浅谈在COSO内部控制整合框架下企业对网络风险管理.docVIP

浅谈在COSO内部控制整合框架下企业对网络风险管理 　　摘 要：互联网的特点是信息共享，不是保护信息。因此处于互联网环境中的企业需时刻防范网络风险。COSO内部控制整合框架为企业控制网络风险提供了有效的指引。本文就COSO内部控制整合框架下企业对网络风险的管理做出了初步的探讨。 　　关键词：COSO内部控制整合框架；网络风险控 　　信息技术的发展让企业经营环境发生了巨大的变化，越来越多的业务需要在互联网的环境中完成，从订单的生成，处理到收发货和结算，许多业务环节实现了网上操作，人工现场参与越来越少。互联网打破了时间和地域的限制，为企业创造了可观的价值。在受益于互联网的高效和便利的同时，企业也需a要时刻防范网络入侵和应对信息泄漏造成的损失和负面影响。因此企业的内部控制必须做出相应调整以适应网络时代的特点。 　　COSO内部控制整合框架为企业识别网络风险、管理网络风险和实施控制活动提供了有效的方法，指导企业从控制环境、风险评估、控制活动、信息和沟通、监督五个方面的内控要素来分析网络风险，构建具备安全性、警惕性和可恢复性的网络风险内控体系。 　　1 网络风险的控制环境 　　网络风险控制环境是一套标准、流程和结构，能够为组织实施网络风险内部控制提供基础。企业的董事会和管理层应将实现安全性、警惕性、可恢复的网络风险管理机制设定为网络风险管理的首要目标并确保其在企业内执行顺畅， 保证部署足够的资源来保护重要的信息系统，制定适当的措施应对网络风险。由于大多数管理层成员的网络和信息技术知识不足，在了解本企业网络风险概况和应对不断变化的网络风险事件时应积极寻求专业人士的帮助，充分认识信息技术对组织流程和目标的影响；在对企业的资源进行分配时，根据风险评估的结果设定风险承受水平，保证将足够的资源用于保护对实现企业目标至关重要的信息系统。 　　2 网络风险的评估 　　网络风险的评估是针对影响企业目标实现的网络风险进行的风险识别和风险评估活动，帮助企业根据风险的严重程度和发生的可能性制定相应的控制程序。面对内外部的网络风险，企业的风险评估可以通过评估其对实现组织目标存在的不利影响和事件发生的可能性这两方面来进行。 　　①目标识别：评估企业的网络风险首先要评估信息系统对企业实现目标的潜在影响确定其价值，通常影响越大价值越大。COSO整合框架提供了企业的五类关注点：即经营目标、外部财务报告目标、外部非财务报告目标、内部报告目标和合规目标。企业的管理层和重要利益相关方应引导风险评估过程，在业务和信息技术人员的高度配合下，根据企业目标确定需重点保护的关键信息系统，确定企业可接受的风险水平。②对确定的关键系统的风险进行全范围的识别和分析，评估网络风险的严重程度和可能性进而决定如何管理风险。在此过程中企业要重点关注容易遭受攻击的信息系统及可能发生的攻击行为，对这些行为建立预警机制。通过识别攻击者的行为和方式，所用的技术、工具和流程，企业可以更好的预测风险，修补潜在的网络漏洞，设计有效的控制措施，在攻击发生时减小或规避风险，以保证重要资产的安全。③网络风险评估是一个动态的持续的过程。内部的和外部的风险变化对内控体系可能造成重大影响。因此风险评估要预测这些变化并据此调整企业管理网络风险的相关控制。 　　3 网络风险的控制活动 　　网络风险的控制活动是指针对网络风险评估的结果，企业应当制定相应的政策和程序，将网络风险控制在可接受范围内。控制活动能防范、发现和应对网络风险，更有效的降低潜在的网络漏洞对实现企业目标的影响。企业可按层级建立多层控制防线，防止攻击者在击破第一道防线后继续侵入信息系统或可以减慢入侵者的入侵速度。 　　在多层控制防线中，可运用的方法包括：①预防性和发现性控制相结合：有效的预防性控制使攻击者无法进入企业内部信息系统或可以制造障碍延缓攻击者的攻击速度，企业可及时发现并尽早采取措施修补漏洞，可以评估潜在损失，进而完善现有措施以预防和发现未来可能发生的类似攻击。②信息技术一般控制：与其他业务控制相联系的信息技术一般控制会帮助预防和发现网络入侵，使企业面对入侵时具备快速反应和恢复能力。企业应制定在发生网络攻击时应得到通知的人员名单，使相关人员能快速采取进一步措施降低风险。 　　4 网络风险信息的形成和沟通 　　信息是企业决策的基础，包括内部信息和外部信息，贯穿于网络风险内控的各个环节。企业应将已经识别的相关高质量信息要求及相关风险分析和应对措施记录成正式的文档，保证流程和控制活动一致性，避免因人员的流动产生执行的偏差。信息的来源包括：①企业内部产生的数据，企业应具备从内部产生的大量数据中生成及时的、相关的、高质量的完整信息的能力，否则企业无法采取恰当的网络风险控制措施。②除了内部信息，企业也可从外部获得数据，包括：a同业组织信息