风险若干话题（原创）

zhuwm99 · 发表于 2007-6-25 18:45

这几天有机会和一些公司管理层的朋友交流IT审计或者技术风险管理，认识到技术风险管理的重要性已经越被管理层认可，并且都在考虑筹建相关的部门或人员招募。这里所言的技术主要还是IT及相关对象如ERP、各种业务系统、基础架构等。人们已经意识到IT已经成为维持和推动组织发展的基础设施（infrastructure），就象电力、通讯、空调、给排水等基础设施一样，人们很难想象如果没有这些设施，世界将如何运转。而随着组织对IT依赖程度的不断提高，IT本身的脆弱性，以及后果也逐渐显现。近来大家应该不断从报章中看到类似报道：证券市场火爆，证券交易系统菪机，甚至引起诉讼；网上银行黑客入侵；银行网络大面积瘫痪，服务中断；信用卡信息失窃；内部员工舞弊…。由于众所周知的原因，可以理解披露出来的案件只是冰山一角。但是这些案件给组织带来运营、监管、品牌、财务、客户满意度等损失，对企业的竞争力产生损害。
IT审计职能在总体上属于组织风险管理体系或者内部控制体系的组成部分，其总体目标在于帮助管理层识别、评估和改善IT相关控制。有朋友会问：这个难道不是IT部门在做的事情么。关于此问题，请参见前面的帖子《从公司管理到IT审计》。
周末我总是有时间无法打发，所以陆续会写一点东西供大家参考。本文作者声明：由于本文内容错误或者误导导致的损失，作者拒绝承担一切责任。

zhuwm99 · 发表于 2007-6-25 18:46

一、什么是风险(risk)
从风险基础审计(Risk based audit methodology) 角度来看，审计任务总是开始于风险评估，结束于审计建议，今天我们就谈谈风险评估这个题目。
所谓风险，是指组织运营中某种原因(Cause)造成的不确定性（uncertainty），而这些不确定性可能会对组织目标（objectives）造成影响（Impact）。可见定义一个风险必须明确4个要素：原因、不确定性、目标、影响，其中对目标的影响，如果是负面的，就是损失(loss)，当然最新的理论中，风险的影响不完全是负面的，也可能是正面的，这个就是机遇(opportunity)了。这个与ISACA关于风险要素描书似乎不完全相同。但是实质内涵是一样的。我们举例来看如何描述一个风险：
  例1：由于证券交易系统设计指标缺乏超前性和日常监控（cause），在证券市场火爆，交易量巨大的时候，处理能力可能难以保证（uncertainty），从而导致系统菪机、处理错误、反应迟缓（Impact），损害客户满意度，影响佣金及其他收入，并导致监管部门警告（objective）。
  例2：由于缺乏严格的系统访问权限管理政策或执行不力(cause)，可能存在滥用权限的情况(uncertainty)，使得公司资产损失，造成违规行为得不到及时发现和查处(例如篡改系统数据为自己谋利，impact)，甚至损害客户利益引起诉讼。
  例3：由于银行系统参数库制度不健全（cause），导致存贷款利率、准备金率等参数没有及时调整（uncertainty），从而违反监管政策(如存款利率超出人民银行规定，impact)，不能满足监管需要，导致监管处罚（ovjective）。
  按照影响的组织目标，风险可以分为不同类别，如：
- 财务风险是指可能影响公司利润，损害公司资产的所有风险…
- 系统风险是指影响系统的可用性、可靠性、安全性、一致性、效率、合规性的所有风险…
- 监管风险是指可能违反监管规定，造成监管部门处罚的所有风险…
- 信誉风险是指影响公司商誉的风险，如客户投诉对公司商誉导致的负面影响。
- 运营风险是指可能影响公司持续提供服务能力的风险如
- 舞弊风险是指可能存在内部或者外部人员利用漏洞为自己谋取利益。

