目標制定

在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。

事項識別

企業(yè)風險管理和內部控制框架都承認風險來自于企業(yè)內、外部各種因素，而且可能在企業(yè)各個層面上出現，并且應根據對實現企業(yè)目標的潛在影響來確認風險。

風險評估

企業(yè)必須制定目標，該目標必須和生產、營銷、財務等作業(yè)相結合。為此，企業(yè)也必須設立可辨認、分析和管理相關風險的機制，以了解自己所面臨的風險，并適時加以處理。

風險反應

企業(yè)風險管理框架提出對風險的四種反應方案：規(guī)避、減少、轉移和接受風險。

控制活動

企業(yè)必須制定控制政策及程序，并予以執(zhí)行，以幫助管理當局保證其控制目標的實現，其用以辨認并用以處理風險所必須采取的行動業(yè)已有效落實。

信息和溝通

圍繞在控制活動周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，并交換這些信息。

監(jiān)督

整個內部控制的過程必須施以恰當的監(jiān)督，通過監(jiān)督活動在必要時對其加以修正。監(jiān)控是一個評價內部控制運行組織的過程。

實施控制的地點

組織的各個層面實施控制，例如，在總公司、分公司、業(yè)務單位、單位部門、實體層都需要建立相應的控制。

COSO風險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國銀監(jiān)會發(fā)布的《商業(yè)銀行內部控制評價試行辦法》也采用了COSO內控體系的方法論，其中也涉及了IT內控制的內容。COSO風險管理框架給我們有以下啟發(fā)：

要站在企業(yè)管理者的角度來看待風險，企業(yè)風險是由包括IT風險在內的其他風險組合而成。

強調“人”的重要性，組織中的每一個人對風險管理都負有責任;

強調“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物，如高級管理階層的管理風格、管理哲學、企業(yè)文化、內部控制意識等，“軟控制”影響人的行為。

強調風險管理是一個“動態(tài)過程”，風險管理是一個發(fā)現問題、解決問題、發(fā)現新問題、解決新問題的循環(huán)往復的PDCA過程。

明確指出內部控制只能做到“合理”保證，目標達成的可能性受許多先天條件不足及各種“不確定性”的影響。

沒有不花錢的內部控制，也不存在完美無缺的內部控制。

三、COSO框架下的IT風險管理框架

企業(yè)在實施風險管理過程中，四個目標都應當有IT的相關內容，其八個過程也有相應的IT內容，例如：COSO的“控制環(huán)境”對應著IT的“IT治理、法規(guī)及標準符合性”，“風險評估”對應著“IT風險評估及影響分析”等。

這八個方面的各項控制又可進一步分三個層次的控制，一是公司層控制、二是應用層控制，三是一般控制層或稱基礎層控制。

公司級控制

公司級控制主要與COSO中的控制環(huán)境及風險評估有關，為一般控制和應用控制設置基調。公司級控制一般包括以下內容：

高管理層設定的基調與方向

職業(yè)道德中的正直性、價值觀、勝任能力

IT管理哲學和業(yè)務運行類型

對IT管理層的授權與責任

IT政策與程序

IT組織中人員的責任與技能