7、IT治理与风险管理的关键要点解析

IT治理与风险管理的关键要点解析

1. 职责分离的概念与重要性

信息系统常常处理大量有价值或敏感的信息。为确保个人不具备独自实施潜在有害行为的足够权限，IT组织需采取相应措施。职责分离（SOD），也称为职责分割，能防止个人拥有可能导致欺诈、敏感数据操纵或泄露等未经授权活动的过度权限。

在组织的会计部门，职责分离的概念早已确立。例如，不同的个人或团队分别负责供应商创建、付款申请和支票打印。由于会计人员经常处理支票和货币，会计部门的职责分离控制原则和实践已成为标准。相比之下，IT部门在这方面稍显滞后，因为IT职能较少直接涉及货币活动（银行业等特定行业除外）。不过，20世纪80年代和90年代涉及财务记录非法操纵的金融丑闻，让人们充分认识到在IT层面进行全面、正式职责分离的必要性。

职责分离的基本规则是，不允许单个个人执行高价值、高敏感性或高风险的操作，这些操作必须由两个或更多方共同完成。

2. 职责分离控制措施

为管理职责分离事宜，应实施预防性和检测性控制措施。在大多数组织中，这些控制措施通常是手动的，特别是在处理不同应用程序之间不希望出现的访问组合时。不过，在某些与交易相关的情况下，控制措施可以自动化，但可能仍需要他人干预。以下是一些职责分离控制的示例：
- 交易授权 ：信息系统可进行编程或配置，要求两人或更多人批准某些交易。在零售企业，大额交易或退款通常需要经理批准。在IT应用中，符合特定标准（如超出正常接受范围或条件）的交易可能需要经理批准才能继续进行。
- 高价值资产的分割保管 ：可通过各种分割保管方式保护高重要性或高价值的资产。例如，保护