zhuwm99 · 发表于 2007-6-25 18:48

所谓风险评估，就是要研究组织在当前的状况下，有哪些不确定性，原因是什么，对组织目标将产生什么样的影响，严重程度如何，有没有得到适当的控制。
   风险评估在很大程度上和内部控制评估相似，很多项目里面甚至没有区别。值得一提的是风险评估需要先识别风险得出风险列表，而控制评估前，已经对风险列表有比较清楚的认识了，按照已知的风险列表检查控制是否足够。从IT审计角度来看，一般应用环境的控制由于研究的较多，在大部分组织中具有共性，因而针对一般控制(General Control)的风险评估就可以对照公共接受(generally accepted)的标准来看，如COBIT、ISO17799等。银监会在年初搞的商业银行风险自评估应该就属于这种类型。而另外一种则相对难度大些，就是针对具体行业或组织自身的风险，具有个性色彩，需要较多的业务或组织背景，这个也可以看成针对应用控制的风险评估。例如银行和证券公司的业务内容不同、流程不同、组织架构也不同、监管要求也不同，识别并评估各自风险就需要不同的经营和技能了。
   前面讲了针对一般应用环境的风险评估，例如环境、运营、访问控制、开发、变更等已经有成熟的范式了，这里就不多说了，下面简要谈谈针对具体业务或者业务系统的风险评估。我们以某个具体行业为例，例如银行信贷管理系统。
   风险评估总是开始于业务，结束于控制。因此无论在哪一行业，掌握该行业特有的业务知识始终是项目成功的最重要的因素之一。业务知识如何获得不是本文要讨论的内容。
   仅有业务知识当然不够，否则公司的业务员都是风险管理专家了，另一件非常重要的事，就是将业务进行梳理，以流程(Process)作为单位将业务知识进行组织，始之具有更好的结构，应用所谓 “结构化分析方法”(structured analysis)。
   在应用结构化分析方法的时候，我们要锚定一个基准，即从某一个出发点，以某一个标准来进行分析，否则结构就很难完整。无论从上到下(Top Down)还是自底向上（Bottom up）。我们既可以从组织结构来分析，分析不同业务部门的职能范围。也可以按照审批流来进行分析。如果我们要研究的对象的经济活动可以分割成很多独立的，互不影响的单元，我们还可以按照某一经济活动的生命周期来进行研究。所谓生命周期就是一件事物从开始产生到最终消亡的全部过程。
   在分析银行信贷系统时，我们知道，银行的信贷业务是由很多笔独立的贷款业务构成的，我们假设：
1) 这些贷款的金额都足够小，不会影响银行的资产负债管理；
2) 这些贷款属于不同客户，而且没有关联关系；
3) 同一种类贷款的审批流程是明确定义的，可重复的。
那么我们就认为这些贷款业务是独立的，每笔业务都是是典型的。我们可以从每一类的贷款中，选取一个样本作为代表，这笔贷款从开始申请到贷款收回的流程可以代表总体。对信贷业务分析得到一个简要的列表如下：
   对于每一个流程，以及流程里面的每一个任务，根据其执行情况可以列举风险。
   我们可以针对每一个流程或者每一个任务来提出问题并发现答案，这些问题有些是common sense的，有些是基于业务特征的。例如：对于贷前调查流程，我们可以提出这样的问题：
- 能够给审批提供足够充分的信息么？
- 贷前调查的报告都是可靠的么？
- 调查员与客户共谋舞弊是否可以给自己谋取利益？
- 有没有对调查报告质量的评价标准？
- 有没有客户调查的方法、程序及规范？
- 如何判断财务指标的可靠性？
- 如何识别关联公司？集团公司？
对这些问题的答案，并进行整理，就是我们需要识别的风险点。对风险点可能造成的影响大小，损失大小，就是可以描述风险的严重程度。针对每个风险去调查有无足够的控制，并评价控制运行的情况，就是审计师的工作范围了。