首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 写好风险报表的关键

写好风险报表的关键

风险
作者: Benjamin Power, CISA, CPA
发表日期: 2022年8月26日

有效地管理组织的风险, 风险必须由信息系统专业人员识别和分析. 风险因素应以清晰和简洁的方式进行沟通,以便所有利益相关者都能理解. 这可以通过编写有效的风险声明来实现.

一份好的质量风险报告的指标是它能回答以下问题:

  • 会发生什么??
  • 为什么会发生呢??
  • 澳门赌场官方下载为什么要关心?

在声明中总结风险识别和分析并不是一门科学,也没有特定的公式可以做到正确. 然而, 国际标准化组织(ISO)标准ISO 31000:2009提供了指导 风险管理原则和指导方针 这有助于更好地阐明风险.

写一份好的风险陈述的关键是对风险组成部分及其相互关系有一个基本的理解. 理解关键的风险相关术语, 他们的定义, 业务及其目标将导致更有效的风险表达.

写一份好的风险陈述的关键是对风险组成部分及其相互关系有一个基本的理解.

需要理解的风险术语和定义

举例说明风险术语和定义在实务中的应用, 可以考虑一个虚构的银行,其目标是保证机密客户信息的安全,该银行正在实现对处理客户信息的高度复杂的客户帐户管理系统的更改. 关键的定义是:

  • 风险- - - - - -不确定性对目标的影响1
  • 效果,偏离:对预期的偏离.2 示例中的影响是偏离了客户信息被保护的预期条件. 预期条件是指银行既定目标和政策所预期的条件.
  • 不确定性,国家, 甚至部分, 缺乏对某一事件的理解或知识的缺乏, 它的后果, 或可能性.3 示例中的不确定性来自于由于客户帐户管理系统高度复杂且本质上难以理解而无法完全理解变更的后果. 风险区域越复杂,其固有的不确定性就越大. 示例中的目标是让银行保证机密客户信息的安全.
  • 事件- - - - - -一系列特殊情况的发生或变化,可能有几个原因.4 在这个例子中, 事件可能看起来是系统变化本身, 但如果改革顺利进行,就不会对目标产生直接影响. 事件必须对目标产生影响. 与更改问题相关的数据泄漏将是一个事件, 因为这直接影响到客户信息保密的目的.
  • 原因- - - - - -引起任何行为、现象或状况的事物.5 重要的是不要把事件的原因弄错了. 在这个例子中, 有缺陷的变化, 例如加密算法没有按预期加密数据, 导致数据泄露. 有缺陷的更改不会对保护客户信息的目标产生直接影响, 所以在这种情况下不应该被视为一个事件, 而是一个原因. 数据泄漏, 另一方面, 是否对目标有直接影响,所以在这种情况下它不会是一个原因. 在适用的情况下,风险陈述可以包含多个原因.
  • 结果- - - - - -影响目标的事件的结果.6 风险陈述的这一要素很重要,因为它突出了人们应该关注风险的原因. 至关重要的是,这是相关的, 貌似有理,, 在理想的情况下, 量化以赋予该元素实际意义. 一个模糊的“名誉损害”声明是不够的. 这种对组织声誉的损害将如何影响组织? 如果该组织是一个有效的垄断澳门赌场官方下载,声誉损害可能不是问题. 理想情况下,结果需要使用行业研究数据进行量化, 内部管理信息或已知的因果关系, 例如,已知的由监管机构征收的固定罚款,或已知的客户数据泄露实例对客户的影响. 这方面的一个很好的例子是最高罚款500英镑,英国信息专员办公室(Information Commissioner 's Office)可以针对机密客户数据泄露事件或客户流失事件征收6000英镑的罚款.4%来自行业研究报告.
  • 可能性,The chance of something happening; risk is a combination of potential events and consequences along with the associated likelihood of occurrence.7 在这个例子中,“某事”指的是潜在事件和结果的组合. 通过对行业内类似事件的频率分析,可以合理估算出可能性, 来自内部组织事件或问题数据库的特定技术以及与主题专家的咨询. So, 考虑到这个例子, 风险分析师可能会查看在内部损失事件数据库中登记的过去12个月的损失事件数量, 外部数据库,如隐私权信息交换所, 或者媒体扫描, 与控制不良的变更相关的原因记录在哪里. 将这些事件的频率与所做更改的总数进行比较,可以对事件重复发生的可能性进行基本估计.

基于这些定义,风险陈述应该是这样的:

(对目标有影响的事件) 引起的 (原因/ s) 导致 (结果/ s).

另一个版本是:

(对目标有影响的事件) 引起的 (原因/ s). 这可能 导致 (结果/ s).

如果风险陈述语句太长并且需要拆分以提高清晰度,则最好使用后一种版本. 例如,如果存在许多关键风险原因,就可能发生这种情况.

以前面的例子来说明这一点, 如果银行的目标是“保护客户机密信息的安全”,而事件是客户数据泄露, 由有缺陷的系统变更引起的腐败或不可用性, 风险陈述可以是:

客户数据泄露、损坏或不可用 引起的 有缺陷的系统变更导致金融欺诈损失100万英镑,并被信息专员办公室罚款500英镑,000, 客户流失率6.4%,以及审慎监管局的监管制裁.

数据泄漏、损坏和不可用是信息安全故障事件. 也就是说,保护信息安全(目标)已经偏离了(效果)。. 未经授权的, 有缺陷或不合适的变化是对目标产生这种影响的原因, 而后果则是根据组织未能实现其目标所发生的情况来定义的.

结论

如果风险清晰地表达出来,就能更有效地理解和管理风险. 这可以通过在编写风险声明时引用风险定义来实现. 了解有风险的目标也是关键. 审计和控制专业人员是否必须编制信息丰富且与情况和受众相关的简明风险报表,以确保风险报表具有影响并支持有效的风险管理.

编者按

这篇文章节选自一篇发表在 ISACA® 杂志. 阅读全文。”写好风险报表,在vol中. 3、2014年的 ISACA杂志.

尾注

1 国际标准化组织, ISO 31000:2009, 风险管理原则和指引2009年,瑞士
2 同前.
3 同前.
4 同前.
5 牛津大学出版社, 牛津英语词典, UK, 2013
6 Op cit国际标准化组织
7 同前.

Benjamin Power, CISA, CPA

参加过IS审计吗, 在国际控制和安全领域从事金融服务十余年, 能源, 零售及服务业, 以及政府部门. Power是一位经验丰富的风险和审计专业人士,拥有IT开发和管理的实践背景, 澳门赌场官方下载治理与会计.