IT风险管理研究框架

二、COSO企业风险管理框架

在研究与探讨IT风险管理框架时，让我们先跳出IT，从行业监管者及企业管理者的角度来观察是如何管理企业风险，顺着这样的思路，接合我们国内IT风险控制的具体情况，我们建立一个既符合COSO要求，又能指导企业一步步实施对IT的风险控制的IT风险管理框架。

从行业监管者和企业管理层来看，对企业风险进行控制是保护企业核心竞争力的有效手段，IT风险是企业风险管理的有效组成部分。不管是什么规模的组织，都需要有一套控制指南来有效地管理企业内外各种各样的风险，并随着业务环境的变化和新技术的发展及时更新，才能保证企业健康、持续地发展，有效的风险管理己成为企业发展的主旋律。

COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险容纳量(Risk Appetite)范围内管理风险的，为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险，对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。

COSO管理框架的主要内容：
 风险管理目标
确定企业的战略
提高企业运营效率，取得好的经营效果；
保证企业报告的可靠性；
遵循相关法律法规的要求。
 为达成以上目标，管理风险的主要过程有：
控制环境

任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他要素的核心。

目标制定

在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。

事项识别

企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。

风险评估

企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。

风险反应

企业风险管理框架提出对风险的四种反应方案：规避、减少、转移和接受风险。

控制活动

企业必须制定控制政策及程序，并予以执行，以帮助管理当局保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实。

信息和沟通

围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

监督

整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。

实施控制的地点

组织的各个层面实施控制，例如，在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。

COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论，其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发：

要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。
强调“人”的重要性，组织中的每一个人对风险管理都负有责任；
强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。
强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。
明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。
没有不花钱的内部控制，也不存在完美无缺的内部控制。

IT风险管理研究框架

二、COSO企业风险管理框架

在研究与探讨IT风险管理框架时，让我们先跳出IT，从行业监管者及企业管理者的角度来观察是如何管理企业风险，顺着这样的思路，接合我们国内IT风险控制的具体情况，我们建立一个既符合COSO要求，又能指导企业一步步实施对IT的风险控制的IT风险管理框架。

从行业监管者和企业管理层来看，对企业风险进行控制是保护企业核心竞争力的有效手段，IT风险是企业风险管理的有效组成部分。不管是什么规模的组织，都需要有一套控制指南来有效地管理企业内外各种各样的风险，并随着业务环境的变化和新技术的发展及时更新，才能保证企业健康、持续地发展，有效的风险管理己成为企业发展的主旋律。

COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险容纳量(Risk Appetite)范围内管理风险的，为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险，对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。

COSO管理框架的主要内容：
 风险管理目标
确定企业的战略
提高企业运营效率，取得好的经营效果；
保证企业报告的可靠性；
遵循相关法律法规的要求。
 为达成以上目标，管理风险的主要过程有：
控制环境

任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他要素的核心。

目标制定

在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。

事项识别

企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。

风险评估

企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。

风险反应

企业风险管理框架提出对风险的四种反应方案：规避、减少、转移和接受风险。

控制活动

企业必须制定控制政策及程序，并予以执行，以帮助管理当局保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实。

信息和沟通

围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

监督

整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。

实施控制的地点

组织的各个层面实施控制，例如，在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。

COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论，其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发：

要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。
强调“人”的重要性，组织中的每一个人对风险管理都负有责任；
强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。
强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。
明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。
没有不花钱的内部控制，也不存在完美无缺的内部控制。