趋势与观点 | COBIT重点领域:信息和技术风险——内部审计分析模型
风险管理在任何组织中都是一项重要职能。金融服务组织通常采用三道防线的方法来管理组织内部的风险。第一道防线(信息和网络安全、IT以及风险和控制团队)拥有风险,并需要执行风险和控制自我评估。第二道防线(运营、IT和信息安全风险管理团队)建立了治理框架,并挑战第一道防线。第三道防线(内部审计)确保第一道防线和第二道防线准确、完整地执行所需的风险管理职能。
第三道防线(内部审计小组)可以利用《COBIT重点领域:信息和技术风险》(COBIT IRFA)这一出版物作为评估组织技术和安全风险活动完整性和准确性的工具。COBIT IRFA提供了实施和维护企业技术和风险管理框架、审计计划和范围的全面指南,这对于确保审计团队能够有效执行全面评估至关重要。
内部审计初步评估
内部审计组(IAG)通过两种与信息和技术(I&T)风险管理框架(ITRMF)成熟度水平相一致的方法来增加价值。对于ITRMF成熟度级别为0或1的组织,IAG将通过对正在开发的治理框架的识别和实施提出质疑来独立评估该组织的ITRMF。IAG还在里程碑完成时评估ITRMF的进展情况。或者,IAG可以执行审计,以评估ITRMF的完整性和有效性。然后,IAG可以根据重点领域的COBIT®2019成熟度级别评估组织的ITRMF,以确定适当的审计方法(图1)。成熟度级别为3的组织可能需要混合审计方法。
图1 – 重点领域成熟度级别
来源:ISACA®, COBIT® 2019 Framework: Introduction and Methodology, USA, 2018
成熟项目评估
在本例中,组织的成熟度级别为4或5,这意味着组织具有可持续的ITRMF。在这种情况下,审计目标是确保ITRMF的完整性和有效性,并且可以根据COBIT IRFA评估ITRMF的完整性。审计的第一步是评估ITRMF的完整性,包括角色和责任、风险委员会以及政策和程序。COBIT IRFA以图2所示的关键角色和责任开始风险管理结构。每个角色的任务在单独的图表中注明。IAG可以使用图2和COBIT IRFA中的辅助审查员/可问责人员(3.4、3.7、3.11)来评估组织的风险管理角色和责任,识别和评估适当性差异。图表内容应包括在工作底图中,并根据组织的角色和责任进行评估,评估职责和监督的职责适当分离。例如,图2中的企业风险管理(ERM)委员会描述可以与组织的ERM委员会章程进行比较。在加强风险管理监督方面,组织可能有不同的角色,例如向ERM委员会报告重大风险的风险小组委员会。IAG应评估小组委员会的作用,以确定ERM和小组委员会章程之间的界限。
图2 - COBIT关键角色和I&T风险职能的组织结构
来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021
另一项审计测试是评估ITRMF的策略、标准、指南、模板、培训和其他指南的完整性。策略应明确规定角色和责任。标准应提供所需模板完成的指南。培训应通过提供详细的ITRMF执行说明来提高策略和标准。图3可用作评估组织ITRMF策略的基准。
图3 - 风险政策目录示例
来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021
ITRMF的审计评估应遵循合规性测试。第二道防线应监督ITRMF要求的执行,以确保完整性和准确性。IAG应评估第二道防线风险管理监督活动的完整性。审计测试步骤可以与以下保持一致:I&T风险概况;I&T风险沟通计划;I&T风险图;IT风险偏好、容忍度和能力;关键风险指标(KRI);以及新兴的I&T风险问题和因素。风险沟通计划(图4)可以转换为审计步骤。计划的第一步是准确定义风险沟通的类型、频率和接收者。该步骤可转换为审计测试步骤,要求IAG验证文档化的沟通计划是否阐明了风险沟通的类型、频率和接收者。
图4 – 风险沟通计划
来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021
如前所述,有两个审计目标:确保ITRMF的完整性和有效性。ITRMF有效性由第二道防线通过指标或其他技术来决定的,例如利用KRI。图5描述了风险所有者在创建KRI时应该考虑的相关属性。风险所有者可能有一个监控系统项目质量的KRI,第二道防线可能监控KRI值,以评估管理层是否应对超过阈值的KRI值采取行动。然后,IAG将评估第二道防线是否需要监控和质疑个别和汇总的KRI值。如果修正了超过阈值的KRI值,则认为ITRMF有效;如果KRI值持续长时间超过阈值,则认为ITRMF无效。
图5 – 关键风险指标
来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021
结论
IAG人员依靠最佳实践制定和执行ITRMF审计计划。这种方法对于确保审计的完整性、有效性和一致性非常重要。COBIT IRFA可以转换为ITRMF审计程序。ITRMF团队可以使用该框架构建ITRMF计划,审计团队可以使用COBIT IRFA框架评估组织的ITRMF计划。与采用最佳基准实践的其他审计一样,IAG人员必须根据特定组织的组织结构和ITRM要求定制COBIT IRFA要素。编者注:本文首次发表于2021年12月6日ISACA官网News and Trends /Industry News。文章内容仅代表作者本人观点。
《COBIT重点领域:信息和技术风险》拥有广泛的目标受众,因为它涉及到所有在其工作职责中关注企业风险的人(如安全专业人员和治理专业人员)。本文重点介绍了该出版物对IT审计员的好处。感兴趣的朋友可登陆ISACA官网下载:https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KmAREA0
作者:Linda Kostic,DIT,CISA,CISSP,CPA,在金融服务行业拥有30多年的审计和风险经验。她是ISACA®的专家评审,负责ISACA的COBIT重点领域:信息和技术风险、风险IT框架、向董事会报告网络安全风险、COBIT®5在线框架和COBIT®4.1。她还是ISACA董事会审计和风险委员会的成员。Kostic目前在马里兰大学全球校区的担任网络安全兼职教授。
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。