我們根據COSO風險控制原則，對IT控制的內容進行合理擴充餅干增加控制的粒度，提出了一套適應我國IT風險實際情況的綜合性風險管理框架。

1.建立信息化的“游戲規則”

對企業大量的信息化失敗案例和對信息化建設中深層次機制問題的研究，我們發現信息化也像企業管理一樣，需要制度創新，在信息化過程中，“制度重于一切”的定律同樣適用。例如，建造一個信息系統是容易的，讓這個系統正常地運轉起來并能實現業務價值，則是現實難題。雖然采用先進的IT技術與產品、優秀的管理方法在一定的程度上能降低IT風險，但并不十分保險，只有通過為IT引入一定的結構、規則與標準，使IT在“他律”(IT治理)的基礎上進行“自律”(IT管理)，才能使得IT風險在一定的框架內上下左右浮動，不超過且計劃中的風險范圍。

通俗的說我們在規劃信息化時，除了要關注IT技術外，還要建立能使IT正常運轉的制度，或者稱為IT治理機制。正如公司需要治理一樣，IT也需要進行治理，就是要從制度、標準、規范的角度來重新認識IT問題并完善IT治理機制，這是目前走出IT建設誤區的良方。IT治理是國際IT領域中的一個新的概念，用于描述企業或政府是否采用有效的機制，使IT的應用能夠完成組織賦予它的使命，同時平衡信息技術與過程的風險，確保實現組織的戰略目標。

為完善企業的IT治理，在戰略層面上，要綜合公司治理結構、企業戰略規劃，使IT治理作為公司治理的一部分，在治理結構上體現IT的位置與作用，使IT議題要進入董事會(或者是監事會、最高管理當局)下的戰略委員會、審計委員會、安全委員會;IT執行與監管要分開，監管機制要獨立并持續運行、溝通與反饋機制要持續有效。

在戰術面上，為保護IT與業務目標一致，有限利用IT資源，提高績效，降低風險與控制成本，需按照國際普遍接受的企業內部控制標準建立有效的IT控制框架并監控實施。

這個框架也可成為IT風險管理框架，或稱為IT的“游戲規則”，忽略了規則的建立是國內信息化成功率低的根源，我們應當把建立信息化的“游戲規則”看成是信息化的重要內容之一。

2.IT風險管理框架的目標

完善IT風險控制體系，降低IT成本，實現IT與企業戰略、管理、業務、安全的深度融合，使IT為企業持續地創造價值，有效率并有效果地進行信息化建設。

3.IT風險管理框架的內容

根據IT風險管理的目標和原則，我們給出IT風險管理框架的一種具體實現，其步驟如下圖所示。

4.IT風險管理架構的原則

IT風險管理架構應遵循如下原則：

·在戰略層面，建立IT治理機制，使IT治理成為公司治理的一部分，在組織最高決策層上對信息化建設進行監管與制衡 。

·在戰術面上，為保護IT業務目標一致，有限利用IT資源，提高績效，降低風險與控制成本，需按照國際普遍接受的企業內部控制標準。

·采用國際上得到普遍認可的IT控制標準(例如，COBIT、ITIL、ISO27001)及行業最佳實踐，為信息化管理提供規范和標準。

·識別組織中的重要IT過程，確定其目標、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程，推行過程管理的思想。

·通過PDCD的過程，即計劃、實施、調整、改進循環，使信息化保持在可持續發展的軌道上，階段性地進行信息系統審計，以發現存在的偏離，及時調整到信息化的最終目標上來。

·持續地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多方面進行評估，以了解當前IT狀況，為及時的調整與改進提供依據。