目標(biāo)制定
在風(fēng)險(xiǎn)管理框架中,由于要針對不同的目標(biāo)分析其相應(yīng)的風(fēng)險(xiǎn),因此目標(biāo)的制定自然成為風(fēng)險(xiǎn)管理流程的首要步驟,并將其確認(rèn)為風(fēng)險(xiǎn)管理框架的一部分。
事項(xiàng)識(shí)別
企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制框架都承認(rèn)風(fēng)險(xiǎn)來自于企業(yè)內(nèi)、外部各種因素,而且可能在企業(yè)各個(gè)層面上出現(xiàn),并且應(yīng)根據(jù)對實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評估
企業(yè)必須制定目標(biāo),該目標(biāo)必須和生產(chǎn)、營銷、財(cái)務(wù)等作業(yè)相結(jié)合。為此,企業(yè)也必須設(shè)立可辨認(rèn)、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制,以了解自己所面臨的風(fēng)險(xiǎn),并適時(shí)加以處理。
風(fēng)險(xiǎn)反應(yīng)
企業(yè)風(fēng)險(xiǎn)管理框架提出對風(fēng)險(xiǎn)的四種反應(yīng)方案:規(guī)避、減少、轉(zhuǎn)移和接受風(fēng)險(xiǎn)。
控制活動(dòng)
企業(yè)必須制定控制政策及程序,并予以執(zhí)行,以幫助管理當(dāng)局保證其控制目標(biāo)的實(shí)現(xiàn),其用以辨認(rèn)并用以處理風(fēng)險(xiǎn)所必須采取的行動(dòng)業(yè)已有效落實(shí)。
信息和溝通
圍繞在控制活動(dòng)周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息,并交換這些信息。
監(jiān)督
整個(gè)內(nèi)部控制的過程必須施以恰當(dāng)?shù)谋O(jiān)督,通過監(jiān)督活動(dòng)在必要時(shí)對其加以修正。監(jiān)控是一個(gè)評價(jià)內(nèi)部控制運(yùn)行組織的過程。
實(shí)施控制的地點(diǎn)
組織的各個(gè)層面實(shí)施控制,例如,在總公司、分公司、業(yè)務(wù)單位、單位部門、實(shí)體層都需要建立相應(yīng)的控制。
COSO風(fēng)險(xiǎn)管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法,我國銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行內(nèi)部控制評價(jià)試行辦法》也采用了COSO內(nèi)控體系的方法論,其中也涉及了IT內(nèi)控制的內(nèi)容。COSO風(fēng)險(xiǎn)管理框架給我們有以下啟發(fā):
要站在企業(yè)管理者的角度來看待風(fēng)險(xiǎn),企業(yè)風(fēng)險(xiǎn)是由包括IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成。
強(qiáng)調(diào)“人”的重要性,組織中的每一個(gè)人對風(fēng)險(xiǎn)管理都負(fù)有責(zé)任;
強(qiáng)調(diào)“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物,如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識(shí)等,“軟控制”影響人的行為。
強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過程”,風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的PDCA過程。
明確指出內(nèi)部控制只能做到“合理”保證,目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。
沒有不花錢的內(nèi)部控制,也不存在完美無缺的內(nèi)部控制。
三、COSO框架下的IT風(fēng)險(xiǎn)管理框架
企業(yè)在實(shí)施風(fēng)險(xiǎn)管理過程中,四個(gè)目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容,其八個(gè)過程也有相應(yīng)的IT內(nèi)容,例如:COSO的“控制環(huán)境”對應(yīng)著IT的“IT治理、法規(guī)及標(biāo)準(zhǔn)符合性”,“風(fēng)險(xiǎn)評估”對應(yīng)著“IT風(fēng)險(xiǎn)評估及影響分析”等。
這八個(gè)方面的各項(xiàng)控制又可進(jìn)一步分三個(gè)層次的控制,一是公司層控制、二是應(yīng)用層控制,三是一般控制層或稱基礎(chǔ)層控制。
公司級(jí)控制
公司級(jí)控制主要與COSO中的控制環(huán)境及風(fēng)險(xiǎn)評估有關(guān),為一般控制和應(yīng)用控制設(shè)置基調(diào)。公司級(jí)控制一般包括以下內(nèi)容:
高管理層設(shè)定的基調(diào)與方向
職業(yè)道德中的正直性、價(jià)值觀、勝任能力
IT管理哲學(xué)和業(yè)務(wù)運(yùn)行類型
對IT管理層的授權(quán)與責(zé)任
IT政策與程序
IT組織中人員的責(zé)任與技能