返回
it风险控制与一般风险控制的关系与比较

it风险控制与一般风险控制的关系与比较

ID:30776320

大小:58.00 KB

页数:12页

时间:2019-01-03

it风险控制与一般风险控制的关系与比较_第1页
it风险控制与一般风险控制的关系与比较_第2页
it风险控制与一般风险控制的关系与比较_第3页
it风险控制与一般风险控制的关系与比较_第4页
it风险控制与一般风险控制的关系与比较_第5页
资源描述:

《it风险控制与一般风险控制的关系与比较》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IT风险控制与一般风险控制的关系与比较一、引言信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,而企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,是风险控制的对象,同时,信息技术也成为企业控制风险的一种手段,此外,随着网络技术和通讯技术的发展,信息技术正在改变一些企业的商业模式,从而带来新的利润增长源,因此,信息技术相关风险不仅仅包括以往大家所认识的操作层面的风险,它已经成为企业的一项战略风险,IT投资风险与价值管理已被纳入IT全面风险控制的范畴,信息化的相关风险正成为理论界和实务界研究及关注的对象,IT风险控制也逐渐成为企

2、业全面风险控制的重要组成部分。在企业一般风险控制领域,已经产生了相当多的优秀理论成果,这些成果可以应用到IT风险控制领域,但不能直接照搬,要考虑信息化的特点和IT领域的理论成果,弄清楚IT风险控制与一般风险控制的区别与联系,进而对企业的信息化风险控制实践提供有益的指导。二、企业一般风险控制相关理论是IT风险控制的理论基础1•从历史发展历程来看笔者从企业风险管理的历史发展路径与IT风险管理的历史发展路径这一个角度,来分析IT风险控制与一般风险之间的理论渊源及关系。风险管理最初产生并应用于金融领域,由于风险管理理论的广泛适用性,现在已广泛应用于各国社会与

3、经济发展的诸多领域,其中包括了企业。对于企业而言,风险管理理论的提出与应用还是源于内部控制发展的需要。21世纪的企业环境对内部控制提出了新要求,不仅要求把风险控制作为一个控制目标,还要把风险本身作为一个特定的要素进行管理。20世纪40年代诞生了第一台计算机,随后信息技术逐步得到快速发展,早在计算机进入实用阶段时,美国就开始提出系统审计(SystemAudit),1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1984年美国EDPAA协会发布一套EDP控制标准一《EDP控制目的》,该标准源于早期的内部控制(上个世纪年代)。1994年该协会

4、更名为信息系统审计与控制协会(ISACA),2996年,ISACA协会发布了COBIT(ControlObjectivesforInformationandrelatedTechnology)标准,COBIT作为一项IT安全与控制的实践标准,是由ISACA及其所属的IT治理研究所(ITGI)共同开发、公布的业界标准,目前已经更新至第4.1版和第5版,但COBIT5旨在提供一个通用的高层次的原则导向,它只是用来作为一个通用的框架,不提供最详细的实践指南,ISACA的COBIT源于COSO的《内部控制一整合框架》。进入21世纪,随着《内部控制一整合框架》

5、升级为《企业风险管理一整合框架》,COBIT也需要随之扩展并补充。2009年12月,ISACA发布IT风险管理框架,它是国际上第一个全面的IT风险管理框架,建立了一个风险识别、治理及管理风险的框架,为企业管理IT风险提供了程序和方法,它与COSO的《企业风险管理一整合框架》是同层次的。2•从风险管理角度的标准比较来看下面从风险管理角度的标准比较这一角度来分析IT风险控制与一般风险控制的理论渊源与关系。对于企业风险管理,不同国家的不同组织有不同的定义,比如,COSO的定义为:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战

6、略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”COSO于2004年发布的《企业风险管理一整合框架》拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。并且,它将内部控制框架纳入其中,从而构建了一个更强有力的概念和管理工具。公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程oCOSO在其企业风险管理框架里说明了风险管理的八个相互关联的构成要素即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动

7、、信息与沟通、监控。除了COSO以外,澳大利亚-新西兰风险管理标准AS/NZS4360是世界上第一个国家风险管理标准,是澳大利亚和新西兰的联合标准。它于1995年首次发布。当时制定此标准的目的是为了制定一个统一的标准,以期对若干澳大利亚和新西兰上市或私有企业在风险管理应用问题上有所帮助。此标准参考了1993的《澳洲新南威尔士洲风险管理指南》,AS/NZS4360分别于1999年2004年进行修订。到目前为止,AS/NZS4360标准已经被澳大利亚政府和世界上许多上市公司采用。ISO31000基本上是由AS/NZS4360:2004延伸而来。2002年

8、,英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)颁布

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。