20个董事会需要关心的IT问题.doc

资源描述

1、20个董事会需要关心的IT问题加拿大特许会计师协会目录前言战略问题： I战略和规划 II技术趋势 III绩效 IV人员内部控制问题管理风险因素风险和安全个人信息的隐私性电子商务法律问题反馈跟踪结论：附件-问题总结前言加拿大注册会计师协会所属的IT咨询委员会编辑了这本手册以指导董事会的成员来评估他们任职期间可能发生的有关IT方面的问题。这份手册也可供其它治理部门的成员，尤其是审计委员会成员和像IT治理委员会成员这样的战略部门使用。董事会在IT方面的职责：董事会负责管控组织的所有的战略方向和管理任务。作为所承担的职责的一部分，董事会应适时监控在管理和控制当中出

2、现的问题，并将由于错误和过失而引起的损失控制在可接受的范围之内。董事会的成员必须监控系统并提出正确的问题以保证系统能够正确地运作。很多年以来，IT技术在组织战略和管理系统的运行当中扮演越来越重要的作用。现在IT已经成为这些系统不可或缺的一部分。但是对于通常只是“通才”的董事会成员来说，完全掌握日新月异的IT技术变化情况是一件很困难的事情，更何况正确的提出问题来确保IT问题得到恰当解决呢? 以上关于董事会成员的职责的论述选自不仅仅为了遵守法规：管理文化的建立，该文由加拿大注册会计师协会，加拿大证券交易中心和多伦多证券交易中心联合联合组建的组织管理委员会2001年4月编写的报告。这份报告指出董

3、事会在IT方面的职责应包含对组织以下方面的监控：战略规划流程，战略规划的批准通过和对该计划执行情况的监控。l 保证内部控制和管理信息系统完整性的措施和流程（多伦多证券交易中心联合指导书#1也指出董事会应对内部控制和管理信息系统的完整性承担责任）。l l 措施和流程以：（1）确定业务风险和公司可接受的风险水平和（2）保证系统和实施与监控风险相一致以上所述表明董事会职责的重要部分是保证内部控制和管理信息系统的一体化。这个职责是和风险确定和评估紧密相连的，因为内部控制系统是建立在风险上的。战略规划流程，包括绩效监控，通常被认为是控制系统的重要部分。这本书将告诉董事会的成员应如何提问以完成上述职

4、责。根据职责的范畴将问题进行如下分类：战略规划，内部控制和风险。战略规划： I战略和规划：战略的重要组成部分是战略规划流程。企业应为信息系统制定相应的战略规划，并且这个规划要与整体的公司战略规划运作相一致。这个过程可以通过信息系统战略规划和企业范围内的战略规划流程的一体化来完成，或作为分离开的与企业规划紧密相连的操作。信息系统战略规划应包括企业战略规划的所有基本元素，包括高层管理的参与和支持，关键员工的参与和实施计划，实施计划通常体现在战术规划当中。战术规划通常从战略规划中获得，并包括周期性的监控、校正、更新的预算，资源，技术水平，项目水平信息，主要责任等。关于战略规划应提出的主要问题

5、为 1 管理层是否制定战略信息系统计划并进行相应的监控、改进和更新？这个计划是否被纳入年度预算，年度和长期预算的基础并把IT项目列为工作重点。 II技术趋势对于一个组织维护适当的信息系统，一个重要的方面是与当前的技术趋势保持同步。尤其是在商业伙伴，顾客和供货商不断一体化的现代电子商务的大环境下。如果一个组织仍然保留落后的或陈旧的系统，将很难与更加先进的系统整合，并导致机会的丧失。所以，跟踪技术的发展并定期优化硬件和软件将显得尤为重要。这种多年不断的有效支出的积累将比对老旧设备进行整体间断的大规模的淘汰更新更加节省开支。应该提出的问题是： 2 是否建立起相应的流程以保证组织对技术趋势进行定期

