淺談在COSO內(nèi)部控制整合框架下企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理

柳向輝

摘 要：互聯(lián)網(wǎng)的特點(diǎn)是信息共享，不是保護(hù)信息。因此處于互聯(lián)網(wǎng)環(huán)境中的企業(yè)需時(shí)刻防范網(wǎng)絡(luò)風(fēng)險(xiǎn)。COSO內(nèi)部控制整合框架為企業(yè)控制網(wǎng)絡(luò)風(fēng)險(xiǎn)提供了有效的指引。本文就COSO內(nèi)部控制整合框架下企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理做出了初步的探討。

關(guān)鍵詞：COSO內(nèi)部控制整合框架；網(wǎng)絡(luò)風(fēng)險(xiǎn)控

信息技術(shù)的發(fā)展讓企業(yè)經(jīng)營(yíng)環(huán)境發(fā)生了巨大的變化，越來越多的業(yè)務(wù)需要在互聯(lián)網(wǎng)的環(huán)境中完成，從訂單的生成，處理到收發(fā)貨和結(jié)算，許多業(yè)務(wù)環(huán)節(jié)實(shí)現(xiàn)了網(wǎng)上操作，人工現(xiàn)場(chǎng)參與越來越少。互聯(lián)網(wǎng)打破了時(shí)間和地域的限制，為企業(yè)創(chuàng)造了可觀的價(jià)值。在受益于互聯(lián)網(wǎng)的高效和便利的同時(shí)，企業(yè)也需a要時(shí)刻防范網(wǎng)絡(luò)入侵和應(yīng)對(duì)信息泄漏造成的損失和負(fù)面影響。因此企業(yè)的內(nèi)部控制必須做出相應(yīng)調(diào)整以適應(yīng)網(wǎng)絡(luò)時(shí)代的特點(diǎn)。

COSO內(nèi)部控制整合框架為企業(yè)識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)、管理網(wǎng)絡(luò)風(fēng)險(xiǎn)和實(shí)施控制活動(dòng)提供了有效的方法，指導(dǎo)企業(yè)從控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)方面的內(nèi)控要素來分析網(wǎng)絡(luò)風(fēng)險(xiǎn)，構(gòu)建具備安全性、警惕性和可恢復(fù)性的網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)控體系。

1 網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制環(huán)境

網(wǎng)絡(luò)風(fēng)險(xiǎn)控制環(huán)境是一套標(biāo)準(zhǔn)、流程和結(jié)構(gòu)，能夠?yàn)榻M織實(shí)施網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)部控制提供基礎(chǔ)。企業(yè)的董事會(huì)和管理層應(yīng)將實(shí)現(xiàn)安全性、警惕性、可恢復(fù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理機(jī)制設(shè)定為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的首要目標(biāo)并確保其在企業(yè)內(nèi)執(zhí)行順暢， 保證部署足夠的資源來保護(hù)重要的信息系統(tǒng)，制定適當(dāng)?shù)拇胧?yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)。由于大多數(shù)管理層成員的網(wǎng)絡(luò)和信息技術(shù)知識(shí)不足，在了解本企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)概況和應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)事件時(shí)應(yīng)積極尋求專業(yè)人士的幫助，充分認(rèn)識(shí)信息技術(shù)對(duì)組織流程和目標(biāo)的影響；在對(duì)企業(yè)的資源進(jìn)行分配時(shí)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果設(shè)定風(fēng)險(xiǎn)承受水平，保證將足夠的資源用于保護(hù)對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)至關(guān)重要的信息系統(tǒng)。

2 網(wǎng)絡(luò)風(fēng)險(xiǎn)的評(píng)估

網(wǎng)絡(luò)風(fēng)險(xiǎn)的評(píng)估是針對(duì)影響企業(yè)目標(biāo)實(shí)現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估活動(dòng)，幫助企業(yè)根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度和發(fā)生的可能性制定相應(yīng)的控制程序。面對(duì)內(nèi)外部的網(wǎng)絡(luò)風(fēng)險(xiǎn)，企業(yè)的風(fēng)險(xiǎn)評(píng)估可以通過評(píng)估其對(duì)實(shí)現(xiàn)組織目標(biāo)存在的不利影響和事件發(fā)生的可能性這兩方面來進(jìn)行。

