技术在企业风险管理中的作用

新的 COSO ERM 框架文档企业风险管理—与战略和绩 效整合¹ 预计将会产生与内部控制–整合框架文档相似程度的全球影响。² ERM 框架旨在为采用该框架的企业实体提供合理的期望，让企业能了解并管理与企业战略和绩效目标相关的各种风险。它为整合所有类型的风险管理提供了强大的基础。技术创新是战略决策支持的关键动力，也是企业的战略目标之一。技术风险是该文档用来说明 ERM 框架的许多企业风险之一。

框架协同增效效用

和 COBIT 5 一样，COSO ERM 框架是基于原则的，它强调必须通过治理元素、绩效衡量和内部控制来支持用于支持组织使命和愿景的战略计划。它描述了所有行业领域中的风险经理如何衡量已知战略引发的活动可能导致会影响企业实体使命的可预见未来事件的概率。同样和 COBIT 5 一样，COSO ERM 框架提倡通过大量依赖治理结构的持续流程改进来帮助制定决策。

ERM 框架原则作为封闭式循环系统进行运作。虽然具体的一系列原则有所不同，但两个框架都提到了设定目标、确定风险优先级、利用信息系统、监控和报告。正如 COBIT 5 目标级联（图 1）所描绘的那样，必须按照级联顺序建立某些 ERM 组成部分来提供其他目标，但建立之后没有指定的顺序来持续运作风险管理活动。正如 COBIT 5 信息流 （图 2） 描绘的那样，多个流程是同时发生的，并且依赖于共享的信息来制定风险管理的全局方法。在更细致的层面上，熟悉“防止-检测-恢复”循环、“观察-导 向-决定-行动”循环以及美国国家标准与技术研究所 (NIST) 网络安全框架的“识别-保护-检测-响应- 恢复”循环的网络安全专业人员也熟悉这些原则。它们都有依赖于共同目标和战略的组成部分，应该同时运作并相互支持。

相应的 COSO ERM 框架图出现在 图 3 中。如同在 COBIT 5 目标级联中那样，战略取决于利益相关方的价值观，而业务相关目标和绩效目标取决于企业目标。如同在 COBIT 5 信息流中那样，信息从利益相关方依次流动到治理方、管理层、支持方，如此循环往复。技术专业人员必须明白，ERM 框架组成部分不仅仅是纸上的练习，而是可用于制定决策来支持 技术风险管理目标的企业级框架。特别是在治理、战略和报告方面，如果脱离 ERM 来管理技术风险，就不太可能通过专业的风险管理资源获得自上而下的支持。

要有效地设计和实施技术风险管理框架，关键在于确认在董事会级别上能理解 ERM 框架组成部分，并且在组织中借助董事会级别 ERM 计划的力量来支持技术风险管理。当然，始终有指导意见认为，技术专业人员应该让高级管理层参与应对技术风险的工作。这一版 COSO 指导意见中的不同之处在于，越来越明显，ERM 专业人员有专业上的义务来与企业中一大半的技术专业人员打交道。虽然过去可能在技术风险专业人员看来组织中较高级别的 ERM 活动当然会考虑技术风险管理，但这种情况已经改变了，并且正在快速演变。网络安全威胁和其他破坏性的技术问题是当今董事会成员心中的头等大事。³

在所有大型企业和许多中型企业中，ERM 长期以来一直是一项正式的工作，通过它来确保公司的使命、愿景和核心原则是制定战略计划的基础。这些活动推动了资源分配和决策支持，清晰地表达了高层的基调。但是，制定技术战略计划时，往往首先是确定较低级别的目标，例如：迁移基础设施、制定人员位置战略、削减成本和／或减少开发时间节点。这些不是直接来源于企业使命和价值观的战略目标，有时候还会与更直接支持这些价值观的技术活动发生冲突。例如，通过外包来削减开发活动成本的计划可能与优化客户体验的目标发生冲突，因为后一个目标要求不同业务领域中的开发团队密切合作。认识到企业风险活动对利益相关方组织来说并 不总是特别透明（例如技术），COSO ERM 框架首先就透彻地说明了在确定 ERM 方法时董事会与高级管理层之间应该出现的基本互动形式。它首先定义了企业风险管理：“组织在创造、保留和实现价值的过程中管理风险所依赖的与战略制定和绩效整合在一起的文化、能力和实务。”⁴

