IMA评估IT风险

　　管理会计师拥有充足的经验和能力,能够对监测和评估IT风险进行绩效评价。

　　大多数公司利用技术收集、处理、存储、访问和交流对战略决策有用的信息。保持信息安全是至关重要的,优步(Uber)、艾克飞(Equifax)、塔吉特(Target)、美国民主党全国代表大会(the Democratic National Convention)、摩根大通(JPMorgan Chase)等许多大公司的网络安全事件被广泛报道就证明了这一点。然而,网络安全只是诸多信息技术(IT)风险之一。其他重要的IT风险可能源于丧失利用技术获取竞争优势的机会、技术缺陷、内部控制缺失,以及雇员疏忽。

　　IT风险可能来自不同职能领域的各种内外部环节。IT风险中只有一小部分是由技术故障造成的。大多数信息系统漏洞来自整个公司范围内严密控制的活动中的忽视或疏忽,如未能防止未经授权就进入保密领域,或雇员将个人智能手机连接到公司的Wi-Fi网络中。像富国银行(Wells Fargo)的员工创建欺诈帐户这样的内控失败,就是一个IT的应用增加了业务和IT风险的案例。而达美航空(Delta Airlines)因亚特兰大火灾造成系统故障,取消了1,800多个航班,这是其他功能区域故障如何增加IT风险的例子。

　　通过适当的关注,管理层可以主动衡量IT风险,在实现IT提供的众多价值优势的同时降低其风险。

　　许多企业目前采用的两个风险评估框架是COSO(美国反虚假财务报告委员会下属的发起人委员会)的《内部控制——综合框架》(Internal

　　Control—Integrated Framework ),以及由ISACA(美国信息系统审计和控制协会制定的“信息和相关技术控制目标”(COBIT)框架。(参见下面的专栏“风险框架”。)虽然这两个框架都验证了我们的建议,即公司应该主动评估它们的IT风险,但他这两个框架都没有提供切实可行的方法。

　　我们建议,管理会计应师掌握必要的技能来实施并监控整个企业现有或新开发的IT风险评估,从而在辅助IT风险管理方面发挥重要作用。这一任务利用了管理会计师在绩效评估方面的专长,又同时绕过了公司可能使用的各种IT平台所需的特定知识。依据COSO框架的建议,通过管理细分后的价值链区域,可以实现公司运营的实体风险管理。下面,我们提供了与价值链主要活动和支持活动相关的IT风险评估基本表。

　　主要活动

　　主要的价值链活动包括内向物流、运营、外向物流、市场营销和销售以及服务。表1包含了这些领域绩效评估的目标和管理会计师可以实施的建议指标,以帮助评估这些领域的IT风险。

　　内向物流包括与接收、存储和分配操作输入有关的所有活动。这项活动的一个关键成功因素是公司与供应商的关系。在供应商管理的库存系统和/或电子数据交换 (electronic data interchange ,EDI) 等领域使用信息技术来与供应商进行沟通, 这就需要评估内部物流的IT 风险。管理层可能希望监控 IT在供应商关系管理和理解风险方向的有效性。

　　运营包括将投入转化为产出的活动。IT是标准化和自动化流程的重要推动者, 可以降低成本,提高效率。管理层可以通过衡量 IT 支出如何帮助实现企业和运营目标来获益。此外,寻求《萨班斯—奥克斯利法案》合规的管理层可以评估是否存在任何重大的内部控制缺陷, 以及控制缺陷对管理决策的影响。因此, 管理会计师应当了解内部控制的重要性, 并提供绩效措施来监控和使用生产计划、预算编制和预测有关的业务申请。

　　出厂物流包括订单处理、存储、运输、向客户分配产品或服务等活动。在出厂物流方面, 管理层一般都着眼于降低仓储和运输成本。与出境物流相关的两大风险是性能不佳和未经授权披露敏感数据。为了解决这两种风险, 管理会计师应该全面了解数据获取和存储的时间、地点和方式。这将为数据库查询提供适当的知识, 以获取决策需要的必要信息, 并保护敏感数据。

　　市场营销和销售与说服客户购买商品或服务以及从客户那里收取现金的流程相关联。公司面临的挑战是使用新兴技术, 如社交媒体、大数据、移动营销等, 以吸引潜在和现有的客户。因此, 管理层希望尽量减少对公司信息系统潜在威胁的影响和可能性,同时利用新兴技术吸引新老客户,管理会计师可以实施所建议的绩效衡量标准,以通知管理层IT在营销和销售方面的状态。

