|
BY[加拿大特许会计师协会]
目 录
前言
战略问题:
I 战略和规划
II 技术趋势
III 绩效
IV 人员
内部控制问题
ⅴ管理
风险因素
Ⅵ 风险和安全
Ⅶ个人信息的隐私性
Ⅷ 电子商务
Ⅹ法律问题
反馈跟踪
结论:
Ⅰ附件------问题总结
前言
加拿大注册会计师协会所属的IT 咨询委员会编辑了这本手册以指导董事会的成员来评估他们任职期间可
能发生的有关IT 方面的问题。这份手册也可供其它治理部门的成员,尤其是审计委员会成员和像IT 治理
委员会成员这样的战略部门使用。
董事会在IT 方面的职责:
董事会负责管控组织的所有的战略方向和管理任务。作为所承担的职责的一部分,董事会应适时监控在管
理和控制当中出现的问题,并将由于错误和过失而引起的损失控制在可接受的范围之内。董事会的成员必
须监控系统并提出正确的问题以保证系统能够正确地运作。
很多年以来,IT 技术在组织战略和管理系统的运行当中扮演越来越重要的作用。现在IT 已经成为这些系
统不可或缺的一部分。但是对于通常只是“通才”的董事会成员来说,完全掌握日新月异的IT 技术变化
情况是一件很困难的事情,更何况正确的提出问题来确保IT 问题得到恰当解决呢?
以上关于董事会成员的职责的论述选自《不仅仅为了遵守法规:管理文化的建立》,该文由加拿大注册会
计师协会,加拿大证券交易中心和多伦多证券交易中心联合联合组建的组织管理委员会2001 年4 月编写
的报告。
2
这份报告指出董事会在IT 方面的职责应包含对组织以下方面的监控:
战略规划流程,战略规划的批准通过和对该计划执行情况的监控。λ
保证内部控制和管理信息系统完整性的措施和流程(多伦多证券交易中心联合指导书#1 也指出董事会应
对内部控制和管理信息系统的完整性承担责任)。λ
λ 措施和流程以:(1)确定业务风险和公司可接受的风险水平和(2)保证系统和实施与监控风险相一致
以上所述表明董事会职责的重要部分是保证内部控制和管理信息系统的一体化。这个职责是和风险确定和
评估紧密相连的,因为内部控制系统是建立在风险上的。战略规划流程,包括绩效监控,通常被认为是控
制系统的重要部分。
这本书将告诉董事会的成员应如何提问以完成上述职责。根据职责的范畴将问题进行如下分类:战略规划,
内部控制和风险。
战略规划:
I 战略和规划:
战略的重要组成部分是战略规划流程。企业应为信息系统制定相应的战略规划,并且这个规划要与整体的
公司战略规划运作相一致。 这个过程可以通过信息系统战略规划和企业范围内的战略规划流程的一体化
来完成,或作为分离开的与企业规划紧密相连的操作。信息系统战略规划应包括企业战略规划的所有基本
元素,包括高层管理的参与和支持,关键员工的参与和实施计划,实施计划通常体现在战术规划当中。战
术规划通常从战略规划中获得,并包括周期性的监控、校正、更新的预算,资源,技术水平,项目水平信
息,主要责任等。
关于战略规划应提出的主要问题为
1. 管理层是否制定战略信息系统计划并进行相应的监控、改进和更新?这个计划是否被纳入年度预算,
年度和长期预算的基础并把IT 项目列为工作重点。
II 技术趋势
对于一个组织维护适当的信息系统,一个重要的方面是与当前的技术趋势保持同步。尤其是在商业伙伴,
顾客和供货商不断一体化的现代电子商务的大环境下。如果一个组织仍然保留落后的或陈旧的系统,将很
难与更加先进的系统整合,并导致机会的丧失。所以,跟踪技术的发展并定期优化硬件和软件将显得尤为
重要。这种多年不断的有效支出的积累将比对老旧设备进行整体间断的大规模的淘汰更新更加节省开支。
应该提出的问题是:
2. 是否建立起相应的流程以保证组织对技术趋势进行定期的评估并对此合理定位以进行更好的改造利
用?
