1.2 国内外研究现状

1.2.1 国外研究现状

管理信息化风险控制涉及的内容非常广泛，近几年，国内外对这些方面的研究越来越重视，特别是国外在这些方面的研究起步较早，且已经取得了丰硕的成果。总体上看，国外的IT风险控制正在纳入企业全面风险管理体系，并成为其中的一个交叉风险控制领域，管理信息化风险不再局限于常规的“操作风险”，它已成为企业的“经营风险”，未来企业的关注重点将逐渐扩展为战术层面、战略层面的风险，并把它们作为特定因素来管理，就笔者查阅的国外相关文献来看，国外研究现状可以从IT项目风险管理、IT服务及外包风险管理、IT信息安全管理、IT全面风险管理这四个方面来论述。

1.IT项目风险管理方面

近年来，国外关于IT项目风险方面的研究主要包括：Du，Keil，Mathiassen，Shen和Tiwana（2006）的研究，他们运用试验研究和假设验证的方法，对两组测试者（一组为102个具有高专业水平的IT项目管理专家，另一组为105个相对低专业水平的大学生）建立了一个风险识别模型，这个模型主要研究个人如何评估IT项目中的风险，以及什么影响了他们对于IT风险的认识。研究结果发现，对项目控制的意识状况会影响到个人对于项目中IT风险的认知。这可能向各组织表明，IT风险评估需要由组织内部的员工来执行，并且在IT项目评估中对他们进行适当控制，然后进行比较以期去除个人的风险认知偏见。[15]此外，Johnstone，Huff和Hope（2006）研发了一个模型，来研究IT项目中的风险问题，特别是与项目相关的争端解决过程，并运用案例分析法验证了该模型的有用性，证实了该模型在评估项目冲突中是有效的。[35]Kliem（2004）提出了一个基于项目目标的风险及目标指标体系。[36]

2.IT服务及外包风险管理方面

Gewald和Helbig（2006）研发了一种治理模型来降低外包风险，这个模型主要通过案例研究法总结而得出，它是建立在作为世界最大的外包服务商之一的公司所积累的丰富经验基础之上的，该模型由战略方向、治理原则和组织结构几部分组成。[18]Benvenuto和Brand（2005）识别了外包的驱动力，指出了风险分析过程，以及风险管理要素，并研发了一种通用的风险评估模型。[7]Bahli和Rivard（2005）对研发风险度量工具与外包IT运营相关的风险系数做出了贡献。他们研发出这些度量工具，并将这些度量工具运用于测试之前研究中已经识别出来的因素，以判断这些工具的可靠性，这些因素包括对IT外包风险有影响的交易风险、客户风险、供应商风险。最后论证了组织需要关注IT外包情形下的风险因素，以及项目风险评估能帮助决定执行哪一个外包项目。[5]

3.IT信息安全管理方面

近年来，IT信息安全风险集中了大量的研究，这些研究发现，对信息安全进行适当的管理对于组织来说是很重要的，并且，安全与业务连续性挂钩。这些研究同时还解释了为何信息安全过程不成功的原因，并实施了一些项目来评估组织IT安全过程的成熟度。

Ross（2006）探讨了信息安全与业务持续性管理之间的联系问题，发现安全与业务连续性挂钩，将业务持续性管理和安全作为风险管理范围内的两点，指出业务持续性管理是由物理事件导致的损失，而安全则是由逻辑事件导致的损失。并建议业务持续性计划应包括所有类型的中断而不仅仅只是灾难。[51]Pironti（2006）通过对148名CISM（注册信息安全管理师）的调查，提出了一个对信息安全进行有效治理的过程，从研究中得到了5个基本成果，支持了正确有效的信息安全治理对组织是重要的这一观点。[47]Chapin和Akridge（2005）提出了一个评价组织信息安全规划成熟度模型，将风险评估过程与安全联系起来。[11]

