居安思危，防微杜漸。近日我參加了一個(gè)上市公司CIO的專(zhuān)題研討會(huì)，主題是如何建立IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系。起因是2010年4月，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)等五部門(mén)聯(lián)合發(fā)布了被稱(chēng)為“中國(guó)版薩班斯法案”的《企業(yè)內(nèi)部控制配套指引》。指引文件在第37條中明確指出要把企業(yè)內(nèi)部IT風(fēng)險(xiǎn)控制建設(shè)情況納入上市公司日常監(jiān)管的范圍，確保IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的執(zhí)行質(zhì)量。而且，為了確保上市公司IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的順利實(shí)施，財(cái)政部等五個(gè)部門(mén)還制定了IT內(nèi)控建設(shè)的實(shí)施時(shí)間表。

　　一.什么是IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系？

　　風(fēng)險(xiǎn)無(wú)處不在、而且還難以度量，這使到企業(yè)很難去評(píng)估和預(yù)防風(fēng)險(xiǎn)。因此，很多時(shí)候企業(yè)在實(shí)施IT內(nèi)控和風(fēng)險(xiǎn)管理時(shí)常常感到無(wú)從下手。從研討會(huì)上眾多CIO討論的情況來(lái)看，目前國(guó)內(nèi)大部分上市公司在IT內(nèi)控風(fēng)險(xiǎn)預(yù)警和防范方面還存在很多模糊的認(rèn)識(shí)和誤解。

　　(1)什么是IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系？

　　在風(fēng)險(xiǎn)管理體系中，一般包括風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)定性分析、風(fēng)險(xiǎn)定量分析、風(fēng)險(xiǎn)響應(yīng)和風(fēng)險(xiǎn)監(jiān)控。風(fēng)險(xiǎn)管理貫穿企業(yè)各項(xiàng)業(yè)務(wù)的整個(gè)過(guò)程，包括事前、事中和事后。統(tǒng)計(jì)資料表明越早發(fā)現(xiàn)風(fēng)險(xiǎn)、越早采取措施，則風(fēng)險(xiǎn)管理的成本就越低，給企業(yè)帶來(lái)的效益也就越大。按照1：10：100的理論，在第一個(gè)階段控制風(fēng)險(xiǎn)的成本是1，那么如果到了第二個(gè)階段才采取措施，它的成本就會(huì)是10，而到了第三個(gè)階段時(shí)才采取措施的成本將會(huì)是100。因此，在風(fēng)險(xiǎn)管理領(lǐng)域中普遍強(qiáng)調(diào)風(fēng)險(xiǎn)管理的計(jì)劃性和預(yù)測(cè)性。也就是說(shuō)，風(fēng)險(xiǎn)預(yù)警系統(tǒng)可以為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)監(jiān)控等提供強(qiáng)有力的手段，在整個(gè)風(fēng)險(xiǎn)管理體系中具有極其重要的地位。

　　為此，2010年4月財(cái)政部等五部門(mén)聯(lián)合發(fā)布的“中國(guó)版薩班斯法案”《企業(yè)內(nèi)部控制配套指引》在第37條明確指出“企業(yè)應(yīng)當(dāng)建立重大風(fēng)險(xiǎn)預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，對(duì)可能發(fā)生的重大風(fēng)險(xiǎn)或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時(shí)妥善處理”的規(guī)定。要求IT系統(tǒng)提供對(duì)風(fēng)險(xiǎn)事件的預(yù)警，并能及時(shí)通過(guò)各種通訊方式通知相關(guān)崗位人員。因此，通過(guò)IT內(nèi)控風(fēng)險(xiǎn)控制體系來(lái)防范和降低上市公司的IT違規(guī)風(fēng)險(xiǎn)，是企業(yè)高層領(lǐng)導(dǎo)和CIO目前最迫切需要解決的難題。

　　(2)IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的具體內(nèi)容

　　任何風(fēng)險(xiǎn)的出現(xiàn)都會(huì)有預(yù)兆，警兆是指風(fēng)險(xiǎn)發(fā)生前的先兆。通常某些指標(biāo)會(huì)提前出現(xiàn)異常的波動(dòng)，預(yù)警系統(tǒng)就是根據(jù)一定的原則捕捉到這些異常。因此，企業(yè)風(fēng)險(xiǎn)預(yù)警系統(tǒng)主要包括警源分析和警兆辨識(shí)兩部分。警源分析著重分析風(fēng)險(xiǎn)發(fā)生的根源性因素;警兆辨識(shí)主要通過(guò)定量的指標(biāo)體系分析法和定性描述分析法相結(jié)合的方式，提前向企業(yè)IT決策者發(fā)出預(yù)警信號(hào)。