III 绩效
绩效信息是任何战略规划实施的关键,因为它将指出需要改进的或需要改变以提高效率和成本的地方。进
行信息采集的监控活动包括相应绩效参数的提取和向高级管理人员进行有关信息的汇报。
3
关于组织的工作状况,需要提出的两个问题是:
3.IT 部门的关键绩效指标和动因是否确定?这些指标和动因是否得到随时监控并且是否和行业标准相一
致?
4.组织如何管理它和第三方服务提供者的关系?
IV 人员
在信息时代招募和留住人才是一个不断深化的挑战。人才是IT 系统有效运转的关键。这样的雇员必须有
才能,对变化的适应性强,具有公司需要的特殊技能并且具有管理和控制流程的知识。为寻找并吸引住这
样的雇员,公司必须具有与人员流动控制,培训和职业发展相匹配的人力发展计划。董事会应该对该计划
的制定和有效实施尽最大的责任。
两个关键问题如下:
5.管理层是否有相适应的程序以解决IT 雇员的流动,培训和项目分配?
6.管理层如何确定所需要的技术专长并如何吸引和留住顶级人才?
内部控制
ⅴ治理
根据组织性质,组织管理结构,组织文化和IT 对于战略目标达成的相对重要程度等因素,可以通过多种
方式来组织IT 治理。
一些重要的原则对于大多数的组织都具有普遍适用性。IT 的治理必须和组织的最高管理层直接相联。随着
IT 日益增长的重要性,更多的业务被分配给IT 经理,IT 经理也将直接地向CEO,审计委员会和董事会进行
工作汇报。另外, 负责IT 的高级人员也会承担部分更加繁重的副总裁级别的任务。以往经常发生的,让
财务总监来负责IT 事务并不是一个明智的选择,因为这种安排会将IT 不恰当地置于对财务应用的过多关
注而丧失了对更多其它战略性职能的关注。
确保IT 有效工作的另外的一个原则是需要IT 人员参与战略制定和政策执行。这就意味着他们必须在战略
规划过程中扮演更加重要的和更有意义的角色。 为使政策执行更加有效,他们必须了解政策并执行这些
政策。良好的效果可通过将他们融入战略规划中而得以实现。但是, 明确清晰地进行政策方面的信息交
流仍然是他们得以有效工作的最基本的和最重要的条件。
董事会的一名成员应负责和高级IT 人员的工作联络和协调,使IT 人员定期获得关于战略,政策和绩效的
信息。
为了实现IT 的管理要求,董事会必须对以下方面进行提问:
7. 董事会是否考虑建立IT 分委会或安排一名董事会成员对组织在IT 技术方面的投资和IT 技术的使用
进行负责?
8.在管理层中谁对IT 治理负责?此人是否具有足够级别的管理职务?
9.管理层采取什么样的措施以保证雇员了解并严格遵守公司的信息和安全政策?
4
风险
Ⅵ 风险和安全
风险和安全是相互关联的问题。 在IT 领域内,风险是错误或舞弊在系统内发生的可能性。一个组织必须
首先分析对系统的威胁并确定业已存在的风险等级。 在大多数情况下,不可能排除所有风险。但是风险
可被防范并被降低到可以被接受的程度。 在这种情况下,成本效益分析必要的。风险水平确定损失的可
能性;相应的安全水平确定需要在安全方面进行投资的相应数额。
管理层必须确定在特定的领域可接受的风险等级,然后根据这个等级相应地调整为降低IT 风险所需的安
全措施的投入成本。 最终所采用的安全措施的配置方案应取决于成本分析,包括考虑系统失败对组织的
整体影响。
这个过程意味着需要对系统的潜在威胁,风险分析,安全监控和执行进行明确的规划。 有时,组织制定
分割独立的战略安全规划。这些战略安全规划必须与组织的整体规划以及IT 规划相一致。这是一项非常
行之有效的工作。
对于任何类似过程,最重要的部分是制定有效的监控结构以保证定期对风险分析进行检验和对安全措施的
充分有效性进行考核。 这样的监控系统应成为组织正式架构的一部分,并通过固定的汇报途径传达给IT
的负责人员。
关于风险和安全应提出以下三个问题:
10.管理层是否有对组织的IT 应用,包括内部系统和流程,外包服务和第三方的沟通以及其他服务进行
计划地、周期性地评估?如果有,评估的结果是否准确?是否符合要求?
