08年IT治理與風(fēng)險(xiǎn)管理10大關(guān)注

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

大家都說(shuō)2008年是不平凡的一年，同樣2008年的IT治理與風(fēng)險(xiǎn)管理行業(yè)同樣引人注目，不僅涉及到了相關(guān)組織的變遷與建立、制度的設(shè)立等管理層面的事件，也觸及到了標(biāo)準(zhǔn)的出臺(tái)、認(rèn)證的出現(xiàn)等一些操作層面的事件。

1、國(guó)信辦并入工業(yè)和信息化部

08年3月，國(guó)務(wù)院信息化工作辦公室（“國(guó)信辦”）被并入新組建的工業(yè)和信息化部，其中與信息化相關(guān)的部門有三個(gè)：信息化推進(jìn)司、信息安全協(xié)調(diào)司和軟件服務(wù)業(yè)司，可以看出，主管IT治理進(jìn)展的信息化推進(jìn)司得以保留，然而從2007年12月14日原信息產(chǎn)業(yè)部IT治理標(biāo)準(zhǔn)研討會(huì)召開(kāi)之后，2008年國(guó)家層面的IT治理工作進(jìn)展不大。為此，IT治理工作隨著大部制的合并，是否更加有力讓人不得不產(chǎn)生了懷疑，讓我們拭目以待2009年的進(jìn)展。

2、北京大學(xué)數(shù)字中國(guó)研究院信息化治理研究中心成立

08年12月，北京大學(xué)數(shù)字中國(guó)研究院信息化治理研究中心在工業(yè)和信息化部推進(jìn)司和北京大學(xué)數(shù)字中國(guó)研究院的大力支持下正式成立，此中心的成立標(biāo)志著學(xué)研機(jī)構(gòu)開(kāi)始正式將IT治理作為研究?jī)?nèi)容，將為我國(guó)信息化治理的快速發(fā)展奠定基礎(chǔ)。

3、ISO/IEC 38500正式發(fā)布

08年4月，第一個(gè)IT 治理國(guó)際標(biāo)準(zhǔn)——ISO/IEC 38500:2008正式發(fā)布，它的出臺(tái)不僅標(biāo)志著IT 治理從概念模糊的探討階段進(jìn)入了一個(gè)正確認(rèn)識(shí)的發(fā)展階段，而且也標(biāo)志著信息化正式進(jìn)入IT 治理時(shí)代。這一標(biāo)準(zhǔn)將促使國(guó)內(nèi)外一直爭(zhēng)論不休的IT治理理論得到統(tǒng)一（ISO/IEC 38500是真正意義上的IT治理標(biāo)準(zhǔn)，CobiT 作為IT內(nèi)部控制與風(fēng)險(xiǎn)管理的最佳實(shí)踐），也會(huì)促使我國(guó)在引導(dǎo)信息化科學(xué)方面發(fā)揮重要作用。

可以用于任何規(guī)模的組織，包括公/私有性質(zhì)的公司，政府機(jī)構(gòu)以及非營(yíng)利組織。這一標(biāo)準(zhǔn)提供了一個(gè)IT治理的框架，以協(xié)助組織高層管理者理解并履行他們對(duì)于其組織IT使用的既定職責(zé)，實(shí)現(xiàn)IT治理的有效性、可用性及效率。

詳細(xì)內(nèi)容見(jiàn)《ISO /IEC 38500：2008 的前世今生》一文。

4、《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）》發(fā)布

08年9月3日，中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)共同發(fā)布了《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）》（以下簡(jiǎn)稱指引）。該《指引》的發(fā)布為加強(qiáng)證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理、完善各機(jī)構(gòu)的治理結(jié)構(gòu)、提高證券期貨行業(yè)IT治理水平、保障信息系統(tǒng)安全運(yùn)行起到了重要作用，得到了各經(jīng)營(yíng)機(jī)構(gòu)的普遍認(rèn)同。同時(shí)，該《指引》為國(guó)內(nèi)第一個(gè)行業(yè)性質(zhì)的指引，它的出臺(tái)為其他行業(yè)推進(jìn)IT 治理理念提供了有益的借鑒。

