2008年IT治理與IT風險管理10大關注

計世網  http://soft.ccw.com.cn/news/htm2009/20090112_576732.shtml  王東紅等

    大家都說2008年是不平凡的一年，同樣2008年的IT治理與風險管理行業同樣引人注目，不僅涉及到了相關組織的變遷與建立、制度的設立等管理層面的事件，也觸及到了標準的出臺、認證的出現等一些操作層面的事件。

1、國信辦併入工業和信息化部

    2008年3月，國務院信息化工作辦公室（“國信辦”）被併入新組建的工業和信息化部，其中與信息化相關的部門有三個：信息化推進司、信息安全協調司和軟件服務業司，可以看出，主管IT治理進展的信息化推進司得以保留，然而從2007年12月14日原信息產業部IT治理標準研討會召開之後，2008 年國家層面的IT治理工作進展不大。爲此，IT治理工作隨着大部制的合併，是否更加有力讓人不得不產生了懷疑，讓我們拭目以待2009年的進展。

2、北京大學數字中國研究院信息化治理研究中心成立

    2008年12月，北京大學數字中國研究院信息化治理研究中心在工業和信息化部推進司和北京大學數字中國研究院的大力支持下正式成立，此中心的成立標誌着學研機構開始正式將IT治理作爲研究內容，將爲我國信息化治理的快速發展奠定基礎。

3、ISO/IEC 38500正式發佈

    2008年4月，第一個IT 治理國際標準——ISO/IEC 38500:2008正式發佈，它的出臺不僅標誌着IT 治理從概念模糊的探討階段進入了一個正確認識的發展階段，而且也標誌着信息化正式進入IT 治理時代。這一標準將促使國內外一直爭論不休的IT治理理論得到統一(ISO/IEC 38500是真正意義上的IT治理標準，CobiT 作爲IT內部控制與風險管理的最佳實踐)，也會促使我國在引導信息化科學方面發揮重要作用。

   ISO/IEC 38500:2008可以用於任何規模的組織，包括公/私有性質的公司，政府機構以及非營利組織。這一標準提供了一個IT治理的框架，以協助組織高層管理者理解並履行他們對於其組織IT使用的既定職責，實現IT治理的有效性、可用性及效率。

4、《證券期貨經營機構信息技術治理工作指引（試行）》發佈

    2008年9月3日，中國證券業協會和中國期貨業協會共同發佈了《證券期貨經營機構信息技術治理工作指引（試行）》（以下簡稱指引）。該《指引》的發佈爲加強證券期貨經營機構信息技術管理、完善各機構的治理結構、提高證券期貨行業IT治理水平、保障信息系統安全運行起到了重要作用，得到了各經營機構的普遍認同。同時，該《指引》爲國內第一個行業性質的指引，它的出臺爲其他行業推進IT 治理理念提供了有益的借鑑。

5、國際第一個IT治理認證CGEIT

   國際信息系統審計協會（ISACA）於2008年設立了一項新的認可資格，名爲「企業IT治理認證（CGEITTM）」。它是爲擔任與IT管理相關的重要的管理、諮詢或鑑證等職位，同時期望自己的IT管理經驗和知識被認可的專業人員而設計的。

   CGEIT的制定主要關注IT治理的五個領域——戰略聯盟，資源管理，風險管理，績效衡量和價值交付，此外還關注支持IT管理的框架結構(例如，COBIT和ITIL)。

   CGEIT認證申請人必須有五年以上從事企業信息技術管理的經驗，而且需要通過CGEIT考試。首次CGEIT考試在2008年12月13日進行。同時推出的豁免計劃，使IT管理領域的資深人士不用參加考試就可以申請認證。可以預見該認證的出現，將爲IT治理的持續發展提供專業的人才。

6、《中央企業信息化水平評價暫行辦法》發佈

    2008年7月4日，國務院國資委爲加快推進中央企業信息化工作，提高信息化水平，根據國資委《關於加強中央企業信息化工作指導意見》(國資發〔2007〕8號)，特制定《中央企業信息化水平評價暫行辦法》，IT 治理作爲其中的一個評分項，包括6個具體指標，該指標的設立，將進一步引導企業實施IT治理，建立良好的生態環境，促進企業信息化發展更加科學。

7、ITGRC 開始進入了IT管理層的視野

    2008年5月，IT Policy Compliance Group 2008 發佈年度研究報告「IT 治理、風險與法規遵循：增加企業獲益和降低財務風險」(IT Governance, Risk and Compliance – Improving business results and mitigating financial risk)。指出IT 管理、風險與規範遵循 (IT GRC) 可用來在企業獲益和風險之間取得適當平衡，IT GRC 實務的成熟度與功能對組織的財務有直接的影響，這份報告彙集來自 2,600 多家全球企業意見的這份報告，對增進數據保護、法規遵循及 IT 服務水平彈性會對企業獲益有何影響進行了評估，範圍包括客戶滿意度、客戶維持率、收益、費用及利潤。

    如今GRC有多熱，看看各諮詢公司的報告就一目瞭然。Gartner2008年初發布的一份報告顯示，在其調查的美國用戶中，75%的企業表示對 GRC系統有需求，爲了凸顯GRC的火熱程度，Gartner甚至將這份報告直接命名爲IT風險管理年（2008 - The Year of IT Risk Management）。然後受全球金融危機等諸多因素的影響2008年的GRC市場不像預期的那樣火爆，中國由於GRC的理念還未得到全面的重視和認可，所以，市場相對較冷，預計2009年將是ITGRC 整合框架構建受到全面重視的一年。

8、新的控制框架CobITIL出現

    目前，隨着外部組織的監管日益嚴格，很多組織對CobiT 和ITIL 的整合實施提出了新的需求，用ITIL 模塊來豐富CobiT 的交付與支持域，建立以不變應萬變的風險管理框架。目前，國際上已經開始出現一些聲音——CobITIL，ITGov 中國IT 治理研究中心作爲國內CobiT 和ITIL 的專業研究機構，已經與國際接軌同步開展了相關研究工作。

9、IT 風險管理開始重新思考

    2008年由次貸引發的金融危機使得傳統的風險理論面臨巨大的挑戰，“主觀建構”理論再次受到關注，勢必對未來風險管理的理論與實務產生深遠影響。

   “主觀建構”理論認爲現代社會使得“人”已經成爲風險的重要因素，並改變傳統的“客觀性”。它強調風險是由人建構的，風險及其存在依賴人的認識、態度、行爲、社會環境、文化倫理等，IT風險也不例外。如何從人和利益相關者的角度識別風險、分析風險、動因分析、選擇相應的控制措施，將是需要我們IT 管理人員重新思考的問題。ITGov 中國IT 治理研究中心已經開展了這方面的研究。2009年我們的成果將及時向社會公佈。

10、內部審計具體準則第28 號—信息系統審計正式出臺

    信息系統審計作爲一種新的審計類型，近年來逐漸升溫，然而傳統業務審計人員大都缺乏應有的信息系統知識和相應的審計經驗，因此審計人員在審計判斷中缺乏標準依據。

    2008年中國內部審計協會正式發佈《內部審計具體準則第28 號—信息系統審計》，此準則的出臺，使IT審計師在審計判斷中具備了標準依據，同時，構建了審計師與被審計單位進行溝通的基礎。

    從2008年發展的情況看，2009年依然是一個充滿變數的一年，金融海嘯帶來的危機將會逐漸顯現，IT治理與IT風險管理如何發展，還需要各位行業朋友共同努力，變風險爲機會，促進IT治理與IT 風險管理行業的可持續發展。