风险管理在任何组织中都是一个重要的功能. 金融服务组织通常采用三道防线方法来管理组织内的风险. 第一道防线(信息和网络安全), IT和风险与控制团队)拥有风险,并且需要执行风险与控制自我评估. 第二道防线(可操作), IT和信息安全风险管理团队)建立治理框架并挑战第一道防线. 第三道防线(内部审计)确保第一道和第二道防线准确、完整地执行所需的风险管理功能.
第三道防线(内部审计组)可以利用 COBIT关注领域:信息和技术风险:使用COBIT® 2019 (COBIT IRFA)出版物,作为评估组织的技术和安全风险活动的完整性和准确性的工具. COBIT IRFA为实现和维护澳门赌场官方下载技术和风险管理框架提供了一个全面的指南, 审核计划, 和范围, 哪些是确保审核组能够有效地执行全面评估的关键.
初步内部审计及评估
内部审计小组(IAG)通过与信息和技术(I)相一致的两种方法增加价值&T)风险管理框架(ITRMF)成熟度等级. 对于ITRMF成熟度级别为0或1的组织, IAG将通过挑战正在开发的治理框架的识别和实现来独立评估组织的ITRMF. 专家组还在里程碑完成时评估ITRMF的进展情况. 另外, 审计小组可以执行审计,以评估ITRMF的完整性和有效性. 然后,IAG可以对组织的ITRMF进行评估 COBIT® 2019 确定适当审核方法的重点范畴的成熟度级别(图1). 成熟度级别为3的组织可能需要混合审计方法.
图1 -重点领域的成熟度级别
来源:ISACA®, COBIT® 2019框架:介绍和方法,美国,2018
成熟项目评估
对于这个例子, 组织的成熟度级别为4级或5级, 这意味着该组织拥有可持续的ITRMF. 在这种情况下, 审核目标是确保ITRMF的完整性和有效性, ITRMF的完整性可以根据COBIT IRFA进行评估. 第一个审计步骤是评估ITRMF的完整性, 其中包括角色和职责, 风险管理委员会, 政策和程序. COBIT IRFA以关键角色和职责开始风险管理结构,如中所述 图2. 每个角色的任务在单独的图表中注明. IAG可以使用 图2 支持审稿人/责任人(3).4, 3.7, 3.11)在COBIT IRFA中评估组织的风险管理角色和责任, 识别和评估差异的适当性. 图形内容应包含在工作纸图表中,并根据组织的角色和职责进行评估, 评估职责和监督的适当分离. 以澳门赌场官方下载风险管理(ERM)委员会的描述为例 图2 可以与组织的ERM委员会章程进行比较吗. 组织可能有不同的角色来加强风险管理监督, 例如向ERM委员会报告重大风险的风险小组委员会. 专家组应评估小组委员会的作用,以确定ERM和小组委员会章程之间的划分.
图2-COBIT的关键角色和组织结构&T风险函数
资料来源:ISACA, COBIT关注领域:信息和技术风险:使用COBIT® 2019, 美国,2021年
另一个审计测试是对ITRMF政策的评估, 标准, 的指导方针, 模板, 培训和其他指导的完整性. 政策应该清楚地阐明角色和责任. 标准应该提供所需模板完成的指导. 培训应通过提供详细的ITRMF执行说明来加强政策和标准. 图3 可以用作评估组织ITRMF政策的基准吗.
图3 -风险策略目录示例
资料来源:ISACA, COBIT关注领域:信息和技术风险:使用COBIT® 2019, 美国,2021年
在对ITRMF进行审计评估之后,应该进行合规性测试. 第二道防线应该监督ITRMF需求的执行,以确保完整性和准确性. 国际审计小组应评估风险管理监督活动的第二道防线的完整性. 审计测试步骤可以与I保持一致&T risk profile; I&T risk communication plan; I&T risk map; IT risk appetite, tolerance and capacity; key risk indicators (KRIs); and emerging I&风险问题和因素. 风险沟通计划(图4)可转换为审核步骤. 该计划的第一步是准确地定义类型, 风险通报的频率和接收者. 此步骤可以转换为审计测试步骤,该步骤要求IAG验证文档化的通信计划是否阐明了类型, 风险通报的频率和接收者.
图4风险沟通计划
资料来源:ISACA, COBIT关注领域:信息和技术风险:使用COBIT® 2019, 美国,2021年
如前所述, 审计有两个目标:确保ITRMF的完整性和有效性. ITRMF的有效性由通过度量或其他技术的第二道防线决定, 比如利用KRIs. 图5 描述了风险所有者在创建kri时应该考虑的相关属性. 风险所有者可能拥有监视系统项目质量的KRI, 第二道防线可以监测KRI值,以评估管理层是否应该对超过阈值的值采取行动. 然后,IAG将评估第二道防线是否需要监测和质疑个人和总体的KRI值. 如果超过阈值的KRI值得到补救,则认为ITRMF有效, 如果KRI值长时间持续超过阈值,则视为无效.
图5 -关键风险指标
资料来源:ISACA, COBIT关注领域:信息和技术风险:使用COBIT® 2019, 美国,2021年
结论
IAG人员依靠最佳实践来构建和执行ITRMF审计程序. 这种方法对于确保审计的完整性、有效性和一致性非常重要. COBIT IRFA可以转换为ITRMF审计程序. ITRMF团队可以使用框架来构建ITRMF计划,审核团队可以使用COBIT IRFA框架来评估组织的ITRMF计划. 就像其他采用最佳实践进行基准测试的审计一样, IAG人员必须根据特定组织的组织结构和ITRM要求定制COBIT IRFA元素.
编者按
目标受众为 COBIT关注领域:信息和技术风险 是广泛的,因为它涉及到所有在其工作角色过程中关注澳门赌场官方下载风险的人员(例如安全专业人员和治理专业人员)。. 本文主要讨论该出版物对IT审计人员的好处.
琳达·科斯蒂克,DIT, CISA, CISSP, CPA
在金融服务行业有超过30年的审计和风险管理经验, 开发了IT审计, 澳门赌场官方下载风险管理, 第三方风险管理和操作风险管理程序和框架 COBIT®. 她是ISACA澳门赌场官方软件® ISACA的专家评审 COBIT关注领域:信息和技术风险, 风险IT框架, 向董事会报告网络安全风险, COBIT® 5在线框架 和COBIT® 4.1. 她曾在ISACA的风险咨询工作组任职,该工作组负责开发和加强出版物和认证计划. 她也是ISACA董事会审计和风险委员会的成员. Kostic是马里兰大学全球校区(Adelphi)的网络安全兼职教授, 马里兰, 美国).