①目標(biāo)識(shí)別：評(píng)估企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)首先要評(píng)估信息系統(tǒng)對(duì)企業(yè)實(shí)現(xiàn)目標(biāo)的潛在影響確定其價(jià)值，通常影響越大價(jià)值越大。COSO整合框架提供了企業(yè)的五類關(guān)注點(diǎn)：即經(jīng)營(yíng)目標(biāo)、外部財(cái)務(wù)報(bào)告目標(biāo)、外部非財(cái)務(wù)報(bào)告目標(biāo)、內(nèi)部報(bào)告目標(biāo)和合規(guī)目標(biāo)。企業(yè)的管理層和重要利益相關(guān)方應(yīng)引導(dǎo)風(fēng)險(xiǎn)評(píng)估過程，在業(yè)務(wù)和信息技術(shù)人員的高度配合下，根據(jù)企業(yè)目標(biāo)確定需重點(diǎn)保護(hù)的關(guān)鍵信息系統(tǒng)，確定企業(yè)可接受的風(fēng)險(xiǎn)水平。②對(duì)確定的關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行全范圍的識(shí)別和分析，評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)的嚴(yán)重程度和可能性進(jìn)而決定如何管理風(fēng)險(xiǎn)。在此過程中企業(yè)要重點(diǎn)關(guān)注容易遭受攻擊的信息系統(tǒng)及可能發(fā)生的攻擊行為，對(duì)這些行為建立預(yù)警機(jī)制。通過識(shí)別攻擊者的行為和方式，所用的技術(shù)、工具和流程，企業(yè)可以更好的預(yù)測(cè)風(fēng)險(xiǎn)，修補(bǔ)潛在的網(wǎng)絡(luò)漏洞，設(shè)計(jì)有效的控制措施，在攻擊發(fā)生時(shí)減小或規(guī)避風(fēng)險(xiǎn)，以保證重要資產(chǎn)的安全。③網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是一個(gè)動(dòng)態(tài)的持續(xù)的過程。內(nèi)部的和外部的風(fēng)險(xiǎn)變化對(duì)內(nèi)控體系可能造成重大影響。因此風(fēng)險(xiǎn)評(píng)估要預(yù)測(cè)這些變化并據(jù)此調(diào)整企業(yè)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的相關(guān)控制。

3 網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制活動(dòng)

網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制活動(dòng)是指針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的結(jié)果，企業(yè)應(yīng)當(dāng)制定相應(yīng)的政策和程序，將網(wǎng)絡(luò)風(fēng)險(xiǎn)控制在可接受范圍內(nèi)?？刂苹顒?dòng)能防范、發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)，更有效的降低潛在的網(wǎng)絡(luò)漏洞對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的影響。企業(yè)可按層級(jí)建立多層控制防線，防止攻擊者在擊破第一道防線后繼續(xù)侵入信息系統(tǒng)或可以減慢入侵者的入侵速度。

在多層控制防線中，可運(yùn)用的方法包括：①預(yù)防性和發(fā)現(xiàn)性控制相結(jié)合：有效的預(yù)防性控制使攻擊者無法進(jìn)入企業(yè)內(nèi)部信息系統(tǒng)或可以制造障礙延緩攻擊者的攻擊速度，企業(yè)可及時(shí)發(fā)現(xiàn)并盡早采取措施修補(bǔ)漏洞，可以評(píng)估潛在損失，進(jìn)而完善現(xiàn)有措施以預(yù)防和發(fā)現(xiàn)未來可能發(fā)生的類似攻擊。②信息技術(shù)一般控制：與其他業(yè)務(wù)控制相聯(lián)系的信息技術(shù)一般控制會(huì)幫助預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)入侵，使企業(yè)面對(duì)入侵時(shí)具備快速反應(yīng)和恢復(fù)能力。企業(yè)應(yīng)制定在發(fā)生網(wǎng)絡(luò)攻擊時(shí)應(yīng)得到通知的人員名單，使相關(guān)人員能快速采取進(jìn)一步措施降低風(fēng)險(xiǎn)。

