为每个组织面对的无论是外部的经济环境还是内部的治理环境都不尽相同.即使这样，我们还是有基本的原则可循，e-SAC在此问题给出了几点建议：

3.6.1 根据组织发展战略对战略目标的风险进行评估，进而制定相应的风险管理对策.

3.6.2 变传统的风险管理的事后控制为事前控制，全过程监控，主动应对风险.

3.6.3 积极建立企业风险信息标准和传送渠道，形成企业内部对风险信息的统一认识，提高风险管理决策的效率和效果.

3.6.4 提高组织对外部不确定性环境的预测能力，在风险中寻找机会.

3.6.5 在公司管理层尤其是高级管理层，做风险管理思想培训，使风险管理理念融入日常管理.

3.6.6 设立CIO的职位强化信息技术在企业战略中的应用,以确保IT战略规划的成功实施.

4 结论

电子商务企业的风险控制应当在e-SAC的理论支撑下构建风险治理框架.该理论下的ERM的成功需要有来自CEO和董事会的鼎力支持，以及一个合理组织结构.要保证该治理框架成功，还要以COSO+e-SAC+BS799的重要原则作为前提基础.CIO可以保证不但都有人负责所有的流程，还可以使关键性要素的风险管理的功能和要求都能实现.同时IT风险管理专家的领导不容忽视，首先风险管理专家必须向CIO进行直接报告，其次风险管理专家在事后还需要指导所有职能经理去辩别、评价、管理和报告属于他们职责范围内的风险.只有通过这样流程，才能使控制真正可以嵌入到实际得操作流程中，让控制在实际执行过程中才可能实现充分有效.

〔1〕刘勰.James N.K.Liu.The Investigation of IT Governance of Enterprises in China from the Perspective of CISR[J].JOURNAL OF INTELL IGENCE,2009(10):34-37.

〔2〕赵鑫.虚拟企业冲突的协调管理[J].黑龙江对外经贸,2006（3）:1-3.

〔3〕张利飞,曾德明,袁信,企业IT治理的整体性框架分析[J].科技管理研究,2007（10）：192-195.

〔4〕国际标准化组织(ISO).ISO?31000风险管理原则与实施指南[M].2009.1-5.

〔5〕刘福生.电子商务风险之我见[J].商场现代,2006(1）:131-134.