Van Solms（2005）探讨了信息安全操作管理和信息安全合规管理之间的联系，定义并识别了信息安全治理这两个不同维度的关键组成部分。提出信息安全治理是好的整个IT治理和公司治理的组成部分，建议组织应设立独立的信息安全合规管理部门。[60]Stewart（2004）突出了关于信息安全风险评估的复杂性，指出了关于安全从业者、公司及安全行业在风险管理方面的新的方向。[56]Von Solms，B.&Von Solms，R.（2004）探讨了实施一个成功信息安全计划的相关问题，识别了公司在实施信息安全计划时的10个错误，提出了一个评价公司安全计划的项目清单。[59]Wiederkehr（2003）提出了一个IT安全预警计划。[64]

4.IT全面风险管理方面

IT全面风险管理研究注重许多问题，如对风险处理初步措施的制定和对关键风险因素的识别，对于这些焦点领域的研究都有一些研究做出了重要贡献。Broadbent，Kitzis和Hunter（2004）阐述了CIO（Chief Information Officer，首席信息官）应负责的新风险：业务内在关联、合规风险、客户要求信息安全和IT失败成本，CIO需要建立能识别目标与威胁、计算相关风险及潜在损失的良好风险管理程序。他们的研究对于理解风险管理过程有着重要的贡献，此外，这项研究还发现了处理风险的四种方式，即降低，转移，接受和避免。[9]这些风险应对方法同样也构成了由COSO（2004）建立起来、世界范围内广泛接受的企业风险管理模型的一部分。

Young和Jordan（2002）提出了一种综合的风险管理方法，目标是确保风险管理经过从决策最底层到董事会高层的研究。他们通过项目失败的案例分析法及规范分析法提出了一个利益相关者的风险管理框架，整合了风险管理和IT治理，发展了组织内部从操作层到战略层的沟通治理框架，并将该框架应用于识别IT治理问题方面。[67]Levine（2004）研究了风险管理解决方案的驱动力，以及相关的技术问题，他得出一个结论称，随着公司董事意识到理解和降低IT风险是企业风险管理过程的重要一部分，风险管理的花费也随之增加。[38]

与前述Du，Keil，Mathiassen，Shen和Tiwana（2006）的研究一样，Hinz和Malinowski（2006）同样注重风险评估过程，他们通过与专家会谈的方法，研究了IT最终应用者存在的风险评估问题，并建立了一个模型，包含对个人网络问题并解决这一过程，将它作为风险评估过程的一部分。这两项研究都是关注个人在进行IT风险评估中的重要性的首批部分模型，它们给各组织关于如何进行IT风险评估，以及这些评估相关的潜在问题提供了一些思考。[20]

SAS Ltd.（2004）进行了一项国际范围内的调查，主要调查金融服务业的操作风险管理，发现20%的受访者没有操作风险规划，发现IT及系统失败是最大的操作风险源头，并识别了主要的IT风险因素。[53]Ataya（2003）对财富1000强公司中的50个高级IT执行官进行了访谈，探讨了新的IT投资决策对风险的影响，发现IT规划应考虑投资风险，进行企业风险评估。[3]Hadden，DeZoort和Hermanson（2003）对审计委员会的成员进行了一项调查，研究了谁在提出IT风险方面具有技术能力，谁会提出IT风险，以及这两者是否存在良好的匹配度。调查内容包括了34项特定的IT风险，研究结果建议审计委员会应参与IT风险的监督，审计委员会的委员具有对IT风险监督的职业判断能力，审计委员会的参与监督IT风险将减少他们对最高管理层识别IT风险的依赖度，提出了一个问题，即一些审计委员会是否对管理层关于IT风险的报告过于依赖？[19]IT治理研究所（2005）定义了信息风险管理，指出有效的IT风险治理应将风险区分为战略风险、规划风险、项目风险和操作风险几种，并提出了一个处理IT风险的计划。[33]