11.管理层如何保证数据的完整性,包括相关性,完全性,准确性和适时性,以及在组织内部是否得到合
理应用?
12.组织是否定期安排对系统的检查和审计以保证风险被降低到可接受范围,控制措施是否到位以支持主
要业务流程?
Ⅶ个人信息的隐私性
信息的隐私性是的一个重要的快速变化的商业特点,它需要长期的关注。新的联邦和州立法案在数据的所
有权和拥有个人信息的组织必须保护个人隐私方面建立了新的更加严格的制度。 这些立法和在世界其他
地方的相应立法对改变信息隐私保护的环境很有帮助。在这种环境下,公司必须承担更大的责任。
根据这些新的责任,很多组织制定了新的政策来处理隐私问题。 一些组织设置了处理隐私方面的专门行
政人员来对个人隐私问题以及立法方面的问题进行研究和互动,以便跟踪这些政策,并成为保护个人隐私
方面的内部人员的咨询顾问。另外, 这些人员也成为管理层最重要的成员,他们将保证在新的提案中隐
私问题得到相应的考虑。
需要提出的问题:
13.组织是否安排具体人员负责隐私政策,隐私立法和守法方面的工作?
14.组织是否明确各种保护个人信息的立法和规定的要求,并且制定政策和流程以监控遵守情况?
5
Ⅷ 电子商务
一个组织进入电子商务活动不仅为给组织引进了新的IT 风险,并且增加了业已存在的风险。这些风险增
大的最大原因是互联网的应用。一些电子商务建立在外部网的基础上,这更加增大了风险,虽然在一般情
况下由于潜在的入侵者较低的数目而使风险等级降低。
通过互联网或经过广泛分布的私人网络侵入的威胁要求组织加强安全措施。这些安全措施包括防火墙的安
装和加强访问控制的相应水平而制定相关的政策。 风险的等级在特定的环境下需要重新检查和评估。风
险是受业务性质和形式,客户类型以及支付方式影响的。
两个关键的问题:
15.如果组织利用电子商务买卖商品或服务,有没有对电子商务活动的风险和控制进行特别的检查?
16.组织的电子商务是否对黑客和其他的外部进攻采取相应的保护措施?如果受到攻击,失去的是顾客的
满意还是公共形象的损失?
Ⅸ稳定性
大部分的业务在很大程度上依赖于他们的信息系统,并且当这些系统毁坏,生产效率会降低。因为部分或
全部的人员都会无法正常工作。确保系统在恢复工作和使系统在工作停顿后尽快恢复运行将显得格外重
要。稳定性要求不断完善正式恢复功能,并在常态下不断检验和维护。
像其他控制问题,风险的等级是和所应用的控制是相关的。举例来说,集中控制的系统同分散的系统相比
将曝露于更大的危险之下。后者将有更大的机会将风险分散在系统之内。在这种情况下,一些规划方案需
要能够利用这个系统的其他部件的功能对损毁部分进行补偿。作为评估一个系统风险等级的重要参数是组
织需要的修复时间。
在这种情况下,董事会需对以下问题提问:
17.组织是否采取了正式的保障稳定性的措施?该措施是否提供有效的控制对系统和数据的稳定性能和这
些措施相一致提供可靠保证?
18.组织是否明白服务中断将造成的损失?并且是否有和潜在的中断相一致的措施保障?是否有保证业务
连续的措施保障?如果有措施保证,是否定期进行检验和检验的结果是否能用来改善措施保障?
Ⅹ法律问题
与软件的许可证,特别是非法复制软件和在组织内部利用复制软件会产生许多法律问题。知识产权的诉讼
在法律诉讼中的比重不断增长。一些组织最终不得不支付巨额罚款。当这样的事情对组织造成巨大影响的
时候,董事会将承担巨大责任。
管理层应执行明确的计划以降低违反法律的风险。管理层的基调将起到非常重要作用。应向雇员加强抵制
非法使用软件和杜绝违反相关法律的理念灌输。许多公司通过每年进行软件审计,规定采购流程和定期检
验法律文件等措施以保证流程和法律义务相一致。
应提出的问题是:
6
19.管理层是否考虑并解决与软件,硬件,服务协议和版权相关的法律问题?