由于定义涵盖了多个复杂的概念，每个概念都是在管理企业风险所固有的挑战背景下描述的。其中的许多挑战在 COBIT 5 中也进行了描述。图 4 列出了两个文档中的相应部分，说明了 COSO ERM 定义如何与 COBIT 中的企业 IT 治理和管理关键原则相关。^{5, 6}

虽然两个框架都是基于原则的，并且在较高级别上看起来相似，但 COSO ERM 是更高级别的框架，因为它考虑了所有类型的风险，包括技术风险。尽管如此，和 COBIT 5 一样，它也在框架级别上强调了管理层齐心协力的重要性，还强调了协调并整合可能独立存在的框架是改进决策支持的最短路径。^{7, 8}

如图 3 中描绘的那样，COSO ERM 框架包含分成 5 个框架组成部分的 20 项原则：

1. 治理和文化
2. 战略和目标设定
3. 绩效
4. 审查和修订
5. 信息、沟通和报告

COBIT 5 的原则不是与 COSO ERM 的原则相对应，而是与实施 ERM 原则的技术环境相对应。也就是说，ERM 部分组成原则是在 COBIT 5 动力级别而不是 COBIT 5 框架级别上，该级别定义和执行 COBIT 5 要深入探讨的技术风险管理所固有的特殊问题。

对 COBIT 5 流程动力来说尤其如此，它包含 COBIT 5 针对风险管理的最具说明性的指导意见。⁹ 因此， COBIT 5 为技术专业人员成功应用 COBIT 框架原则和 ERM 框架原则提供了更详细的指导意见。图 5 列出了两个文档中的相应部分，说明了 COSO 框架组成部分和原则如何与 COBIT 5 动力相关。

风险信息动力

图 5 的最后 4 行列出了两个文档中的相应部分，说明了 COSO ERM 绩效原则如何与 COBIT 5 流程动力 APO12 管理风险—关键实务相关。它表明，在 COSO ERM 和 COBIT 5 中都有一种期望，即风险管理依赖于数据收集以及在风险分析、风险描述和风险概要信息中使用这些数据。这强调了 ERM 对运行业务流程时收集到的风险管理信息的至关重要的依赖性。因此，它聚焦于越来越依赖业务分析工具来提供报告并根据风险模式计算潜在损失的风险信息系统。

随着业务分析系统越来越受欢迎并且越来越普及，数据收集往往已经由风险分析者执行，因此，在许多风险管理部门，已经从最终用户计算模式变成了实际操作模式。即使他们的业务分析引擎是基于服务器的，或者是使用大数据分析软件的，风险信息 数据库也往往会被植入风险分析人员从各种完全不同的系统中下载的电子表格。风险分析人员有时会下载没有索引的数据，然后通过创建自己的转换表格和公式来处理记录映射问题。如果同一个组织中有多个这样的系统，就很难跨多个风险领域汇集数据，并且汇集工具有时也依赖于对应关系。这种情况非常普遍，所以国际清算银行针对风险汇集报告制定了具体的指导意见。¹⁰ COSO ERM 框架中强调了对信息技术的这种至关重要的依赖性。也就是说，支持 ERM 的技术本身可能存在缺陷，这个风险应该被纳入到最高级别的企业风险意识中，因此，整合 ERM 能力需要满足一个条件：“管理层在对技术或其他基础设施进行必要的投资时，应该考虑支持企业风险管理活动所需的工具”¹¹ （增加了强调语句）。

正确而有效地维护业务分析系统的战略重要性将最终得到董事会级别应有的关注。用于代表企业及其业务单位和组织结构的数据结构是风险管理信息架构的基本组成部分，这种结构在所有风险管理领域的一致性对于在企业级别上准确地获得概要信息而言是不可或缺的。

