IT Policy Compliance Group今天发布题为《IT监管、风险管理与遵从——提高业绩并降低金融风险》(IT Governance, Risk and Compliance – Improving business results and mitigating financial risk)的2008年度研究报告。该报告主要探讨如何实现业务收益和风险之间的适度平衡。IT监管、风险管理与遵从在功能及实践上的日趋成熟正在对企业财务管理施加更直接的影响。

　　IT Policy Compliance Group发布的主要基准研究报告表明，提高业务收益同时降低财务风险、损失与支出的方法在于提高或增强竞争力、实践力以及对于IT资源应用和部署。该报告调查范围覆盖了全球2600多家企业，主要评估数据保护、法规遵从和IT服务等级的提高对于业绩的影响，包括：客户满意度、客户保持率、财务收入、支出以及利润。

　　根据报告的原始数据显示，具有较好的IT监管、风险管理与遵从的企业在业绩方面的表现也较为出色，主要显示在客户满意度、客户保持率以及财务收入和利润的增长方面。因此，提高IT监管、风险管理与遵从的关键在于主要企业职能的成熟度，包括IT部门、法务部门以及审计委员会的高级管理团队、经理和主管。

　　赛门铁克公司首席研究经理兼IT Policy Compliance Group 总经理Jim Hurley表示：“IT监管、风险管理与遵从意味着对于IT业务的管理，包括IT对于企业的最高和最终的贡献与价值。IT Policy Compliance Group最新的调查研究主要为企业当前实践的成熟度、所获得的与其相关的业务成果以及能够准确识别最具价值实践的能力等方面提供事实依据。”

　　美国信息系统审计与控制委员会与IT治理研究院(ISACA)前任会长、注册会计师Everett Johnson表示：“总体来说，IT监管、风险管理与遵从主要围绕两个目标：通过IT实现业务增值和降低业务风险。成功实现这些目标的企业通常往往能够将业务战略与IT规划协同起来，并将实现IT效率的责任与义务嵌入到组织各层级中，首先是领导层。”

　　IT监管、风险管理与遵从成熟度较高企业的业绩表现

　　· 财政收入高出17%

　　· 利润高出14%

　　· 客户满意度高出18%

　　· 客户保持度高出17%

　　· 客户数据丢失或失窃造成的财政损失相比低96%

　　· 客户数据丢失或失窃相比少50起

　　· 法规遵从每年支出相比低50%

　　主要建议

　　· 使用平衡记分卡来提高IT价值

　　· 设置监管委员会，包括高级业务、财政、法务、IT、法规与审计成员

　　· 通过贯穿IT部门的可量化的持续质量优化项目驱动业绩提高

　　· 坚持进行月度评估报告并加以改进

　　· 提高并自动化技术控制来减轻并避免金融风险、品牌危机及业务分散

　　· 在IT担保、审计与风险管理方面提高技能并自动化相关活动

　　· 分类并限制敏感数据访问，尽可能减少对外暴露以及非有效成本

　　· 开展变动管理并避免未授权的变更，从而避免较高的金融风险和支出浪费

　　· 持续评估控制效率以确保在收益和风险中实现适度平衡

　　甫瀚公司(Protiviti) IT安全实践总经理Rocco Grillo 表示：“这些发现进一步强调了管理完善的IT遵从项目能够有效的处理信息安全和隐私这些关键业务。该研究结果根据从过往经验出发，再次证明了我们目前非常需要保护的敏感数据已经成为IT遵从首要解决的问题。毫无疑问，数据泄漏导致以及泄漏后的补救措施都会导致大量的成本支出，协议控制信息以及其他法规遵从要求也同样如此。”

　　除此之外，IT Policy Compliance Group还利用过去两年内收集的主要基准数据创建了监管、风险管理与遵从能力成熟度模型(GRC Capability Maturity Model)，企业可以利用其评估成熟度等级以及达到每个成熟等级所需的具体实践、竞争力和能力等。

　　关于此项研究

　　IT Policy Compliance Group研究的内容基准来源于其支持机构、顾问机构以及集团内部成员的调查计划以及其他机构调查的主要发现。该报告中最新的基准制定来自于2007年12月到2008年3月间对558家独立并具备资格的组织的调查。大部分(90%)的参与组织位于北美洲，其他组织则分别来自非洲、亚太、欧洲以及中东地区。

　　关于 IT Policy Compliance Group

　　IT Policy Compliance Group致力于促进将有助于IT安全专业人员符合他们企业策略与遵从目标的研究与信息开发。其成员来自众多领先机构，其中包括：Computer Security Institute, The Institute of Internal Auditors, Protiviti, Information Systems Audit and Control Association 、IT Governance Institute以及赛门铁克公司 (NASDAQ: SYMC)。该组织执行以事实为基础的基准研究，从而确定最终将改进企业IT合规结果的最佳实践。