6、的评估并对此合理定位以进行更好的改造利用？ III绩效绩效信息是任何战略规划实施的关键，因为它将指出需要改进的或需要改变以提高效率和成本的地方。进行信息采集的监控活动包括相应绩效参数的提取和向高级管理人员进行有关信息的汇报。关于组织的工作状况，需要提出的两个问题是： 3IT部门的关键绩效指标和动因是否确定？这些指标和动因是否得到随时监控并且是否和行业标准相一致？ 4组织如何管理它和第三方服务提供者的关系？ IV人员在信息时代招募和留住人才是一个不断深化的挑战。人才是IT系统有效运转的关键。这样的雇员必须有才能，对变化的适应性强，具有公司需要的特殊技能并且具有管理和控制流程的知识。为寻找并

7、吸引住这样的雇员，公司必须具有与人员流动控制，培训和职业发展相匹配的人力发展计划。董事会应该对该计划的制定和有效实施尽最大的责任。两个关键问题如下: 5.管理层是否有相适应的程序以解决IT雇员的流动，培训和项目分配？ 6.管理层如何确定所需要的技术专长并如何吸引和留住顶级人才？内部控制治理根据组织性质，组织管理结构，组织文化和IT对于战略目标达成的相对重要程度等因素，可以通过多种方式来组织IT治理。一些重要的原则对于大多数的组织都具有普遍适用性。IT的治理必须和组织的最高管理层直接相联。随着IT日益增长的重要性，更多的业务被分配给IT经理，IT经理也将直接地向CEO,审计委员会和董事

8、会进行工作汇报。另外，负责IT的高级人员也会承担部分更加繁重的副总裁级别的任务。以往经常发生的，让财务总监来负责IT事务并不是一个明智的选择，因为这种安排会将IT不恰当地置于对财务应用的过多关注而丧失了对更多其它战略性职能的关注。确保IT有效工作的另外的一个原则是需要IT人员参与战略制定和政策执行。这就意味着他们必须在战略规划过程中扮演更加重要的和更有意义的角色。为使政策执行更加有效，他们必须了解政策并执行这些政策。良好的效果可通过将他们融入战略规划中而得以实现。但是，明确清晰地进行政策方面的信息交流仍然是他们得以有效工作的最基本的和最重要的条件。董事会的一名成员应负责和高级IT人员

9、的工作联络和协调，使IT人员定期获得关于战略，政策和绩效的信息。为了实现IT的管理要求，董事会必须对以下方面进行提问： 7 董事会是否考虑建立IT分委会或安排一名董事会成员对组织在IT技术方面的投资和IT技术的使用进行负责？ 8在管理层中谁对IT治理负责？此人是否具有足够级别的管理职务？ 9管理层采取什么样的措施以保证雇员了解并严格遵守公司的信息和安全政策？风险风险和安全风险和安全是相互关联的问题。在IT领域内，风险是错误或舞弊在系统内发生的可能性。一个组织必须首先分析对系统的威胁并确定业已存在的风险等级。在大多数情况下，不可能排除所有风险。但是风险可被防范并被降低到可以被接受的程

10、度。在这种情况下，成本效益分析必要的。风险水平确定损失的可能性；相应的安全水平确定需要在安全方面进行投资的相应数额。管理层必须确定在特定的领域可接受的风险等级，然后根据这个等级相应地调整为降低IT风险所需的安全措施的投入成本。最终所采用的安全措施的配置方案应取决于成本分析，包括考虑系统失败对组织的整体影响。这个过程意味着需要对系统的潜在威胁，风险分析，安全监控和执行进行明确的规划。有时，组织制定分割独立的战略安全规划。这些战略安全规划必须与组织的整体规划以及IT规划相一致。这是一项非常行之有效的工作。对于任何类似过程，最重要的部分是制定有效的监控结构以保证定期对风险分析进行检验和对

11、安全措施的充分有效性进行考核。这样的监控系统应成为组织正式架构的一部分，并通过固定的汇报途径传达给IT的负责人员。关于风险和安全应提出以下三个问题： 10管理层是否有对组织的IT应用，包括内部系统和流程，外包服务和第三方的沟通以及其他服务进行计划地、周期性地评估？如果有，评估的结果是否准确？是否符合要求？ 11管理层如何保证数据的完整性，包括相关性，完全性，准确性和适时性，以及在组织内部是否得到合理应用？ 12组织是否定期安排对系统的检查和审计以保证风险被降低到可接受范围，控制措施是否到位以支持主要业务流程？个人信息的隐私性信息的隐私性是的一个重要的快速变化的商业特点，它需要长期的关注

12、。新的联邦和州立法案在数据的所有权和拥有个人信息的组织必须保护个人隐私方面建立了新的更加严格的制度。这些立法和在世界其他地方的相应立法对改变信息隐私保护的环境很有帮助。在这种环境下，公司必须承担更大的责任。根据这些新的责任，很多组织制定了新的政策来处理隐私问题。一些组织设置了处理隐私方面的专门行政人员来对个人隐私问题以及立法方面的问题进行研究和互动，以便跟踪这些政策，并成为保护个人隐私方面的内部人员的咨询顾问。另外，这些人员也成为管理层最重要的成员，他们将保证在新的提案中隐私问题得到相应的考虑。需要提出的问题： 13组织是否安排具体人员负责隐私政策，隐私立法和守法方面的工作？ 14组

13、织是否明确各种保护个人信息的立法和规定的要求，并且制定政策和流程以监控遵守情况？电子商务一个组织进入电子商务活动不仅为给组织引进了新的IT风险，并且增加了业已存在的风险。这些风险增大的最大原因是互联网的应用。一些电子商务建立在外部网的基础上，这更加增大了风险，虽然在一般情况下由于潜在的入侵者较低的数目而使风险等级降低。通过互联网或经过广泛分布的私人网络侵入的威胁要求组织加强安全措施。这些安全措施包括防火墙的安装和加强访问控制的相应水平而制定相关的政策。风险的等级在特定的环境下需要重新检查和评估。风险是受业务性质和形式，客户类型以及支付方式影响的。两个关键的问题： 15如果组织利用电子

14、商务买卖商品或服务，有没有对电子商务活动的风险和控制进行特别的检查？ 16组织的电子商务是否对黑客和其他的外部进攻采取相应的保护措施？如果受到攻击，失去的是顾客的满意还是公共形象的损失？稳定性大部分的业务在很大程度上依赖于他们的信息系统，并且当这些系统毁坏，生产效率会降低。因为部分或全部的人员都会无法正常工作。确保系统在恢复工作和使系统在工作停顿后尽快恢复运行将显得格外重要。稳定性要求不断完善正式恢复功能，并在常态下不断检验和维护。像其他控制问题，风险的等级是和所应用的控制是相关的。举例来说，集中控制的系统同分散的系统相比将曝露于更大的危险之下。后者将有更大的机会将风险分散在系统之内。在

15、这种情况下，一些规划方案需要能够利用这个系统的其他部件的功能对损毁部分进行补偿。作为评估一个系统风险等级的重要参数是组织需要的修复时间。在这种情况下，董事会需对以下问题提问： 17组织是否采取了正式的保障稳定性的措施？该措施是否提供有效的控制对系统和数据的稳定性能和这些措施相一致提供可靠保证？ 18组织是否明白服务中断将造成的损失？并且是否有和潜在的中断相一致的措施保障？是否有保证业务连续的措施保障？如果有措施保证，是否定期进行检验和检验的结果是否能用来改善措施保障？法律问题与软件的许可证，特别是非法复制软件和在组织内部利用复制软件会产生许多法律问题。知识产权的诉讼在法律诉讼中的比重不断

16、增长。一些组织最终不得不支付巨额罚款。当这样的事情对组织造成巨大影响的时候，董事会将承担巨大责任。管理层应执行明确的计划以降低违反法律的风险。管理层的基调将起到非常重要作用。应向雇员加强抵制非法使用软件和杜绝违反相关法律的理念灌输。许多公司通过每年进行软件审计，规定采购流程和定期检验法律文件等措施以保证流程和法律义务相一致。应提出的问题是： 19管理层是否考虑并解决与软件，硬件，服务协议和版权相关的法律问题？ 20涉及许可证，协议和版权的措施是否已经程序化并且让全体员工知晓？反馈跟踪除上述所列问题之外，董事会也会向审计委员会提出一些其他方面的问题。完成的程度将因为公司的不同而有很大差异

