11:IT过程控制能力分析包含哪些具体内容?
发布时间:2011年06月17日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:

11:IT过程控制能力分析包含哪些具体内容?

IT控制过程能力如图12-3所示。

资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn

(1)IT控制目标确定能力

企业IT控制目标确定能力是指企业根据内外环境适当确定企业控制目标的能力,是IT控制过程能力的基础,它决定了控制措施的选择和实施效果。IT控制目标主要有四个:战略目标、效率及效果、报告可靠性和合法合规,在这四个目标中以IT战略目标的实现为核心。

IT控制进入我们视野的时间不长,很多企业把对内部控制的错误认识直接移植到对IT控制的认识上,阻碍了企业对IT控制的重视和投入,影响了IT控制能力的培育和提高,实际也影响企业IT投资价值实现和IT风险管理。因此,企业恰当确定IT控制目标的能力反映企业对IT控制正确了解的程度,对IT控制理解越深,IT控制目标的确定越恰当。此外确定IT控制目标也要充分考虑企业可以承受的风险容忍度、企业外部环境和企业资源等情况。
(2)风险识别与评估能力

风险识别与评估能力是指企业识别IT风险事项、评估风险,应对风险的能力。企业IT全生命周期各个阶段都存在着各种各样的风险。在企业可接受的风险水平下,有效管理企业IT风险是实现IT投资价值的保障,科学评估风险是进行有效风险管理的前提。

 风险:在以战略目标作为控制目标之一的IT控制系统中,风险是被看作既可以为企业带来机会,也有可能造成损失和灾难。

 风险评估:风险评估中中要正确理解“承担风险”、“风险偏好”和“风险容忍度”等概念。

“承担风险”是鼓励企业积极地面对风险,而不是追求将风险最小化;

“风险偏好”是企业在向利益相关者提供价值的过程中所愿意承受的风险水平,通常与企业战略相关联,是与IT价值相平衡的可接受风险。企业在制定IT控制战略目标时,应该确定和选择一个与IT战略目标相一致的风险偏好;

 “风险容忍度”是相对于目标的实现而言所能接受的偏离程度。风险容忍度可以被计量,而且通常相关的目标最好采用相同的单位进行计量。

 风险识别与评估包括事项识别和风险分析。

 风险识别:事项识别主要围绕IT控制目标,确定实现这些目标的关键成功因素,根据历史数据和对环境以及未来目标实现过程的预测,判断可能的风险来源,识别风险。

风险分析:在识别出IT生命周期的风险因素后,就要对各个风险因素进行分析。风险分析的主要过程包括:

 估计风险的严重程度、
 评价风险发生的可能性、
 考虑应如何管理风险,
 为企业确定控制措施提供依据。

是否确认为风险,风险分析中是否被视为重要风险都与企业风险偏好、风险容忍度有关。同样的风险事实,在有着不同的风险容忍度的企业看来,可能不一定确认为风险,相应也就不一定采取措施管理风险。由于企业CEO、CIO等其他高层领导者在IT活动中的特殊地位,其个人风险偏好对IT活动等具有重大影响,企业应当合理分析、准确掌握CEO、CIO及其他高层领导者、关键岗位员工的风险偏好,并予以特别关注,避免因个人风险偏好给企业带来重大损失。

风险识别与评估能力受企业数据收集、处理、分析能力,企业风险偏好,风险容忍度的影响。

(3)控制活动能力

IT控制活动能力是企业根据控制目标和风险评估结果,构建并执行适当的包括组织结构、控制流程等控制措施的能力。
控制措施是使控制目标和承担可接受的风险得以实现的所有方法。控制流程是以组织结构为基础,为实现某个具体控制目标,企业员工分工协作,完成一系列连续有规律的活动。以组织结构为经,以控制流程为纬,相互交叉形成完整的控制措施整体模型,如图12-4所示。

 
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn

(4)监控能力

监控能力是企业内部监督控制IT控制措施执行是否有效的能力。监控是由适当的人在适当及时的情况下,评价控制的设计和运作,并采取必要的修正行动,确保IT控制持续有效地运作。监控分为外部监控和内部监控两种。外部监控主要指利益相关方如国资委、证监会或第三方机构对控制进行监控与评价;内部监控主要包括企业IT审计人员对IT控制,或者业务部门与IT部门之间的监控、IT管理者定期组织的自我测试和评价等。内部监控通过找出企业IT控制中存在的薄弱环节,帮助管理者改善企业IT运作,提高效率,以促进管理者制订的经营管理、合法合规等控制目标得以实现。应该在持续的基础上监控IT控制,对于企业IT控制中的控制缺陷,应当及时向适当的管理者报告,并迅速采取措施处理。


京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved