|
识别风险及其可能性和整体影响可帮助内部审计师提供建议,使公司能够制定有效的风险管理计划。除了确定组织面临的风险外,内部审计师还可以帮助评估风险对公司业绩和流程的影响。因此,审计师的作用不仅仅是评估风险,而且要确定是否有足够的控制措施来有效降低风险。 什么是风险? 根据IIA,风险被定义为事件发生的可能性,这将影响组织实现目标。组织中存在许多形式的风险,包括IT风险,财务风险,操作风险,网络安全风险和人员风险。为了更有效地解决风险,组织可以使用风险管理方法来识别,评估,管理和控制潜在的事件或情况。  风险管理流程 在建立风险管理流程或计划时,审计师应建议组织检查该领域的最佳管理实践。通常,风险管理计划具有以下目标: 1.消除负面风险。 2.如果不能消除风险,将风险降低到“可接受”水平。这意味着组织可以承受的风险水平,确保适当的控制措施将风险保持在可接受的范围内。 3.通过保险转移风险(即为公司的资产进行盗窃或破坏等风险,如飓风或火灾等),或将风险转移给另一个组织(即使用第三方供应商安装网络设备,以便供应商负责安装的成功或失败)。  识别风险 风险评估过程从识别风险类别开始。组织最有可能会有几个风险类别来分析和识别组织特有的风险。风险类别的例子包括:技术或IT风险、项目管理风险、组织风险、财务风险、外部风险、合规风险。例如,技术风险与应用程序或程序(包括计算机或周边安全设备)的操作相关联(例如,直接连接到Internet的计算机如果没有防病毒软件可能会面临风险)。 确定风险水平 一旦发现风险,下一步就是确定可能利用潜在风险的可能性。在确定这种可能性时,需要考虑几个因素。首先,审计师需要考虑威胁的来源,威胁背后的动机以及来源的能力。接下来,审计师需要确定风险的性质,最后确定当前控制措施的存在和有效性来阻止或减轻风险。 识别风险的影响 下一步是确定威胁对组织的影响。审计人员了解并不是所有的威胁都会产生相同的影响,这一点很重要。这是因为组织中的每个系统最有可能具有不同的价值。审计师需要衡量风险对组织的实际影响。这可以通过衡量风险对定量的影响(例如,收入损失或替换IT设备的成本)或定性方式(例如,当媒体宣布安全漏洞时失去公众信心)。 这两种方法都有优缺点:定量影响分析方法提供了影响量级的确定度量,可用于计算控制成本效益分析。这种定量方法的主要缺点是使用可能变得相当混乱的宽数值范围。另一方面,定性(即高,中,低)分析的优势在于它允许审计师优先考虑风险,并快速识别改进领域。但是,这种方法不能为任何推荐的控制计算成本效益的方法。也就是说,审计师可以确定特定资产的风险很高,但他或她不知道影响的成本是什么,或者减轻控制的有效性。一旦确定了风险的影响,审计师就可以确定其发生概率并完成每项风险的影响评估。 应对风险 在解决风险的过程中,许多组织通常首先对组织影响较小的风险进行纠正,并降低概率,因为这些风险更容易解决,并且在短时间内修复更多的公开问题在报告上看起来更好。然而,审计师应该建议组织首先处理那些最有可能发生并将产生最大影响的风险。这是因为首先关注低风险的风险,公司仍然面临着可能造成无法弥补损失的高风险的风险。  向前进  许多组织正在实施风险管理计划,以帮助他们解决全公司的风险和潜在的威胁。在IT领域,有效的风险管理计划依赖于审计师的专业知识,从而使组织能够将必要的风险管理控制应用于特定领域或IT系统。 最后 为了最大限度地发挥其效能,风险管理计划得到高级管理层的支持和承诺。这将有助于为方案确定正确的基调,并确保控制得到妥善管理,实施风险管理政策和程序由公司员工遵守。另外,有助于建立组织对风险的态度和可接受的风险。最后,审计团队需要在风险管理领域拥有适当的培训或专业知识,以更好地识别和评估风险水平,并评估控制以确定其是否符合组织的风险管理需求。  Mark Edmead, 是国际控制解决方案IT总监,在计算机系统架构,信息安全,项目管理,IT和应用审计领域拥有超过25年的经验。过去,Edmead在财富500强和1000家公司担任信息技术,系统和互联网安全以及法规遵从方面的顾问。本文来源于IIA,由首席审计官翻译整理。  |
|
|
来自: 木杉gqefpub1fb > 《待分类》
