欢迎来到天天文库
浏览记录
ID:9312287
大小:299.50 KB
页数:11页
时间:2018-04-27
《基于层级结构的企业it控制系统风险评价体系构建》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于层级结构的企业IT控制系统风险评价体系构建摘要:IT控制是适用于所有IT服务活动的控制过程,是一个自上而下、目标驱动的结构。本文将IT控制分为治理层、管理技术层和作业流程层等三个层级,基于层级结构、风险分解构建IT控制风险评价体系。评价过程包括单项评价和综合评价两大两部分,从低层级的IT流程到高层级的战略目标,逐级逐层迭代评价。关键词:IT控制层级结构系统评价企业信息系统的复杂度越高、业务对IT的依赖性越强,IT资源(系统应用、信息、基础设施和人员)带来的风险也就越大。在IT治理的混沌时期,我国企业还不同程度的存在着IT风险管理缺失问题,业界对IT风险的识别、分
2、析和控制还处于摸索阶段,系统评价多以事后、静态为主,且控制过程不具有可审计性。在现阶段,开展IT控制系统风险评价研究,构建IT控制系统风险评价体系,对于完善我国企业IT控制架构、防范IT风险、实现发展战略具有重要的理论价值与现实指导意义。一、IT控制的层级结构及评价体系(一)IT控制的层级结构IT控制是适用于所有IT服务活动的风险管理过程,是一个自上而下、目标驱动的结构,其一般框架包涵IT治理、IT管理与技术以及IT作业流程等相关内容。由此,IT控制可分为治理层、管理技术层和作业流程层等三个对应层级,其中治理层是IT控制的基础,旨在实现战略目标,主要解决如何保障IT
3、价值、管理IT相关风险、增强对信息的控制等问题;管理技术层面向可理解的执行活动,与现有系统应用实施状况相关联,突出技术控制,旨在实现IT目标,主要关注程序开发与变更、计算机操作流程、数据访问以及相应的信息与沟通等属于IT一般控制一般控制是指运用于IT管理和技术、与基础设施相关的控制。范畴的内容;作业流程层则立足于企业日常交易业务,强调操作控制,旨在实现流程目标,重点关注IT流程及活动的完整性、准确性、有效性控制及授权与职务划分等属于IT应用控制应用控制是指运用于IT作业流程、与日常交易活动相关的控制。范畴的内容。在该结构中战略目标位于顶层,决定着其他两层级的目标集合
4、,构成从企业战略到IT实践的过程。目标和风险始终贯穿于整个IT控制层级,战略风险分解为若干经营风险,经营风险再分解为若干流程风险,通过对风险级别分解,逐步实现控制目标;系统评价则是基于IT流程评价、由单项评价到综合评价、自下而上层层迭代的过程。(参见图1)10战略目标治理层:公司级控制治理政策IS审计有效监管协调策略管理技术层:一般控制程序开发与变更计算机操作流程数据访问等作业流程层:应用控制完整性准确性有效性控制授权与职务划分等图1层级与IT控制评价风险级别评价迭代战略风险执行控制综合评价IT目标控制评价经营风险技术控制流程风险操作控制单项评价流程目标(二)IT控
5、制系统风险评价思路借鉴目前国内外企业IT控制系统风险评价的良好实践,针对企业的技术风险,将评价过程划分为单项评价和综合评价两大两部分,该思路是基于协调而非执行,采用评价迭代,对IT流程、IT领域、IT目标和战略目标逐级逐层进行评价分析,为IT控制提供多层级的风险视图。在流程控制中,将企业信息系统划分为系统运行、系统环境、环境支持、系统开发和系统审计等五大IT领域,并运用一定方法构成“领域”→“流程”→“活动”的过程集。该过程集由业务需求引领,以流程为控制基础,并覆盖关键控制活动。单项评价模型是基于IT应用过程,利用流程分解,确定风险级别以及相应的IT控制水平,对IT
6、流程控制有效性及其相关风险进行评价,实现风险信息互通,是整个风险导向层级评价体系的基础,包括IT流程风险评价和IT领域风险评价两个阶段;综合评价模型是通过权重衡量,确定企业IT目标和战略目标的风险等级(水平),实现战略目标到IT目标的转换,具体包括IT目标评价和战略目标评价两个阶段。(参见图2)10优先权重相对权重战略目标评价IT目标1IT目标mIT目标评价流程风险评价领域风险评价优先权重综合评价阶段单项评价阶段图2IT控制系统风险评价体系流程1流程n风险视图风险视图IT活动IT资源领域1领域k风险视图风险视图相对权重相对权重优先权重优先权重(三)IT控制系统风险评
7、价方法不同的评价方法对评价结果会产生不同的影响。目前国内外主要的风险评价体系对控制系统通常采用多指标综合评价方法,克服了单指标影响的片面性。但仍存在一些不足,如偏重于静态评价;有些模型(如COBIT等),未涉及各指标的权重,即假设所有的指标都一样重要,不符合客观实际。根据权重确认条件的不同,可以将IT控制风险评价方法可分为两类:一类是主观赋权法,如德尔斐法、层次分析法、证据推理法、模糊综合评价法等,属于基于综合咨询评分的定性方法,一般在包含有不可计量条件时采用,由于受人为因素的影响评价结果可能不够真实;另一类是客观赋权法,如嫡值法、主成分分析法、因子分析法、数据
此文档下载收益归作者所有