5、國(guó)際第一個(gè)IT治理認(rèn)證

國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）于2008年設(shè)立了一項(xiàng)新的認(rèn)可資格，名為「企業(yè)IT治理認(rèn)證（CGEITTM）」。它是為擔(dān)任與IT管理相關(guān)的重要的管理、咨詢或鑒證等職位，同時(shí)期望自己的IT管理經(jīng)驗(yàn)和知識(shí)被認(rèn)可的專業(yè)人員而設(shè)計(jì)的。

的制定主要關(guān)注IT治理的五個(gè)領(lǐng)域——戰(zhàn)略聯(lián)盟，資源管理，風(fēng)險(xiǎn)管理，績(jī)效衡量和價(jià)值交付，此外還關(guān)注支持IT管理的框架結(jié)構(gòu)（例如，COBIT和ITIL）。

認(rèn)證申請(qǐng)人必須有五年以上從事企業(yè)信息技術(shù)管理的經(jīng)驗(yàn)，而且需要通過(guò)CGEIT考試。首次CGEIT考試在2008年12月13日進(jìn)行。同時(shí)推出的豁免計(jì)劃，使IT管理領(lǐng)域的資深人士不用參加考試就可以申請(qǐng)認(rèn)證?？梢灶A(yù)見(jiàn)該認(rèn)證的出現(xiàn)，將為IT治理的持續(xù)發(fā)展提供專業(yè)的人才。

6、《中央企業(yè)信息化水平評(píng)價(jià)暫行辦法》發(fā)布

08年7月4日，國(guó)務(wù)院國(guó)資委為加快推進(jìn)中央企業(yè)信息化工作，提高信息化水平，根據(jù)國(guó)資委《關(guān)于加強(qiáng)中央企業(yè)信息化工作指導(dǎo)意見(jiàn)》（國(guó)資發(fā)〔2007〕8號(hào)），特制定《中央企業(yè)信息化水平評(píng)價(jià)暫行辦法》，IT 治理作為其中的一個(gè)評(píng)分項(xiàng)，包括6個(gè)具體指標(biāo)，該指標(biāo)的設(shè)立，將進(jìn)一步引導(dǎo)企業(yè)實(shí)施IT治理，建立良好的生態(tài)環(huán)境，促進(jìn)企業(yè)信息化發(fā)展更加科學(xué)。

7、ITGRC 開(kāi)始進(jìn)入了IT管理層的視野

08年5月，IT Policy Compliance Group 2008 發(fā)布年度研究報(bào)告「IT 治理、風(fēng)險(xiǎn)與法規(guī)遵循：增加企業(yè)獲益和降低財(cái)務(wù)風(fēng)險(xiǎn)」（IT Governance, Risk and Compliance – Improving business results and mitigating financial risk）。指出IT 管理、風(fēng)險(xiǎn)與規(guī)范遵循 （IT GRC） 可用來(lái)在企業(yè)獲益和風(fēng)險(xiǎn)之間取得適當(dāng)平衡，IT GRC 實(shí)務(wù)的成熟度與功能對(duì)組織的財(cái)務(wù)有直接的影響，這份報(bào)告匯集來(lái)自 2,600 多家全球企業(yè)意見(jiàn)的這份報(bào)告，對(duì)增進(jìn)數(shù)據(jù)保護(hù)、法規(guī)遵循及 IT 服務(wù)水平彈性會(huì)對(duì)企業(yè)獲益有何影響進(jìn)行了評(píng)估，范圍包括客戶滿意度、客戶維持率、收益、費(fèi)用及利潤(rùn)。

如今GRC有多熱，看看各咨詢公司的報(bào)告就一目了然。Gartner2008年初發(fā)布的一份報(bào)告顯示，在其調(diào)查的美國(guó)用戶中，75%的企業(yè)表示對(duì)GRC系統(tǒng)有需求，為了凸顯GRC的火熱程度，Gartner甚至將這份報(bào)告直接命名為IT風(fēng)險(xiǎn)管理年（2008 - The Year of IT Risk Management）。然后受全球金融危機(jī)等諸多因素的影響2008年的GRC市場(chǎng)不像預(yù)期的那樣火爆，中國(guó)由于GRC的理念還未得到全面的重視和認(rèn)可，所以，市場(chǎng)相對(duì)較冷，預(yù)計(jì)2009年將是ITGRC 整合框架構(gòu)建受到全面重視的一年。

