1.7K
中華民國電腦稽核協會秘書長黃淙澤
ISACA資訊技術風險框架核心精神
- 識別整體企業中現有及新興的風險。
- 發展適當的營運能力,確保業務程序在不利事件中能持續運作。
- 充分利用在符合法規或內部控制系統方面的投資,並優化資訊與技術相關的風險。
- 識別超出技術控制及資訊技術相關工具的技術範圍,並將其資訊與技術相關的風險納入企業風險管理(Enterprise Risk Management) 方案。
建立風險治理文化的思考
如我們一開頭所提到,ISACA《資訊技術風險框架》除了提供資訊與技術相關風險,點對點與綜合的觀點,還涵蓋企業風險管理從高層的文化、利害關係人到第一線從業人員及操作問題。黃秘書長也特別表示,風險治理文化的思考,在企業內部是重要的,因為這宛如是一項紮根基礎,當態度思想建立了起來,執行與運作上會更為穩固。他也分享在ISACA在《資訊技術風險框架》內所提到的風險治理文化的思考點:
- 對承擔風險的行為、對承擔風險、識別風險和分析風險的規範和態度是什麼?
- 對政策的行為、政策是存在但沒有被遵守的東西嗎?政策是否會驅動行為?政策是否易於閱讀、理解和遵守?
- 對負面結果的行為企業如何處理負面結果、例外政策、損失事件、網路事件、錯失機會和事件調查?會從中吸取教訓並努力調整,還是不治本的指責?
溝通,經常是建立事情的起點,瞭解企業全景亦是。ISACA《資訊技術風險框架》也提到企業風險管理的工作流程,從溝通啟動開始,依序從風險識別及評鑑、風險分析及業務影響評估、風險回饋、風險報告及溝通,到最後的建議全景。這是一個順向的運作循環,其中框架也會提及到各種類的範例、策略、操