首席信息官的主要职责是：挖掘企业信息资源、制定企业信息化战略、为企业信息化布局、评估信息化价值；负责信息流、物流、资金流的整合，完成信息系统的选型实施；收集研究企业内外部的信息，为决策提供依据；协助完成企业业务流程重组、运用信息管理技术重建企业的决策体系和执行体系；安排企业信息化方面的培训，发现信息应用的瓶颈、观察研究企业运作中的信息流及其作用。对应首席信息官的职责要求，各企业应赋予首席信息官相应的决策权和审批权，有关重大决策应听取首席信息官的意见。条件暂不成熟的企业，可先由现任信息化主管领导兼任首席信息官。
　　
　　一、IT内控风险预警体系
　　
　　在风险管理体系中，一般包括风险管理计划、风险识别、风险定性分析、风险定量分析、风险响应和风险监控。风险管理贯穿企业各项业务的整个过程，包括事前、事中和事后。统计资料表明越早发现风险、越早采取措施，则风险管理的成本就越低，给企业带来的效益也就越大。在风险管理领域中普遍强调风险管理的计划性和预测性。也就是说，风险预警系统可以为风险识别、风险分析、风险监控等提供强有力的手段，在整个风险管理体系中具有极其重要的地位。
　　
　　在企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。IT系统需提供对风险事件的预警，并能及时通过各种通讯方式通知相关岗位人员。
　　
　　二、IT内控风险预警体系的具体内容
　　
　　任何风险的出现都会有预兆，警兆是指风险发生前的先兆。通常某些指标会提前出现异常的波动，预警系统就是根据一定的原则捕捉到这些异常。因此，企业风险预警系统主要包括警源分析和警兆辨识两部分。警源分析着重分析风险发生的根源性因素;警兆辨识主要通过定量的指标体系分析法和定性描述分析法相结合的方式，提前向企业IT决策者发出预警信号。
　　
　　具体来说，要实现对IT风险警兆的辨识可通过两方面来进行：一是定性分析，即通过对有关IT项目从决策到运营等方面的定性描述判别是否出现警兆;二是定量分析，即通过预警指标体系的指标计算来确定警兆是否出现。因此，风险预警指标体系包括定性指标和定量指标两部分。其中风险预警系统中的定性分析主要是通过对一些无法具体量化而又对IT项目的运行起到决定作用的关键问题进行是非判断，从而决定是否发出预警。定量分析的主要内容是对IT项目中的统计信息设立数量化指标体系，是指通过建立和运用数量化指标体系从定量的角度来分析项目是否存在潜在的风险，从而确定是否存在警兆。
　　
　　一般来说，在IT内控时可能会碰到很多的风险，通常的做法是把可能的IT风险划分一个优先级，对于优先级高的风险要给以更多的关注。IT体系风险评估的目的是要辨别出潜藏的IT内在风险与残存风险。通常包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。为了更加形象地标识企业出现的IT风险所处的级次，应该把IT风险预警区间分为安全区(绿区)、预警区(黄区)、危机区(红区)三个区域。指标在安全区，表示发生危机的可能性较小;指标在预警区，表示存在发生危机的可能性;指标在危机区，表示发生危机的可能性较大。根据风险评估得分，对照相应的预警区间就可以快速的判断出各企业的IT风险预警警度。
　　
　　三、如何打造IT内控风险预警体系
　　
　　中国版萨班斯法案《企业内部控制配套指引》在第37条也明确指出企业必须要先打造一个预警式IT内控体系。所以，构建一个满足企业业务发展需要的预警式IT内控体系，是目前很多CIO在思考的问题。
　　
　　(1)确定IT内控风险预警范围
　　
　　包括风险形势评估、风险识别、风险分析和风险评价等几部分。确定预警范围步骤：首先确定IT风险预警报告流程中的核心要素;其次，识别关键的IT内控风险预警流程;最后，是根据IT活动确定关键的IT风险流程和IT风险支持系统，从而确定IT内控风险预警范围。
　　
　　(2)对选定范围进行风险识别和评估
　　
　　透彻地分析企业所面临的潜在IT风险的破坏力，要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。
　　
　　(3)对潜在IT风险实时监控，并实施有效的控制措施
　　
　　根据风险识别、评估的结果，针对相关IT风险源制定统一的风险管理战略，加强实时监控。
　　
　　(4)组建责任明确的IT风险内控小组，完善监控职能
　　
　　成立由公司领导和各部门负责人组成的责任明确的IT风险内控小组，该小组要制定出符合本企业需要的IT内控风险预警策略。除了担任IT内控风险预警的日常工作外，还可负责对IT内控、企业管控的质量进行协调和监督。
　　
　　(5)培训宣贯与运行推广实施
　　
　　通过宣讲、培训等方式，对企业各部门和人员进行IT内控风险预警体系相关制度的介绍和学习，并根据事先制定好的IT控制框架体系进行试运行和推广实施。

　　责任编辑：Cat蕊