38
根據 ISO 31000 對風險的定義表示風險( Risk )為一個事件潛在影響組織目標達成的機率及影響程度。莊盛祺建議,電腦審計人員或是資訊稽核人員,應該具備面對今日眾多的資訊系統可能產生的風險辨識能力,這對於日後查核過程將更能精準到位,他同時舉了幾個資訊系統風險的例子:
- 「資訊安全風險」,包括資料洩漏、非法存取、惡意程式與身分冒用 ;
- 「基礎設施風險」,包括網路中斷、資料中心故障、電力問題與雲端服務中斷;
- 「合規與法規風險」,包括未遵循資安法規、稽核失敗與政策不符;
- 「策略與專案風險」,包括IT專案失敗、技術選擇錯誤與系統實施延期等。
ISACA 資訊風險框架 風險管理與風險溝通
ISACA (國際電腦稽核協會)資訊風險框架(亦稱 Risk IT 框架),提及的風險管理原則有六大項目,平衡與資訊相關的風險成本及收益、提倡道德及開放交流、樹立基準和責任心、使用與策略一致的方法、連結企業目標、與風險管理原則 ERM ( ERM principles )保持一致。ISACA RISK IT 框架的風險管理原則是提供企業全面的引導方針。莊盛祺接續聚焦分享關於有效資訊與技術( I&T )風險溝通有三部分需雙方互為整合,缺一不可。如下:
- 期望部分:策略、政策、程序、認知、培訓等。
- 能力部分:風險管理作業成熟度。
- 狀態部分:風險概況、主要風險指標、損失資料等。
COSO ERM 企業風險管理整合策略與績效框架
提到稽核企業風險管理有效性,莊盛祺特別提及將風險管理與企業的策略制定和績效互為緊密結合的 COSO ERM企業風險管理整合策略與績效框架,此框架可提高企業策略制定與執行力,增強績效管理,以及企業合規的透明度。
COSO ERM 框架分為五個組成部分,分別為:
- 治理與文化 : 董事會行使風險監督、建立營運結構、界定期望的文化等。
- 策略與目標設定 : 分析業務脈絡、界定風險胃納、評估被選策略等。
- 執行 : 辨識風險、評估風險的嚴重性、風險排序等。
- 稽核與修正 : 評估重大的變化、複核風險與績效等。
- 資訊、溝通與報導 : 運用資訊與科技、溝通風險資訊等。
