风险管理三步走
作者:admin 来源: 日期:2006-02-07 浏览
风险管理是我们作为信息系统内部审计师应当更多学习的主题。为什么呢?因为它给我们有效管理技术的的洞察力并且成为国际内部审计师协会的一个重要研究方向。

让我们从风险管理的定义开始吧。风险管理被定义为鉴别与控制组织的损失的程序。但是这不是我们作为内部审计师的工作吗?我们检查一个组织的内部控制并与(管理层)协商或提出改善内部控制的建议。这些咨询与建议促使组织更有效地控制损失与保存组织资源。


现在我们知道什么是风险,那么什么构成风险呢?答案有很多:公司资产的重置成本,索赔费用(包括法定费用),保险费用与控制成本,丧失的生产力,以及最终的管理费用与营业间接成本。风险另一方面也表现为由于服务差或不可靠的系统造成的机会、信誉与顾客善意的丧失。资产成本可能是有形的或无形。例如,一个公司的信息处理系统是有形的,而贮存其上的信息却是无形的,这些可能是组织的最有价值的资产。让我们将这个例了推向更深一步,给我们管理数据中心风险下更贴近的关注。


第一步是确定环境或取得我们想要保护的资产的目录。这些可能包括局域网、计算机、相关硬件、操作系统软件、存贮在系统上的信息、磁带库、数据处理设备与软件以及应用软件。


下一步是列举这些资产面临的风险,包括:
· 财务损失
· 诸如火灾、洪水、暴风等自然灾害危险。别的人为危险如断电、暴乱与战争
· 错误发生的频率与严重程度,无论人为的或机械的
· 窃取或变造程序与数据
· 缺乏计划与管理造成的问题


当风险被鉴别我们就需要一个系统来将其按严重程度排列。为了做这些,就要确定财务影响的估计、成本与可能性。确定严重性具有很多方法(如索引、比率与比较)。我喜欢的一个方法是计算损失的可能性并乘上它的估计成本。这是我一个偏好,因为它是DOLLAR-WEIGHTED的成本。这个数字或来自它的数据对于严重的估计是很好的 。甚至是比较应用控制成本的一个很好的尺度。待会儿将就此作更详细地讨论 。


第三步,我们选择一个合适的方法来消除或控制损失对组织的负面影响。例如:
· 排除或避免。以上所有的各条但自然灾害的可能例外都能通过这些方法被排除
· 转给其它组织包括外购与共同外购。
· 控制以减少(发生)频率或严重性。再次,自然灾害也许不可控制。
· 提供经费,既可通过保持也可通过转向其它组织。例如,保险公司提出覆盖前面提到的所有的危险与风险。(不包括缺乏计划与管理)


为你的组织挑选方法依赖于你的详细分析。记住,每个控制代表收益。为了选择一个合适的控制或财务方法,你应当首先评估收益(控制)与相关成本。方法选择应当提供最大的收益(也就是最大的控制)而成本最小。如果一项控制的成本超过收益,那么管理层最好容忍某事件的风险。