　　具體來(lái)說(shuō)，要實(shí)現(xiàn)對(duì)IT風(fēng)險(xiǎn)警兆的辨識(shí)可通過(guò)兩方面來(lái)進(jìn)行：一是定性分析，即通過(guò)對(duì)有關(guān)IT項(xiàng)目從決策到運(yùn)營(yíng)等方面的定性描述判別是否出現(xiàn)警兆;二是定量分析，即通過(guò)預(yù)警指標(biāo)體系的指標(biāo)計(jì)算來(lái)確定警兆是否出現(xiàn)。因此，風(fēng)險(xiǎn)預(yù)警指標(biāo)體系包括定性指標(biāo)和定量指標(biāo)兩部分。其中風(fēng)險(xiǎn)預(yù)警系統(tǒng)中的定性分析主要是通過(guò)對(duì)一些無(wú)法具體量化而又對(duì)IT項(xiàng)目的運(yùn)行起到?jīng)Q定作用的關(guān)鍵問(wèn)題進(jìn)行是非判斷，從而決定是否發(fā)出預(yù)警。定量分析的主要內(nèi)容是對(duì)IT項(xiàng)目中的統(tǒng)計(jì)信息設(shè)立數(shù)量化指標(biāo)體系，是指通過(guò)建立和運(yùn)用數(shù)量化指標(biāo)體系從定量的角度來(lái)分析項(xiàng)目是否存在潛在的風(fēng)險(xiǎn)，從而確定是否存在警兆。

　　一般來(lái)說(shuō)，在IT內(nèi)控時(shí)可能會(huì)碰到很多的風(fēng)險(xiǎn)，通常的做法是把可能的IT風(fēng)險(xiǎn)劃分一個(gè)優(yōu)先級(jí)，對(duì)于優(yōu)先級(jí)高的風(fēng)險(xiǎn)要給以更多的關(guān)注。例如，對(duì)財(cái)務(wù)違規(guī)的IT操作流程和可能會(huì)影響上市公司股價(jià)波動(dòng)的IT流程給予高優(yōu)先級(jí)考慮。因此，IT體系風(fēng)險(xiǎn)評(píng)估的目的是要辨別出潛藏的IT內(nèi)在風(fēng)險(xiǎn)與殘存風(fēng)險(xiǎn)。通常包括風(fēng)險(xiǎn)判斷標(biāo)準(zhǔn)、風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)發(fā)生的危險(xiǎn)度、風(fēng)險(xiǎn)預(yù)防措施、風(fēng)險(xiǎn)消除措施等幾個(gè)方面進(jìn)行評(píng)估。為了更加形象地標(biāo)識(shí)企業(yè)出現(xiàn)的IT風(fēng)險(xiǎn)所處的級(jí)次，應(yīng)該把IT風(fēng)險(xiǎn)預(yù)警區(qū)間分為安全區(qū)(綠區(qū))、預(yù)警區(qū)(黃區(qū))、危機(jī)區(qū)(紅區(qū))三個(gè)區(qū)域。指標(biāo)在安全區(qū)，表示發(fā)生危機(jī)的可能性較小;指標(biāo)在預(yù)警區(qū)，表示存在發(fā)生危機(jī)的可能性;指標(biāo)在危機(jī)區(qū)，表示發(fā)生危機(jī)的可能性較大。根據(jù)風(fēng)險(xiǎn)評(píng)估得分，對(duì)照相應(yīng)的預(yù)警區(qū)間就可以快速的判斷出各企業(yè)的IT風(fēng)險(xiǎn)預(yù)警警度。

