目標制定
在風險管理框架中,由于要針對不同的目標分析其相應的風險,因此目標的制定自然成為風險管理流程的首要步驟,并將其確認為風險管理框架的一部分。
事項識別
企業風險管理和內部控制框架都承認風險來自于企業內、外部各種因素,而且可能在企業各個層面上出現,并且應根據對實現企業目標的潛在影響來確認風險。
風險評估
企業必須制定目標,該目標必須和生產、營銷、財務等作業相結合。為此,企業也必須設立可辨認、分析和管理相關風險的機制,以了解自己所面臨的風險,并適時加以處理。
風險反應
企業風險管理框架提出對風險的四種反應方案:規避、減少、轉移和接受風險。
控制活動
企業必須制定控制政策及程序,并予以執行,以幫助管理當局保證其控制目標的實現,其用以辨認并用以處理風險所必須采取的行動業已有效落實。
信息和溝通
圍繞在控制活動周圍的是信息與溝通系統。這些系統使企業內部的員工能取得他們在執行、管理和控制企業經營過程中所需的信息,并交換這些信息。
監督
整個內部控制的過程必須施以恰當的監督,通過監督活動在必要時對其加以修正。監控是一個評價內部控制運行組織的過程。
實施控制的地點
組織的各個層面實施控制,例如,在總公司、分公司、業務單位、單位部門、實體層都需要建立相應的控制。
COSO風險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法,我國銀監會發布的《商業銀行內部控制評價試行辦法》也采用了COSO內控體系的方法論,其中也涉及了IT內控制的內容。COSO風險管理框架給我們有以下啟發:
要站在企業管理者的角度來看待風險,企業風險是由包括IT風險在內的其他風險組合而成。
強調“人”的重要性,組織中的每一個人對風險管理都負有責任;
強調“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業文化、內部控制意識等,“軟控制”影響人的行為。
強調風險管理是一個“動態過程”,風險管理是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的PDCA過程。
明確指出內部控制只能做到“合理”保證,目標達成的可能性受許多先天條件不足及各種“不確定性”的影響。
沒有不花錢的內部控制,也不存在完美無缺的內部控制。
三、COSO框架下的IT風險管理框架
企業在實施風險管理過程中,四個目標都應當有IT的相關內容,其八個過程也有相應的IT內容,例如:COSO的“控制環境”對應著IT的“IT治理、法規及標準符合性”,“風險評估”對應著“IT風險評估及影響分析”等。
這八個方面的各項控制又可進一步分三個層次的控制,一是公司層控制、二是應用層控制,三是一般控制層或稱基礎層控制。
公司級控制
公司級控制主要與COSO中的控制環境及風險評估有關,為一般控制和應用控制設置基調。公司級控制一般包括以下內容:
高管理層設定的基調與方向
職業道德中的正直性、價值觀、勝任能力
IT管理哲學和業務運行類型
對IT管理層的授權與責任
IT政策與程序
IT組織中人員的責任與技能