1.2.2 国内研究现状

1.IT项目风险管理方面

（1）一般IT项目风险管理。方德英（2003）构建了IT项目风险管理体系框架，以系统化的风险管理为思路提出了风险实体的概念，设计出了基于影响图（ID）的风险辨识方法，给出了目标导向的ID风险评估方法，将PERT技术、贝叶斯置信网络应用于风险评估中，探讨了控制风险后果的实物期权方法。[80]刘磊（2004）采用项目工作结构分解法与鱼刺图法对企业信息化项目的风险因素进行辨识，构建企业信息化项目风险评价的指标体系，并建立指标体系的模糊综合评价模型，并结合案例对该评估方法进行实证。[103]晁亮（2005）阐述了风险管理在项目管理中的重要性，分析了IT项目管理的特殊性，提出了由风险管理指南（G）、P/T过程模型（P）和风险状态图（S）组成的GPS风险管理框架，对基于此框架的计算机辅助风险管理信息系统的设计和体系结构作了探讨，并在管理实践中对此框架进行了案例检验。[73]唐爱国（2007）提出了基于贝叶斯网络的软件项目风险评估模型，分析了该模型的构建思路和原理，细化了模型中各个阶段的子模型结构，并对模型中的关键技术和难点，提出解决方案和具体实现方法。[113]吴兆明（2008）构建了IT企业项目管理成熟度评价模型，提出了基于模糊偏好关系群决策的指标筛选方法和基于模糊综合评判的项目管理成熟度评价方法。[117]

（2）ERP实施项目风险管理。甄阜铭（2007）以ERP系统实施项目风险管理为研究对象，指出ERP系统实施与企业能力成熟度有关，给出了ERP系统实施项目风险管理模型。[140]王慧瑜（2007）构建了ERP项目监理效果评价指标体系，利用模糊综合评价法对监理效果指标进行定量分析。对我国企业实施ERP项目时如何进行风险控制提供了一些建议和想法。[115]魏云霞（2008）将内部审计理论与项目风险管理理论结合起来，针对内部审计人员参与ERP项目实施风险管理的问题，构建了ERP项目风险审计流程，提出ERP关键活动风险审计思想，针对其中的三项关键活动，建立了相应的风险评价模型。[116]

2.IT治理理论与方法方面

（1）IT责任主体。孟佳佳（2007）围绕IT治理结构、治理过程中存在的多层委托代理关系进行研究，提出了协同共治的IT治理结构，并结合每一层委托代理关系的特点，深入探析IT治理中的风险分担和激励监督机制。并通过案例和最新的IT治理模式的分析，描述其具体结构、流程、机制和辅助工具。[107]韩姣杰（2008）根据集团信息化项目的特点，通过对其委托代理关系进行分析，得出集团信息化委托代理的分析框架。将集团信息化委托代理链定义为一个两层的结构，其中信息部处于整个委托代理链的中心。建立了基于委托代理的风险治理框架，并提出从代理人的选择、激励制度、风险分担制度和监督制度四个方面来控制风险。[90]

（2）IT治理模型。肖荣（2005）在企业信息化生命周期的基础上，提出了信息化风险治理的模型——层次风险支撑框架。在COBIT框架体系的基础上，构建了企业信息化风险过程风险控制模型，模型给出了详细的信息化过程控制评判指标体系，形成了完整的对信息化风险的分析和评价过程。[120]夏志杰（2008）分析了Val IT治理框架和IT组合管理模型，从前者得到模型构建的指导思想和原则，从后者得到实现这些思想和原则的手段。构建了基于组合权衡的IT项目投资决策模型，构建决策过程的决策权分配矩阵，用以了解和规范不同利益相关者参与决策的形式，给出模型实现的具体步骤和方法。[118]胡海清（2009）结合多元化集团型企业的信息化特征提出了信息化规划模型。根据赫塞-布兰查德的情景领导理论建立信息化不同发展阶段的IT负责人的领导模型。以诺兰模型为基础，建立了企业信息化需求变化阶段模型。[92]