8、新的控制框架CobITIL出現(xiàn)

目前，隨著外部組織的監(jiān)管日益嚴(yán)格，很多組織對(duì)CobiT 和ITIL 的整合實(shí)施提出了新的需求，用ITIL 模塊來(lái)豐富CobiT 的交付與支持域，建立以不變應(yīng)萬(wàn)變的風(fēng)險(xiǎn)管理框架。目前，國(guó)際上已經(jīng)開(kāi)始出現(xiàn)一些聲音——CobITIL，ITGov 中國(guó)IT 治理研究中心作為國(guó)內(nèi)CobiT 和ITIL 的專業(yè)研究機(jī)構(gòu)，已經(jīng)與國(guó)際接軌同步開(kāi)展了相關(guān)研究工作。

9、IT 風(fēng)險(xiǎn)管理開(kāi)始重新思考

08年由次貸引發(fā)的金融危機(jī)使得傳統(tǒng)的風(fēng)險(xiǎn)理論面臨巨大的挑戰(zhàn)，“主觀建構(gòu)”理論再次受到關(guān)注，勢(shì)必對(duì)未來(lái)風(fēng)險(xiǎn)管理的理論與實(shí)務(wù)產(chǎn)生深遠(yuǎn)影響。

“主觀建構(gòu)”理論認(rèn)為現(xiàn)代社會(huì)使得“人”已經(jīng)成為風(fēng)險(xiǎn)的重要因素，并改變傳統(tǒng)的“客觀性”。它強(qiáng)調(diào)風(fēng)險(xiǎn)是由人建構(gòu)的，風(fēng)險(xiǎn)及其存在依賴人的認(rèn)識(shí)、態(tài)度、行為、社會(huì)環(huán)境、文化倫理等，IT風(fēng)險(xiǎn)也不例外。如何從人和利益相關(guān)者的角度識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、動(dòng)因分析、選擇相應(yīng)的控制措施，將是需要我們IT 管理人員重新思考的問(wèn)題。ITGov 中國(guó)IT 治理研究中心已經(jīng)開(kāi)展了這方面的研究。2009年我們的成果將及時(shí)向社會(huì)公布。

10、內(nèi)部審計(jì)具體準(zhǔn)則第28 號(hào)—信息系統(tǒng)審計(jì)正式出臺(tái)

信息系統(tǒng)審計(jì)作為一種新的審計(jì)類型，近年來(lái)逐漸升溫，然而傳統(tǒng)業(yè)務(wù)審計(jì)人員大都缺乏應(yīng)有的信息系統(tǒng)知識(shí)和相應(yīng)的審計(jì)經(jīng)驗(yàn)，因此審計(jì)人員在審計(jì)判斷中缺乏標(biāo)準(zhǔn)依據(jù)。

08年中國(guó)內(nèi)部審計(jì)協(xié)會(huì)正式發(fā)布《內(nèi)部審計(jì)具體準(zhǔn)則第28 號(hào)—信息系統(tǒng)審計(jì)》，此準(zhǔn)則的出臺(tái)，使IT審計(jì)師在審計(jì)判斷中具備了標(biāo)準(zhǔn)依據(jù)，同時(shí)，構(gòu)建了審計(jì)師與被審計(jì)單位進(jìn)行溝通的基礎(chǔ)。

從2008年發(fā)展的情況看，2009年依然是一個(gè)充滿變數(shù)的一年，金融海嘯帶來(lái)的危機(jī)將會(huì)逐漸顯現(xiàn)，IT治理與IT風(fēng)險(xiǎn)管理如何發(fā)展，還需要各位行業(yè)朋友共同努力，變風(fēng)險(xiǎn)為機(jī)會(huì)，促進(jìn)IT治理與IT 風(fēng)險(xiǎn)管理行業(yè)的可持續(xù)發(fā)展。（來(lái)自互聯(lián)網(wǎng)）