08年IT治理與風(fēng)險管理10大關(guān)注

申請免費試用、咨詢電話：400-8352-114

大家都說2008年是不平凡的一年，同樣2008年的IT治理與風(fēng)險管理行業(yè)同樣引人注目，不僅涉及到了相關(guān)組織的變遷與建立、制度的設(shè)立等管理層面的事件，也觸及到了標(biāo)準(zhǔn)的出臺、認(rèn)證的出現(xiàn)等一些操作層面的事件。

1、國信辦并入工業(yè)和信息化部

08年3月，國務(wù)院信息化工作辦公室（“國信辦”）被并入新組建的工業(yè)和信息化部，其中與信息化相關(guān)的部門有三個：信息化推進司、信息安全協(xié)調(diào)司和軟件服務(wù)業(yè)司，可以看出，主管IT治理進展的信息化推進司得以保留，然而從2007年12月14日原信息產(chǎn)業(yè)部IT治理標(biāo)準(zhǔn)研討會召開之后，2008年國家層面的IT治理工作進展不大。為此，IT治理工作隨著大部制的合并，是否更加有力讓人不得不產(chǎn)生了懷疑，讓我們拭目以待2009年的進展。

2、北京大學(xué)數(shù)字中國研究院信息化治理研究中心成立

08年12月，北京大學(xué)數(shù)字中國研究院信息化治理研究中心在工業(yè)和信息化部推進司和北京大學(xué)數(shù)字中國研究院的大力支持下正式成立，此中心的成立標(biāo)志著學(xué)研機構(gòu)開始正式將IT治理作為研究內(nèi)容，將為我國信息化治理的快速發(fā)展奠定基礎(chǔ)。

3、ISO/IEC 38500正式發(fā)布

08年4月，第一個IT 治理國際標(biāo)準(zhǔn)——ISO/IEC 38500:2008正式發(fā)布，它的出臺不僅標(biāo)志著IT 治理從概念模糊的探討階段進入了一個正確認(rèn)識的發(fā)展階段，而且也標(biāo)志著信息化正式進入IT 治理時代。這一標(biāo)準(zhǔn)將促使國內(nèi)外一直爭論不休的IT治理理論得到統(tǒng)一（ISO/IEC 38500是真正意義上的IT治理標(biāo)準(zhǔn)，CobiT 作為IT內(nèi)部控制與風(fēng)險管理的最佳實踐），也會促使我國在引導(dǎo)信息化科學(xué)方面發(fā)揮重要作用。

可以用于任何規(guī)模的組織，包括公/私有性質(zhì)的公司，政府機構(gòu)以及非營利組織。這一標(biāo)準(zhǔn)提供了一個IT治理的框架，以協(xié)助組織高層管理者理解并履行他們對于其組織IT使用的既定職責(zé)，實現(xiàn)IT治理的有效性、可用性及效率。

詳細內(nèi)容見《ISO /IEC 38500：2008 的前世今生》一文。

4、《證券期貨經(jīng)營機構(gòu)信息技術(shù)治理工作指引（試行）》發(fā)布

08年9月3日，中國證券業(yè)協(xié)會和中國期貨業(yè)協(xié)會共同發(fā)布了《證券期貨經(jīng)營機構(gòu)信息技術(shù)治理工作指引（試行）》（以下簡稱指引）。該《指引》的發(fā)布為加強證券期貨經(jīng)營機構(gòu)信息技術(shù)管理、完善各機構(gòu)的治理結(jié)構(gòu)、提高證券期貨行業(yè)IT治理水平、保障信息系統(tǒng)安全運行起到了重要作用，得到了各經(jīng)營機構(gòu)的普遍認(rèn)同。同時，該《指引》為國內(nèi)第一個行業(yè)性質(zhì)的指引，它的出臺為其他行業(yè)推進IT 治理理念提供了有益的借鑒。

5、國際第一個IT治理認(rèn)證

國際信息系統(tǒng)審計協(xié)會（ISACA）于2008年設(shè)立了一項新的認(rèn)可資格，名為「企業(yè)IT治理認(rèn)證（CGEITTM）」。它是為擔(dān)任與IT管理相關(guān)的重要的管理、咨詢或鑒證等職位，同時期望自己的IT管理經(jīng)驗和知識被認(rèn)可的專業(yè)人員而設(shè)計的。

的制定主要關(guān)注IT治理的五個領(lǐng)域——戰(zhàn)略聯(lián)盟，資源管理，風(fēng)險管理，績效衡量和價值交付，此外還關(guān)注支持IT管理的框架結(jié)構(gòu)（例如，COBIT和ITIL）。

認(rèn)證申請人必須有五年以上從事企業(yè)信息技術(shù)管理的經(jīng)驗，而且需要通過CGEIT考試。首次CGEIT考試在2008年12月13日進行。同時推出的豁免計劃，使IT管理領(lǐng)域的資深人士不用參加考試就可以申請認(rèn)證?？梢灶A(yù)見該認(rèn)證的出現(xiàn)，將為IT治理的持續(xù)發(fā)展提供專業(yè)的人才。