3.在IT治理理论与方法的应用研究方面

（1）应用于电子政务。郭顺利（2003）分析了COBIT在国内电子政务系统建设中的应用，结合国内电子政务建设的现状，提出电子政务系统的管理控制和运行控制目标。[86]张希平（2008）将企业的IT治理理念引入电子政务治理中，提出了实现电子政务IT治理的三大策略：基于IT治理的电子政务流程再造、建立政府CIO制度、建立IT治理委员会和信息系统审计制度。[139]强益（2008）结合陕西“金财工程”现状和存在的问题，将IT治理战略引入“金财工程”建设中，从IT资源管理、IT服务管理，以及IT安全体系等方面提出了构建“金财工程”IT治理机制的基本策略及其实施方案。[110]

（2）应用于企业信息化建设与管理。余瑾（2006）以IT治理COBIT模型为研究工具，选取萨班斯法案404条款的要求作为企业IT控制有效性的衡量标准，并结合IBM WBCR所实现的控制功能，尝试对企业IT控制体系的有效性做出论证。[135]闪兰魁（2007）借鉴COBIT的IT治理思想和框架，分析了电力企业信息化建设的现状和存在的问题，并全面详尽地提出了电力企业信息化建设的IT治理对策。[112]高丽（2006）通过大样本实证研究发现我国企业的IT应用及决策水平不高，高层管理者治理意识不强，治理政策连续性不高是IT治理有效性提高的障碍。结构能力影响治理有效性的程度最大。由实证分析得出了影响企业IT治理有效性的因素。[81]许宝山（2007）通过问卷调查的方式，对集团企业的IT现状进行了分析，认为对IT决策权力归属和责任担当不清楚是导致企业信息化项目失败的重要因素。提出善治的IT治理是解决该问题的有效途径。提出了包括治理机制、治理过程与评价、治理绩效和IT服务提供与支持四个方面的集团企业IT治理框架。[127]刘鄂湘（2004）以基金公司信息化为主要脉络，运用风险控制理论，结合基金公司的运营管理，探讨了信息化管理与风险控制的关系，对基金公司加强信息化管理，完善风险控制提出了解决思路。[102]聂伟（2004）分析了中小企业信息化的现状及风险，采用定性分析与定量分析相结合的方法，得出中小企业信息化建设风险控制的策略。[109]

（3）应用于企业信息化建设与管理的案例研究。李冠民（2004）结合工业工程的理论和方法，对天津市自来水集团企业信息化现状的进行总体分析及和评价，并从规划框架、安全保障体系、综合管理体系、标准规范体系、保证措施和手段等方面，研究了企业信息化建设的管理方法。[99]屈玉阁（2005）研究了IT治理思想、管理控制理论、需求工程方法、软件工程方法、受控环境下的项目管理方法（PRINCE2）、戴明循环法（PDCA）、平衡计分卡在中国网通集团企业信息化管理控制体系中的应用。[111]杜军政（2007）从机制安排角度给出其IT治理的决策框架、责任框架，参考IT治理的标准，提出了适用于天宏焦化公司的IT治理流程和标准，并建立了信息化绩效评价体系。通过案例探索了我国国有企业成功实施IT治理的方法和途径。[79]胡勇（2008）借助COBIT等IT治理理论和框架对中国人民财产保险股份有限公司的IT现状进行了案例分析，发现了缺乏对IT的绩效管理、管理的制度基础和控制手段薄弱，执行力不强、IT安全治理和风险管理缺位这三个主要问题。[93]