4 網(wǎng)絡(luò)風(fēng)險(xiǎn)信息的形成和溝通

信息是企業(yè)決策的基礎(chǔ)，包括內(nèi)部信息和外部信息，貫穿于網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)控的各個(gè)環(huán)節(jié)。企業(yè)應(yīng)將已經(jīng)識(shí)別的相關(guān)高質(zhì)量信息要求及相關(guān)風(fēng)險(xiǎn)分析和應(yīng)對(duì)措施記錄成正式的文檔，保證流程和控制活動(dòng)一致性，避免因人員的流動(dòng)產(chǎn)生執(zhí)行的偏差。信息的來源包括：①企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)，企業(yè)應(yīng)具備從內(nèi)部產(chǎn)生的大量數(shù)據(jù)中生成及時(shí)的、相關(guān)的、高質(zhì)量的完整信息的能力，否則企業(yè)無法采取恰當(dāng)?shù)木W(wǎng)絡(luò)風(fēng)險(xiǎn)控制措施。②除了內(nèi)部信息，企業(yè)也可從外部獲得數(shù)據(jù)，包括：a同業(yè)組織信息：由于同行業(yè)中各個(gè)公司的信息系統(tǒng)的價(jià)值和運(yùn)用的技術(shù)是相似的，企業(yè)可通過與同行業(yè)組織共享信息、共同預(yù)測(cè)網(wǎng)絡(luò)事件發(fā)生趨勢(shì)，網(wǎng)絡(luò)攻擊行為的方式等，幫助企業(yè)預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)事件；b獲取政府等外部機(jī)構(gòu)的數(shù)據(jù)；c外包服務(wù)供應(yīng)商的數(shù)據(jù)：如果企業(yè)將部分業(yè)務(wù)或流程外包給其他機(jī)構(gòu)，為實(shí)現(xiàn)共同的外包服務(wù)效益，可將雙方相關(guān)信息共享。當(dāng)一方出現(xiàn)影響另一方運(yùn)營(yíng)的風(fēng)險(xiǎn)事件，共享與該風(fēng)險(xiǎn)事件相關(guān)的信息可以增強(qiáng)雙方的快速反應(yīng)和恢復(fù)能力，幫助識(shí)別和控制網(wǎng)絡(luò)風(fēng)險(xiǎn)。

企業(yè)信息的質(zhì)量依賴于有效的數(shù)據(jù)治理。企業(yè)應(yīng)明確責(zé)任和義務(wù)，遵循數(shù)據(jù)治理的相關(guān)原則，保護(hù)數(shù)據(jù)和信息避免未經(jīng)授權(quán)的訪問和修改，從而保證信息的質(zhì)量。被識(shí)別的信息應(yīng)能無障礙地傳遞到企業(yè)內(nèi)部控制的各個(gè)環(huán)節(jié)，包括：①全體員工：自然人具有的一些社會(huì)特性，如信任他人、好奇心等使其成為網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)控鏈條上的最薄弱的環(huán)節(jié)，網(wǎng)絡(luò)攻擊者善于利用人的這些天性，通過發(fā)送郵件、贈(zèng)送免費(fèi)移動(dòng)設(shè)備等方式，只要員工在企業(yè)網(wǎng)絡(luò)中點(diǎn)擊或使用了這些設(shè)備，攻擊者就可以成功入侵。針對(duì)這些情況比較有效的辦法是定期開展全員網(wǎng)絡(luò)安全培訓(xùn)，提升全體員工對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)鑒別的能力和網(wǎng)絡(luò)安全責(zé)任感，降低攻擊者從普通員工入手開展網(wǎng)絡(luò)攻擊的可能性。培訓(xùn)可以采取專題講座，例行培訓(xùn)，網(wǎng)絡(luò)入侵熱點(diǎn)問題培訓(xùn)、在企業(yè)范圍內(nèi)發(fā)布消息等形式，使網(wǎng)絡(luò)安全信息及時(shí)有效地傳遞給每個(gè)員工。②網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)管責(zé)任人，包括企業(yè)的管理層成員、網(wǎng)絡(luò)信息技術(shù)人員等。管理層成員的任務(wù)是選擇、執(zhí)行和部署內(nèi)控，保證內(nèi)控信息在企業(yè)內(nèi)部共享。網(wǎng)絡(luò)信息技術(shù)人員除在技術(shù)上保證信息系統(tǒng)的運(yùn)行和安全外，還需生成和維護(hù)正式的網(wǎng)絡(luò)控制文檔。支持網(wǎng)絡(luò)風(fēng)險(xiǎn)控制管理目標(biāo)的正式文檔是提升企業(yè)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)能力的有效渠道，也是企業(yè)評(píng)估控制設(shè)計(jì)和實(shí)施有效性的途徑，是保護(hù)企業(yè)信息系統(tǒng)的有效有段。③董事會(huì)。董事會(huì)在網(wǎng)絡(luò)風(fēng)險(xiǎn)控制體系中扮演著重要的角色：通過了解影響企業(yè)目標(biāo)的網(wǎng)絡(luò)趨勢(shì)，認(rèn)識(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)，設(shè)定風(fēng)險(xiǎn)承受度，確定實(shí)施控制措施，明確對(duì)管理層所確立的風(fēng)險(xiǎn)應(yīng)對(duì)流程和程序的期望。因?yàn)榇蟛糠侄聲?huì)成員對(duì)于網(wǎng)絡(luò)和信息技術(shù)的相關(guān)知識(shí)是有限的，網(wǎng)絡(luò)技術(shù)人員或聘請(qǐng)外部專家利用相關(guān)信息技術(shù)框架和標(biāo)準(zhǔn)，將技術(shù)性很強(qiáng)的內(nèi)容轉(zhuǎn)換為即使是沒有專業(yè)背景的人員也可以理解的內(nèi)容就顯得十分重要，只有概念清楚了，董事會(huì)和管理層才能實(shí)現(xiàn)有效溝通，才能保證董事會(huì)履行網(wǎng)絡(luò)風(fēng)險(xiǎn)控制監(jiān)督職責(zé)。董事會(huì)層面的溝通除定期進(jìn)行的網(wǎng)絡(luò)風(fēng)險(xiǎn)討論外，也應(yīng)建立對(duì)臨時(shí)出現(xiàn)的重大網(wǎng)絡(luò)風(fēng)險(xiǎn)事件與管理層的溝通渠道，董事會(huì)可依據(jù)管理層提供的相關(guān)高質(zhì)量信息在進(jìn)行外部溝通前做出迅速反應(yīng)。④外部機(jī)構(gòu)：包括所有者、客戶、供應(yīng)商、銀行、政府機(jī)構(gòu)和其它外部機(jī)構(gòu)。從外部到企業(yè)內(nèi)部的溝通能影響網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和控制活動(dòng)；從內(nèi)部到外部的溝通能向相關(guān)方傳遞與網(wǎng)絡(luò)事件、活動(dòng)相關(guān)的信息，或者其它可能影響外部相關(guān)主體與企業(yè)互動(dòng)的情況。在這些溝通過程中，企業(yè)會(huì)獲取有價(jià)值的信息。需要注意的是，企業(yè)要加強(qiáng)向外部提供信息的控制，積極的信息可以塑造良好的企業(yè)形象，是企業(yè)具備可恢復(fù)力的一種表現(xiàn)；反之不受控的信息會(huì)被其它組織利用，會(huì)對(duì)企業(yè)造成負(fù)面影響。由此可見風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)、制度和流程是多么重要。

