目標(biāo)制定
在風(fēng)險(xiǎn)管理框架中����,由于要針對(duì)不同的目標(biāo)分析其相應(yīng)的風(fēng)險(xiǎn),因此目標(biāo)的制定自然成為風(fēng)險(xiǎn)管理流程的首要步驟,并將其確認(rèn)為風(fēng)險(xiǎn)管理框架的一部分��。
事項(xiàng)識(shí)別
企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制框架都承認(rèn)風(fēng)險(xiǎn)來(lái)自于企業(yè)內(nèi)�、外部各種因素,而且可能在企業(yè)各個(gè)層面上出現(xiàn)���,并且應(yīng)根據(jù)對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來(lái)確認(rèn)風(fēng)險(xiǎn)�。
風(fēng)險(xiǎn)評(píng)估
企業(yè)必須制定目標(biāo)��,該目標(biāo)必須和生產(chǎn)、營(yíng)銷(xiāo)�、財(cái)務(wù)等作業(yè)相結(jié)合��。為此���,企業(yè)也必須設(shè)立可辨認(rèn)�、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制,以了解自己所面臨的風(fēng)險(xiǎn)��,并適時(shí)加以處理����。
風(fēng)險(xiǎn)反應(yīng)
企業(yè)風(fēng)險(xiǎn)管理框架提出對(duì)風(fēng)險(xiǎn)的四種反應(yīng)方案:規(guī)避�、減少�����、轉(zhuǎn)移和接受風(fēng)險(xiǎn)��。
控制活動(dòng)
企業(yè)必須制定控制政策及程序��,并予以執(zhí)行�,以幫助管理當(dāng)局保證其控制目標(biāo)的實(shí)現(xiàn),其用以辨認(rèn)并用以處理風(fēng)險(xiǎn)所必須采取的行動(dòng)業(yè)已有效落實(shí)����。
信息和溝通
圍繞在控制活動(dòng)周?chē)氖切畔⑴c溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過(guò)程中所需的信息,并交換這些信息���。
監(jiān)督
整個(gè)內(nèi)部控制的過(guò)程必須施以恰當(dāng)?shù)谋O(jiān)督���,通過(guò)監(jiān)督活動(dòng)在必要時(shí)對(duì)其加以修正����。監(jiān)控是一個(gè)評(píng)價(jià)內(nèi)部控制運(yùn)行組織的過(guò)程。
實(shí)施控制的地點(diǎn)
組織的各個(gè)層面實(shí)施控制,例如��,在總公司�、分公司����、業(yè)務(wù)單位����、單位部門(mén)���、實(shí)體層都需要建立相應(yīng)的控制����。
COSO風(fēng)險(xiǎn)管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法����,我國(guó)銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》也采用了COSO內(nèi)控體系的方法論�,其中也涉及了IT內(nèi)控制的內(nèi)容。COSO風(fēng)險(xiǎn)管理框架給我們有以下啟發(fā):
要站在企業(yè)管理者的角度來(lái)看待風(fēng)險(xiǎn)��,企業(yè)風(fēng)險(xiǎn)是由包括IT風(fēng)險(xiǎn)在內(nèi)的其他風(fēng)險(xiǎn)組合而成。
強(qiáng)調(diào)“人”的重要性,組織中的每一個(gè)人對(duì)風(fēng)險(xiǎn)管理都負(fù)有責(zé)任;
強(qiáng)調(diào)“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物��,如高級(jí)管理階層的管理風(fēng)格、管理哲學(xué)�����、企業(yè)文化、內(nèi)部控制意識(shí)等��,“軟控制”影響人的行為�����。
強(qiáng)調(diào)風(fēng)險(xiǎn)管理是一個(gè)“動(dòng)態(tài)過(guò)程”,風(fēng)險(xiǎn)管理是一個(gè)發(fā)現(xiàn)問(wèn)題���、解決問(wèn)題、發(fā)現(xiàn)新問(wèn)題���、解決新問(wèn)題的循環(huán)往復(fù)的PDCA過(guò)程��。
明確指出內(nèi)部控制只能做到“合理”保證,目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。
沒(méi)有不花錢(qián)的內(nèi)部控制���,也不存在完美無(wú)缺的內(nèi)部控制�。
三�、COSO框架下的IT風(fēng)險(xiǎn)管理框架
企業(yè)在實(shí)施風(fēng)險(xiǎn)管理過(guò)程中�,四個(gè)目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容�,其八個(gè)過(guò)程也有相應(yīng)的IT內(nèi)容,例如:COSO的“控制環(huán)境”對(duì)應(yīng)著IT的“IT治理、法規(guī)及標(biāo)準(zhǔn)符合性”�,“風(fēng)險(xiǎn)評(píng)估”對(duì)應(yīng)著“IT風(fēng)險(xiǎn)評(píng)估及影響分析”等。
這八個(gè)方面的各項(xiàng)控制又可進(jìn)一步分三個(gè)層次的控制�,一是公司層控制���、二是應(yīng)用層控制�����,三是一般控制層或稱(chēng)基礎(chǔ)層控制�。
公司級(jí)控制
公司級(jí)控制主要與COSO中的控制環(huán)境及風(fēng)險(xiǎn)評(píng)估有關(guān),為一般控制和應(yīng)用控制設(shè)置基調(diào)�����。公司級(jí)控制一般包括以下內(nèi)容:
高管理層設(shè)定的基調(diào)與方向
職業(yè)道德中的正直性�����、價(jià)值觀(guān)�、勝任能力
IT管理哲學(xué)和業(yè)務(wù)運(yùn)行類(lèi)型
對(duì)IT管理層的授權(quán)與責(zé)任
IT政策與程序
IT組織中人員的責(zé)任與技能