4.IT风险管理方法方面

（1）IT相关风险评估方法。肖龙（2006）将信息系统划分为九个风险区域，为信息系统建立了一个普遍适用的系统资源数据库，为将风险分析的一般方法应用到信息系统的安全分析中建立系统风险评估体系提供了参考。[119]胡勇（2007）提出了改进的风险评估要素关系模型，将风险评估涉及的要素都包含其中。基于该模型提出了风险评估流程，概括了风险评估的完整过程。在风险的评估量化上，提出主客观相结合的多种评估方法。[94]李松林（2007）研究了模糊数学方法和层次分析方法在财务公司信息系统风险评估中的应用，提出了基于改进威胁树的评估方法。[100]谷永浩（2007）提出信息系统风险管理方法TPISRM，提出基于贝叶斯信息网络的系统风险管理预算模型BBSMBM，采用了模糊多属性安全评估方法对系统遭受的风险进行排序，提出一种权重综合算法，提出一种基于因果关系图和成本效益法相结合的自动事件响应方法。[84]陈天平，郑连清，张新源（2008）设计了信息系统的HHM（等级全息建模）框架，并将其应用到信息采集和风险识别过程，改进了风险识别的完备性，提高了风险评估的准确性。[75]周英（2008）对信息系统安全风险评估中存在的主要问题进行了研究，将层次分析法应用到风险评估中，提出了改进方法；对模糊群决策进行研究，进行模糊综合评价，最后进行综合排序，得出最优方案。[147]曾宇洁（2008）研究了粗糙集理论在信息系统风险评估中的应用，搭建了基于粗糙集数据分析的信息系统风险评估决策支持系统，从历史评估数据中挖掘出具有一定可信度和覆盖率的风险规则，辅助评估人员做出决策。[136]

（2）IT风险及风险管理有效性测量方法。刘勇（2007）将Zachman框架应用于IT风险管理，提出了IT风险管理的Zachman框架。给出了能够弥补缺陷的实施IT风险管理的组织结构和改进的风险管理流程。基于Zachman框架，利用风险度量技术VaR法与损失分布法，结合IT风险管理中的各风险要素，给出了IT风险预期损失的计算，从而得到IT风险量化度量模型。[105]刘鹏东（2007）将模糊积分引入IT治理有效性测度与评价体系，设计了企业IT治理有效性测度与评价调查问卷，构建了企业技术IT治理测度与评价指标体系。[104]张凌欣、胡克瑾（2008）在COBIT的基础上，构建了定量化的成熟度模型，以尽量减少主观性，然后围绕这一模型，开发了相应的汇总分析和回溯分析技术，并用计算机模拟案例说明其可操作性。[137]

1.2.3 对国内外相关研究现状的评价

1.对国外相关研究现状的评价

国外在IT相关风险管理焦点领域起步较早，而且其研究势头在近5年里增长较快，并且比其他焦点领域，如IT随业务的战略调整、IT价值传递、IT资源管理研究、IT系统的业绩评价方面要深得多，宽广得多，帮助了各组织的内部加深对IT风险的理解。[10]然而，这一研究领域的重点一直是与IT风险因素的概念、思维和模型，此领域模型注重识别风险，风险管理，以及风险评估或度量过程。关于识别风险的研究主要集中于IT项目、IT外包和信息安全风险。IT风险管理研究仍在发展，而至今为止只有部分重要问题得以解决。这个领域的模型仍在不断改进，如同风险评估一样，对IT风险管理通常被视为企业风险管理过程的一部分，因此，这些内容同样也被COSO（美国反欺诈财务报告全国委员会的发起组织委员会）框架在内的诸多模型的研究包括进来了。

2.对国内相关研究现状的评价

国内相关研究主要集中在近几年，这是国内经济发展和企业信息化建设发展与深入对IT相关风险控制要求日益增强的体现，从总体上来说，以对国外IT相关风险控制理论和方法、工具的应用研究为主，应用研究中的案例研究又占了很大比重，应用分析使用的工具以COBIT最多；在IT相关风险控制的方法研究方面，信息安全评估方法、项目风险控制方法占了大多数，引入了现代数学、计算机软件技术的一些最新成果；在IT相关风险控制的理论研究方面，主要集中在对IT相关风险控制的责任主体和治理模型的研究。

此外，与国外的研究相比，从总体上说，我国在这些方面的研究起步较晚，相关研究有待进一步加强，迄今为止，我国学者大多侧重于某一方面的研究，侧重于对理论框架或规范的应用研究，对企业的调查研究与综合性的整体研究较少，因此，有必要通过调查来研究中国企业管理信息化风险及风险控制的实际情况，在引进、消化、吸收西方先进的理论、方法和经验的基础上，进行多角度的综合分析。