20.涉及许可证,协议和版权的措施是否已经程序化并且让全体员工知晓?
反馈跟踪
除上述所列问题之外,董事会也会向审计委员会提出一些其他方面的问题。完成的程度将因为公司的不同
而有很大差异。董事会可通过向审计委员会提问、讨论、反馈等将相关的工作责任转移给审计委员会。
对反馈进行跟踪十分重要。如果提出问题之后,得到的回答表明在流程实施中将有一些可预感到的缺陷,
董事会必须在下一次会议上进行跟踪以决定流程是否应被实施。如果审计委员会也在跟踪这个问题,董事
会的任务只是确定委员会是否具有正确的跟踪的流程并且不会引起其他新的问题。如果委员会没有进行上
述工作,董事会必须尽早对管理层提出跟踪要求。根据结果,进一步确认下一步的跟踪步骤。
结论:
对于很多组织来说,IT 已经变成非常普遍和复杂的运营系统。IT 系统的瘫痪可能导致整个运营系统的停
顿。所以,对IT 系统缺少足够的关注将会造成沉重的损失,有时会造成重大的商业损失、股票价格的下
跌和市场占有率的相应下降。在这种情况下,很显然,董事会应承担这些严重的责任。
所有的董事会成员都有责任对IT 系统的问题给与特别的关注。定期提出本书所列出的问题将帮助董事会
更好地履行他们的责任。
Ⅰ附件------问题总结
战略规划:
1. 管理层是否具有相应被监控和更新的战略信息系统配置计划。这个配置计划是否成为年季预算,年季
和长期预算的基础并把IT 项目列为工作重点?
Ⅱ技术趋势
2. 是否建立了相应的流程以保证组织考虑技术趋势,定期评估并考虑如何应变?
Ⅲ 工作表现
3.IT 部门的关键绩效指标和动因是否确定?这些指标和动因是否得到随时监控并且是否和行业标准相一
致?
4.组织如何管理它和第三方服务提供者的关系?
Ⅳ人员问题
5.管理层是否有相适应的流程以解决IT 雇员的流动,培训和项目分配?
6.管理层如何确定所需要的技术专长并如何吸引和留住顶级人才?
内部控制:
7
Ⅴ管理
7. 董事会是否考虑建立IT 分委会或安排一名董事会成员对组织在IT 技术方面的投资和IT 技术的使用
进行负责?
8.在管理层中谁对IT 治理负责?此人是否具有足够级别的管理职务?
9.管理层采取什么样的措施以保证雇员意识到并遵守公司的信息和安全政策?
风险
Ⅵ 风险和安全
10.管理层是否有计划周期性地对组织IT 的应用,包括内部系统和流程,外联服务和第三方的沟通和其
他服务,进行评估?如果有,评估的结果是准确的还是符合要求的?
11.管理层如何保证数据的完整性,包括相关性,完全性,准确性和适时性,以及在组织内部是否被合理
应用?
12.组织是否是否定期安排对系统的检查和审计以保证风险被限定和控制在支持业务主要流程的范围内?
Ⅶ个人信息的隐私性
13.组织是否安排人员负责隐私政策,隐私立法?
14.组织是否明确各种保护个人信息的立法和规定的要求,并且制定政策和流程以监控遵守情况?
Ⅷ 电子商务
15.如果组织利用电子商务买卖商品或服务,有没有对电子商务活动的风险和控制进行特别的检查?
16.组织的电子商务是否对黑客和其他的外部进攻采取相应的保护措施?如果受到攻击,失去的是顾客的
满意还是公共形象的损失?
Ⅸ 可用度
17.组织是否采取了正式的保障稳定性的措施?该措施是否提供有效的控制对系统和数据的稳定性能和这
些措施相一致提供可靠保证?
18.组织是否明白服务中断将造成的损失,并且是否有和潜在的中断相一致的措施保障?是否有保证业务
持续行的保障措施?如果有措施保证,是否定期进行检验和检验的结果是否能用来改善措施保障?
Ⅹ法律问题
19.管理层是否考虑并解决软件,硬件,服务协议和版权法相关的法律问题?
20.涉及许可证,协议和版权的措施是否已经程序化并且让全体员工知晓? |
|