COBIT 5 采用与任何业务流程都相关的通用方式，在 COBIT 5：启用信息出版物中解决了这个问题。¹² 它将信息描述为：由物理、实证、语义、实用等方面组成，应该以透明的方式进行详细描述。它将信息生命周期分成计划、设计、构建／取得、使用／操作、监控和处置等多个阶段。它强调了达到质量要求和相应目标的重要性。它是技术风险管理专业人员的特殊角色，通过利用这些工具和技术针对所有风险信息而不仅仅是与技术风险相关的风险信息来保护这种信息设计和数据收集流程的完整性。令技术风险管理受众高兴的是，COBIT 5：启用信息以风险概要信息为例来说明信息项目，并针对这个风险概要信息项目提供了说明性的数据内容、信息生命周期角色与责任以及质量目标。¹³

关键要点

在技术风险管理与在董事会级别执行 ERM 活动的公司风险管理组织协调一致的情况下，技术战略计划可能更应该符合企业的使命、愿景和核心原则。 COSO ERM 和 COBIT 5 框架代表在整个大型从业者社区中共享的知识体系，他们可以利用这些框架来达成这样的一致性。技术和网络安全风险和审计专业人员应该熟悉这两个框架，并且熟悉二者之间的整合接触点。从这篇概述中得出的关键要点包括：

• 有效的技术风险管理需要 ERM 框架包含技术。
• 因为技术风险管理专业人员是与信息完整性和可用性相关的风险领域中的专家，所以他们在 ERM 中发挥着特殊作用。他们用于识别、评估、量化和监控技术风险的流程不仅适用于技术或网络安全类别的风险，而且在设计上应该能支持风险经理在其他风险领域中所使用信息的完整性。
• 在识别与风险汇集战略相关的问题方面，以及在使用信息生命周期流程和质量控制目标来支持 ERM 活动方面，技术专业人员有独一无二的地位。
• 组织在明确使用了 COSO ERM 和 COBIT 5 的情况下，应该对企业风险专业人员和技术专业人员进行培训，使他们了解这两个框架是如何兼容的，以及为什么应该将它们结合使用而不是单独使用。

尾注

¹ 2014 年，ISACA 以及附属于其他风险管理相关职业的其他有类似影响力的协会受邀参加了一个委员会，该委员会的主要工作是修订全美反舞弊性财务报告委员会发起组织 (COSO) 提供的在 2004 年首次发布的企业风险管理 (ERM) 指导意见。COSO 是一个独立的私营协会，由关注财务报表完整性的 5 个主要职业协会联合发起：美国会计学会 (AAA)、美国注册会计师学会 (AICPA)、国际财务执行官 (FEI)、内部审计师学会 (IIA) 和管理会计师学会 (IMA)。COSO 的目标是针对 3 个相互关联的主题提供思想领导力：ERM、内部控制和防止欺诈。
² COSO 的旗舰出版物：内部控制–整合框架也是在许多行业协会和私营领域贡献者之间广泛开展合作的产物，它还是大多数全球组织的内部控制框架的基础。经过多年的努力，它在 1992 年首次发布，并且在 2013 年进行了后续更新。 ISACA 也参加了该更新委员会。
³ 美国全国公司董事协会，资源中心：Emerging Issues，美国，2018 年, https://www.nacdonline.org/Resources/BoardResource.cfm?ItemNumber=38149
⁴ 全美反舞弊性财务报告委员会发起组织， Enterprise Risk Management: Integrating With Strategy and Performance，美国，2017 年，https://www.coso.org
⁵ Ibid.
⁶ ISACA, Relating the COSO Internal Control—Integrated Framework and COBIT, 美国，2013 年
⁷ Op cit COSO 2017
⁸ Op cit ISACA 2013
⁹ ISACA, COBIT 5: Enabling Processes, 美国， 2012 年
¹⁰ 巴塞尔银行监理委员会，Principles for Effective Risk Data Aggregation and Risk Reporting，国际清算银行，2013 年 1 月， www.bis.org/publ/bcbs239.pdf
¹¹ Op cit COSO, 2017, p. 19
¹² ISACA, COBIT 5: Enabling Information, 美国，2013 年
¹³ Ibid.