5 網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)控制設(shè)計(jì)及執(zhí)行的監(jiān)督

為了減少潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)，組織應(yīng)對(duì)控制活動(dòng)的設(shè)計(jì)和執(zhí)行的有效性開展持續(xù)評(píng)估和單獨(dú)評(píng)估，確?？刂苹顒?dòng)有效并持續(xù)進(jìn)行。由于網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的專業(yè)性使然，在監(jiān)督過程中專業(yè)人員的參與十分必要，企業(yè)也可聘請(qǐng)外部專家進(jìn)行協(xié)助。對(duì)于有外包服務(wù)供應(yīng)商的企業(yè)，監(jiān)督活動(dòng)還需要延伸到有共享數(shù)據(jù)的外包服務(wù)供應(yīng)商的網(wǎng)絡(luò)。對(duì)這方面的監(jiān)督所需信息，企業(yè)可以直接從服務(wù)商處獲取，如審計(jì)報(bào)告等，也可考慮其它途徑，目標(biāo)是確保供應(yīng)商的網(wǎng)絡(luò)具備安全性及警惕性。

監(jiān)督活動(dòng)的有效性能保證企業(yè)在面對(duì)可能影響其目標(biāo)實(shí)現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生變化時(shí)，能更好的部署內(nèi)部控制，保證網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化是可控的、能預(yù)見的。

企業(yè)對(duì)監(jiān)督活動(dòng)中發(fā)現(xiàn)的問題應(yīng)及時(shí)進(jìn)行評(píng)估，并及時(shí)溝通缺陷，如有重大事項(xiàng)應(yīng)向高級(jí)管理層和董事會(huì)報(bào)告。通過對(duì)問題的有效溝通，企業(yè)需要分析產(chǎn)生問題的根本原因并修正控制活動(dòng)，這也是是實(shí)施有效的整改活動(dòng)的前提。

互聯(lián)網(wǎng)已滲透到現(xiàn)代生活的各個(gè)角落。信息技術(shù)的發(fā)展使企業(yè)時(shí)時(shí)刻刻地暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之中。如果用被動(dòng)的方式管理網(wǎng)絡(luò)風(fēng)險(xiǎn)，遭受網(wǎng)絡(luò)攻擊后產(chǎn)生的后果將非常嚴(yán)重，有可能導(dǎo)致企業(yè)經(jīng)營(yíng)萎縮甚至破產(chǎn)。技術(shù)的發(fā)展、企業(yè)的創(chuàng)新、黑客手段的成熟都使網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理變得越來越困難。企業(yè)應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的重視，適當(dāng)增加投入，以COSO內(nèi)部控制整合框架為指引，建立具備安全性、警惕性和可恢復(fù)性的信息系統(tǒng)，以實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)部控制的目標(biāo)。

參考文獻(xiàn)：

[1]Mary E.Galligan& Kelly Rau 著.楊敏，歐陽宗書等譯.網(wǎng)絡(luò)時(shí)代的內(nèi)部控制[J].財(cái)務(wù)與會(huì)計(jì)，2015（8）.