　　在這次研討會(huì)上，眾多CIO關(guān)注的焦點(diǎn)是如何實(shí)現(xiàn)五部門(mén)聯(lián)合發(fā)布的“中國(guó)版薩班斯法案”《企業(yè)內(nèi)部控制配套指引》第37條。也就是：為使預(yù)警功能得到正常充分的發(fā)揮，企業(yè)應(yīng)如何建立預(yù)警機(jī)制。包括信息收集/傳遞機(jī)制、預(yù)警分析機(jī)制、危機(jī)分析機(jī)制以及危機(jī)處理機(jī)制。總結(jié)這次研討會(huì)的發(fā)言，CIO們一致的認(rèn)為預(yù)警系統(tǒng)的建立有幾個(gè)關(guān)鍵核心：①是確定預(yù)警的指標(biāo)和判斷預(yù)警的警戒線(xiàn)，因?yàn)轭A(yù)警分析一般包括預(yù)警指標(biāo)和預(yù)警指標(biāo)的臨界點(diǎn)等兩個(gè)要素，一旦評(píng)測(cè)指標(biāo)超過(guò)臨界點(diǎn)，應(yīng)急計(jì)劃則應(yīng)馬上啟動(dòng)。②IT預(yù)警系統(tǒng)的核心是高效的風(fēng)險(xiǎn)分析機(jī)制，是指通過(guò)風(fēng)險(xiǎn)分析迅速對(duì)影響的因素作出判斷，從而可以把主要精力放在有可能造成重大影響的警情上。③預(yù)先制定危機(jī)處理機(jī)制，主要包括應(yīng)急措施、補(bǔ)救方法、改進(jìn)方案，并在分析清楚危機(jī)后應(yīng)立即采取消除措施，以減少危機(jī)帶來(lái)的損失。

　　二.如何打造符合第37條的IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系？

　　古希臘政治家伯利克利認(rèn)為：“提升風(fēng)險(xiǎn)管理水平，并不是為了能夠準(zhǔn)確的預(yù)見(jiàn)未來(lái)的風(fēng)險(xiǎn)，而是為了不可預(yù)知的風(fēng)險(xiǎn)做好準(zhǔn)備”。這與中國(guó)的諺語(yǔ)“居安思危，有備無(wú)患”有異曲同工之妙。因此，中國(guó)版薩班斯法案《企業(yè)內(nèi)部控制配套指引》在第37條也明確指出企業(yè)必須要先打造一個(gè)預(yù)警式IT內(nèi)控體系。所以，構(gòu)建一個(gè)滿(mǎn)足企業(yè)業(yè)務(wù)發(fā)展需要的預(yù)警式IT內(nèi)控體系，是目前很多CIO在思考的問(wèn)題。結(jié)合研討會(huì)上眾多CIO的意見(jiàn)和經(jīng)驗(yàn)，提供以下幾個(gè)建設(shè)高效IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的策略?xún)H大家參考：

　　(1)確定IT內(nèi)控風(fēng)險(xiǎn)預(yù)警范圍

　　第一步是先確定IT內(nèi)控風(fēng)險(xiǎn)預(yù)警的范圍，它是指根據(jù)財(cái)政部等五部門(mén)在去年發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》的要求，再結(jié)合在今年4月發(fā)布的《企業(yè)內(nèi)部控制配套指引》的建議，從全局角度去考慮、分析、規(guī)劃需要控制的IT內(nèi)容和范圍。這是IT內(nèi)控風(fēng)險(xiǎn)預(yù)警控制中最為關(guān)鍵的內(nèi)容，包括風(fēng)險(xiǎn)形勢(shì)評(píng)估、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)等幾部分。一般來(lái)說(shuō)，確定IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的范圍可以分為這幾個(gè)步驟：首先確定IT風(fēng)險(xiǎn)預(yù)警報(bào)告流程中的核心要素;其次，識(shí)別關(guān)鍵的IT內(nèi)控風(fēng)險(xiǎn)預(yù)警流程;最后，是根據(jù)IT活動(dòng)確定關(guān)鍵的IT風(fēng)險(xiǎn)流程和IT風(fēng)險(xiǎn)支持系統(tǒng)，從而確定IT內(nèi)控風(fēng)險(xiǎn)預(yù)警范圍。