6、《中央企業(yè)信息化水平評價暫行辦法》發(fā)布

08年7月4日，國務(wù)院國資委為加快推進中央企業(yè)信息化工作，提高信息化水平，根據(jù)國資委《關(guān)于加強中央企業(yè)信息化工作指導(dǎo)意見》（國資發(fā)〔2007〕8號），特制定《中央企業(yè)信息化水平評價暫行辦法》，IT 治理作為其中的一個評分項，包括6個具體指標(biāo)，該指標(biāo)的設(shè)立，將進一步引導(dǎo)企業(yè)實施IT治理，建立良好的生態(tài)環(huán)境，促進企業(yè)信息化發(fā)展更加科學(xué)。

7、ITGRC 開始進入了IT管理層的視野

08年5月，IT Policy Compliance Group 2008 發(fā)布年度研究報告「IT 治理、風(fēng)險與法規(guī)遵循：增加企業(yè)獲益和降低財務(wù)風(fēng)險」（IT Governance, Risk and Compliance – Improving business results and mitigating financial risk）。指出IT 管理、風(fēng)險與規(guī)范遵循 （IT GRC） 可用來在企業(yè)獲益和風(fēng)險之間取得適當(dāng)平衡，IT GRC 實務(wù)的成熟度與功能對組織的財務(wù)有直接的影響，這份報告匯集來自 2,600 多家全球企業(yè)意見的這份報告，對增進數(shù)據(jù)保護、法規(guī)遵循及 IT 服務(wù)水平彈性會對企業(yè)獲益有何影響進行了評估，范圍包括客戶滿意度、客戶維持率、收益、費用及利潤。

如今GRC有多熱，看看各咨詢公司的報告就一目了然。Gartner2008年初發(fā)布的一份報告顯示，在其調(diào)查的美國用戶中，75%的企業(yè)表示對GRC系統(tǒng)有需求，為了凸顯GRC的火熱程度，Gartner甚至將這份報告直接命名為IT風(fēng)險管理年（2008 - The Year of IT Risk Management）。然后受全球金融危機等諸多因素的影響2008年的GRC市場不像預(yù)期的那樣火爆，中國由于GRC的理念還未得到全面的重視和認(rèn)可，所以，市場相對較冷，預(yù)計2009年將是ITGRC 整合框架構(gòu)建受到全面重視的一年。

8、新的控制框架CobITIL出現(xiàn)

目前，隨著外部組織的監(jiān)管日益嚴(yán)格，很多組織對CobiT 和ITIL 的整合實施提出了新的需求，用ITIL 模塊來豐富CobiT 的交付與支持域，建立以不變應(yīng)萬變的風(fēng)險管理框架。目前，國際上已經(jīng)開始出現(xiàn)一些聲音——CobITIL，ITGov 中國IT 治理研究中心作為國內(nèi)CobiT 和ITIL 的專業(yè)研究機構(gòu)，已經(jīng)與國際接軌同步開展了相關(guān)研究工作。

9、IT 風(fēng)險管理開始重新思考

08年由次貸引發(fā)的金融危機使得傳統(tǒng)的風(fēng)險理論面臨巨大的挑戰(zhàn)，“主觀建構(gòu)”理論再次受到關(guān)注，勢必對未來風(fēng)險管理的理論與實務(wù)產(chǎn)生深遠影響。

“主觀建構(gòu)”理論認(rèn)為現(xiàn)代社會使得“人”已經(jīng)成為風(fēng)險的重要因素，并改變傳統(tǒng)的“客觀性”。它強調(diào)風(fēng)險是由人建構(gòu)的，風(fēng)險及其存在依賴人的認(rèn)識、態(tài)度、行為、社會環(huán)境、文化倫理等，IT風(fēng)險也不例外。如何從人和利益相關(guān)者的角度識別風(fēng)險、分析風(fēng)險、動因分析、選擇相應(yīng)的控制措施，將是需要我們IT 管理人員重新思考的問題。ITGov 中國IT 治理研究中心已經(jīng)開展了這方面的研究。2009年我們的成果將及時向社會公布。

10、內(nèi)部審計具體準(zhǔn)則第28 號—信息系統(tǒng)審計正式出臺

信息系統(tǒng)審計作為一種新的審計類型，近年來逐漸升溫，然而傳統(tǒng)業(yè)務(wù)審計人員大都缺乏應(yīng)有的信息系統(tǒng)知識和相應(yīng)的審計經(jīng)驗，因此審計人員在審計判斷中缺乏標(biāo)準(zhǔn)依據(jù)。

08年中國內(nèi)部審計協(xié)會正式發(fā)布《內(nèi)部審計具體準(zhǔn)則第28 號—信息系統(tǒng)審計》，此準(zhǔn)則的出臺，使IT審計師在審計判斷中具備了標(biāo)準(zhǔn)依據(jù)，同時，構(gòu)建了審計師與被審計單位進行溝通的基礎(chǔ)。

從2008年發(fā)展的情況看，2009年依然是一個充滿變數(shù)的一年，金融海嘯帶來的危機將會逐漸顯現(xiàn)，IT治理與IT風(fēng)險管理如何發(fā)展，還需要各位行業(yè)朋友共同努力，變風(fēng)險為機會，促進IT治理與IT 風(fēng)險管理行業(yè)的可持續(xù)發(fā)展。（來自互聯(lián)網(wǎng)）