　　服务是与产品质保和售后服务相关的活动。服务包括提供客户支持、保修服务、响应客户查询和培训等活动。这些活动的目标是提升客户体验, 从而增加未来的销售额、提高客户满意度以及推荐。，的客户支持的能力取决于提供给客户的服务质量。许多公司正在引入在线账户管理、聊天服务以及访问客户账户的移动应用程序,以提高客户满意度。尽管这些服务可能会对客户体验产生积极影响,但通过未知网络连接的客户、安装未知的其他移动应用程序以及在设备上设置较低的安全级别会给公司网络、操作系统和数据库造成漏洞。

　　支持活动

　　价值链的支持活动包括公司基础架构、技术、采购和人力资源。表2包含了绩效衡量目标和这些领域的建议指标。

　　公司基础架构包括所有支持功能,如会计、法律(如合规)、行政管理和一般管理。这些相同的功能被COBIT被确定为IT推动者的“组织架构”,它们代表了公司的关键决策实体。当这些支持部门的经理积极考虑IT如何为公司增加价值时,公司可以获得竞争优势。但是,当管理人员无法有效地考虑所有风险因素时,支持部门的经理们单独考虑IT选用和IT风险的程度以及与其他管理者的沟通能够影响公司的IT风险。功能支持部门之间强大的沟通渠道以及公司管理层或董事会提供强有力监督承诺提高关键决策者的风险意识,形成更有效的政策和流程,将最终降低IT风险。一旦出现问题,强有力的沟通渠道也能够提高公司的快速恢复能力,并修改政策以避免将来出现的问题。

　　技术开发涉及通过有效利用技术来管理IT投资和提高效率。管理层可以跟踪当前项目的状态,以确定公司是否将IT与其业务战略结合起来。影响项目成功的一个重要因素是IT经理为满足业务需求与业务部门经理有效沟通IT目标的能力。建议的性能指标可以用来查找IT项目的当前状态,识别遇险项目,并查看该公司是否正在实现业务与IT的整合。

　　采购包括公司用于获取运营所需资源的流程。监测第三方IT供应商的表现是涉及采购的主要活动。由于对第三方的依赖性增加,公司不能忽视与供应商相关的主要活动风险。因此,，管理层应关注主要IT供应商相关的风险,以及这些风险对企业目标的影响。

　　人力资源包括招聘、培训、激励、奖惩和留住员工。管理层将担心IT专业人员的充分性,员工对IT风险的意识,以及IT风险问题培训的必要性。随着企业对信息资产的保护,对技术的依赖性日益增长,对信息系统的威胁也越来越大,这给企业带来了沉重的负担。技术的复杂性及其不断的变化不仅需要特定的技术知识,而且需要跟上这些变化的能力。即使在实施了，的安全技术之后,人为因素也使得信息系统容易受到网络钓鱼、垃圾邮件、欺骗、病毒等安全漏洞的攻击。员工应该接受关于电脑滥用技术的教育,以便他们意识到自己的行为可能会导致安全破坏活动的实现。

　　全公司层面的关注

　　随着对IT日益依赖,IT对日常运营的影响增加,IT风险管理的责任已经成为整个公司面临的一个问题,这不仅仅是IT人员的责任。管理会计师应该在设计、执行和监控绩效措施中利用他们的专业知识业,并报告IT风险。我们提供的建议措施应当是管理会计师所熟悉的,并且可以很容易地用来评估和监控整个公司的IT风险。我们要要强调的是,这并不是一个详尽的清单。正如COBIT所建议的那样,通过识别价值链活动中的风险问题,并提出一些绩效评估方法,从整体角度出发审视,但这些措施可能因公司的IT运用水平、管理层的风险承受能力和风险偏好而有所不同。鉴于管理会计师在衡量IT风险方面可能一开始并不乐观,该列表旨在考虑类似绩效指标如何扩展、修改,以捕捉技术性能各方面的信息,从而及时识别并定位IT风险领域。

　　Dutch Fayard,博士,美国田纳西大学查塔努加分校的会计学助理教授,也是IMA查塔努加分会的会员。

　　Nishani Edirisinghe Vincent,博士,美国田纳西大学查塔努加分校的会计学助理教授。