　　(2)對(duì)選定范圍進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估

　　對(duì)企業(yè)IT運(yùn)營(yíng)中可能遇到的潛在IT風(fēng)險(xiǎn)進(jìn)行正確評(píng)估其破壞力，是IT內(nèi)控風(fēng)險(xiǎn)預(yù)警最為關(guān)鍵的內(nèi)容。因?yàn)橥ㄟ^(guò)對(duì)IT風(fēng)險(xiǎn)的識(shí)別和評(píng)估可使企業(yè)更加清晰地認(rèn)識(shí)到IT意外事件的發(fā)生將會(huì)如何限制企業(yè)業(yè)務(wù)目標(biāo)的達(dá)成。所以，企業(yè)在構(gòu)建靈活安全的IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系之前，需要先透徹地分析企業(yè)所面臨的潛在IT風(fēng)險(xiǎn)的破壞力。也就是說(shuō)，要對(duì)IT系統(tǒng)出現(xiàn)故障時(shí)對(duì)各關(guān)鍵業(yè)務(wù)的影響和破壞力作出正確的評(píng)估。因?yàn)橹挥姓_分析可能存在的各類(lèi)IT風(fēng)險(xiǎn)，并正確評(píng)估各類(lèi)IT風(fēng)險(xiǎn)可能造成的影響，才能采取正確有效的措施來(lái)規(guī)避IT風(fēng)險(xiǎn)。這也是構(gòu)建高效IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的一個(gè)重要步驟。

　　(3)對(duì)潛在IT風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控，并實(shí)施有效的控制措施

　　建立起全面IT風(fēng)險(xiǎn)預(yù)警機(jī)制的核心一步，是根據(jù)風(fēng)險(xiǎn)識(shí)別、評(píng)估的結(jié)果，針對(duì)相關(guān)IT風(fēng)險(xiǎn)源制定統(tǒng)一的風(fēng)險(xiǎn)管理戰(zhàn)略，加強(qiáng)實(shí)時(shí)監(jiān)控。例如，對(duì)IT風(fēng)險(xiǎn)預(yù)警系統(tǒng)的有效運(yùn)行進(jìn)行持續(xù)監(jiān)控與個(gè)別評(píng)估，充分發(fā)揮對(duì)潛在IT風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控作用，實(shí)現(xiàn)對(duì)潛在風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控與內(nèi)部控制措施的有效結(jié)合，以改善IT風(fēng)險(xiǎn)控制與管理的效果。

　　(4)組建責(zé)任明確的IT風(fēng)險(xiǎn)內(nèi)控小組，完善監(jiān)控職能

　　《企業(yè)內(nèi)部控制配套指引》指出IT內(nèi)控風(fēng)險(xiǎn)預(yù)警不應(yīng)只是IT部門(mén)一個(gè)部門(mén)的工作和責(zé)任，而應(yīng)該是要上升為全員參與。因此，在研討會(huì)上許多CIO紛紛表示，企業(yè)應(yīng)該要成立由公司領(lǐng)導(dǎo)和各部門(mén)負(fù)責(zé)人組成的責(zé)任明確的IT風(fēng)險(xiǎn)內(nèi)控小組，該小組要制定出符合本企業(yè)需要的IT內(nèi)控風(fēng)險(xiǎn)預(yù)警策略。例如，企業(yè)可定期組織跨部門(mén)IT內(nèi)控風(fēng)險(xiǎn)預(yù)警工作會(huì)議，加強(qiáng)部門(mén)間IT內(nèi)控風(fēng)險(xiǎn)預(yù)警工作的協(xié)同配合，保障企業(yè)IT內(nèi)控的高效率執(zhí)行和實(shí)施。這個(gè)小組除了擔(dān)任IT內(nèi)控風(fēng)險(xiǎn)預(yù)警的日常工作外，還可負(fù)責(zé)對(duì)IT內(nèi)控、企業(yè)管控的質(zhì)量進(jìn)行協(xié)調(diào)和監(jiān)督。

　　(5)培訓(xùn)宣貫與運(yùn)行推廣實(shí)施

　　最后，建立IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系還需要通過(guò)宣講、培訓(xùn)等方式，對(duì)企業(yè)各部門(mén)和人員進(jìn)行IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系相關(guān)制度的介紹和學(xué)習(xí)，并根據(jù)事先制定好的IT控制框架體系進(jìn)行試運(yùn)行和推廣實(shí)施。也就是說(shuō)，IT內(nèi)控風(fēng)險(xiǎn)預(yù)警體系的建立和運(yùn)行的關(guān)鍵在于向全體人員宣傳和推廣。否則，IT風(fēng)險(xiǎn)預(yù)警將成為空中樓閣，紙上談兵。