17、。董事会可通过向审计委员会提问、讨论、反馈等将相关的工作责任转移给审计委员会。对反馈进行跟踪十分重要。如果提出问题之后，得到的回答表明在流程实施中将有一些可预感到的缺陷，董事会必须在下一次会议上进行跟踪以决定流程是否应被实施。如果审计委员会也在跟踪这个问题，董事会的任务只是确定委员会是否具有正确的跟踪的流程并且不会引起其他新的问题。如果委员会没有进行上述工作，董事会必须尽早对管理层提出跟踪要求。根据结果，进一步确认下一步的跟踪步骤。结论：对于很多组织来说，IT已经变成非常普遍和复杂的运营系统。IT系统的瘫痪可能导致整个运营系统的停顿。所以，对IT系统缺少足够的关注将会造成沉重的损失，有时

18、会造成重大的商业损失、股票价格的下跌和市场占有率的相应下降。在这种情况下，很显然，董事会应承担这些严重的责任。所有的董事会成员都有责任对IT系统的问题给与特别的关注。定期提出本书所列出的问题将帮助董事会更好地履行他们的责任。附件-问题总结战略规划： 1 管理层是否具有相应被监控和更新的战略信息系统配置计划。这个配置计划是否成为年季预算，年季和长期预算的基础并把IT项目列为工作重点？技术趋势 2 是否建立了相应的流程以保证组织考虑技术趋势，定期评估并考虑如何应变？工作表现 3IT部门的关键绩效指标和动因是否确定？这些指标和动因是否得到随时监控并且是否和行业标准相一致？ 4组织如何管理它

19、和第三方服务提供者的关系？人员问题 5.管理层是否有相适应的流程以解决IT雇员的流动，培训和项目分配？ 6.管理层如何确定所需要的技术专长并如何吸引和留住顶级人才？内部控制：管理 7 董事会是否考虑建立IT分委会或安排一名董事会成员对组织在IT技术方面的投资和IT技术的使用进行负责？ 8在管理层中谁对IT治理负责？此人是否具有足够级别的管理职务？ 9管理层采取什么样的措施以保证雇员意识到并遵守公司的信息和安全政策？风险风险和安全 10管理层是否有计划周期性地对组织IT的应用，包括内部系统和流程，外联服务和第三方的沟通和其他服务，进行评估？如果有，评估的结果是准确的还是符合要求的？ 1

20、1管理层如何保证数据的完整性，包括相关性，完全性，准确性和适时性，以及在组织内部是否被合理应用？ 12组织是否是否定期安排对系统的检查和审计以保证风险被限定和控制在支持业务主要流程的范围内？个人信息的隐私性 13组织是否安排人员负责隐私政策，隐私立法？ 14组织是否明确各种保护个人信息的立法和规定的要求，并且制定政策和流程以监控遵守情况？电子商务 15如果组织利用电子商务买卖商品或服务，有没有对电子商务活动的风险和控制进行特别的检查？ 16组织的电子商务是否对黑客和其他的外部进攻采取相应的保护措施？如果受到攻击，失去的是顾客的满意还是公共形象的损失？可用度 17组织是否采取了正式的保障稳定性的措施？该措施是否提供有效的控制对系统和数据的稳定性能和这些措施相一致提供可靠保证？ 18组织是否明白服务中断将造成的损失，并且是否有和潜在的中断相一致的措施保障？是否有保证业务持续行的保障措施？如果有措施保证，是否定期进行检验和检验的结果是否能用来改善措施保障？法律问题 19管理层是否考虑并解决软件，硬件，服务协议和版权法相关的法律问题？ 20涉及许可证，协议和版权的措施是否已经程序化并且让全体员工知晓？

展开阅读全文