IT风险管理研究框架（上）

　　三、COSO框架下的IT风险管理框架

　　企业在实施风险管理过程中，四个目标都应当有IT的相关内容，其八个过程也有相应的IT内容，例如：COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”，“风险评估”对应着“IT风险评估及影响分析”等。

　　这八个方面的各项控制又可进一步分三个层次的控制，一是公司层控制、二是应用层控制，三是一般控制层或称基础层控制。

　　公司级控制

　　公司级控制主要与COSO中的控制环境及风险评估有关，为一般控制和应用控制设置基调。公司级控制一般包括以下内容：

　　最高管理层设定的基调与方向

　　职业道德中的正直性、价值观、胜任能力

　　IT管理哲学和业务运行类型

　　对IT管理层的授权与责任

　　IT政策与程序

　　IT组织中人员的责任与技能

　　一般控制

　　一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序，包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持，一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括：

　　安全管理

　　应用系统变更控制

　　数据管理

　　灾难恢复

　　数据中心运营

　　问题管理

　　资产管理

　　应用控制

　　应用控制是为保证业务过程的正常运行，而设计在应用系统中控制措施，以防止和检测错误的和非授权的交易，保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制：

　　进行计算时；

　　实施数据合法性验证和编辑检查时；

　　与其他系统有数据接口时；

　　管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时；

　　限制对交易和数据访问时。

　　IT风险管理的过程也类似于企业风险的过程，主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程：

　　以上三个层次的IT风险管理，在组织中可以分阶段地通过一个个的IT风险控制项目，例如COBIT、ISMS、ITSM、BCP、CMMI等进行实施，也可以选择其中的某些过程进行整合后实施。

　　对于所建立IT内部控制措施是否能有效地控制风险，还需要通过第三方对组织内部措施的有效性进行独立审计，出具审计报告，以证明内部控制措施完备性。