清晰的建模是成功实施系统的基本步骤。同样的概念也适用于企业风险管理系统（ERMS）。

风险不是一种周期性现象。随着时间的推移，组织的风险状况会随着威胁、漏洞和目标的变化而变化。无论风险是以新形式出现还是已经观察到的形式存在，预测风险的精确公式尚未被发现。

然而，风险管理却是一个周期性的过程。必须定期形成对风险的理解，即依次识别风险并评估其水平，决定如何解决风险，实施所选方案，监控处理进度，向管理层展示新的风险形势，然后形成闭环。

风险管理策略源于所采用的风险方法，并适应企业有效实施该方法的能力。没有任何一种方法能够超越其他方法，但根据组织的情况和背景，特定的方法可能被证明是最合适的。每种方法遵循的阶段顺序并不总是相同，即使这只是分类问题（即使用不同的词语来表达相同的含义。例如，接受还是保留、缓解还是减少、处理还是预防都可以用来代表相同的想法）。

风险管理首先是一个系统，因此由一系列相互作用的流程组成，这些流程要么按顺序使用已完成阶段的输出作为下一阶段的输入，要么以横向方式共同影响多个阶段。为了保证顺序的连贯性，有必要简单而准确地定义每个阶段的任务。此外，术语“系统”意味着支持和控制已识别任务的特定组织角色和责任的定义。

风险定义

要理解一个系统，首先要从它的组件开始，而在风险的情况下，这些组件是从它的定义中获得的。在风险的各种定义中，有些只是简单地提供了风险是什么、如何形成以及应考虑哪些指标等基本概念。国际标准化组织 (ISO) 和美国国家标准与技术研究所 (NIST) 对风险事件的定义可用于构建风险管理的讨论：

1. 不确定性对目标的影响

2. 事件发生的概率及其后果的组合

3. 使用威胁、脆弱性、可能性和影响来确定风险

第一个定义是目前最广泛使用的。它将业务目标视为风险管理系统的方向标。根据这一原则，保护关键资产并管理不确定性对于实现目标至关重要。换句话说，目标确定了组织资产，其价值将成为影响评估的参考点。

第二个定义侧重于构成风险的要素。定义风险级别的方法必须至少考虑风险事件发生的可能性以及对目标实现产生可衡量后果的可能性。所衡量的后果是那些涉及组织资 产的后果，正如风险的第一个定义所确定的那样。

第三个定义并不那么简单，而是从前两个定义衍生而来，强调了风险事件的关键因素。它重点关注导致风险的威胁、强调薄弱的控制导致脆弱性、衡量事件发生可能性的概率以及代表后果程度的影响。

关键风险因素集与组织资产一起定义了在测量或评估方面应考虑哪些要素，以确定事件的风险级别。

企业风险管理体系描述

通过分析各种风险方法，选择每种方法最有特征的阶段，并消除冗余和不一致，可以获得线性的活动序列。应清楚、明确地列出这些活动，以促进执行。通过图形化的方式将它们有序地排列起来，形成一个总体视图，描述企业风险管理体系的方案，包括其阶段和主要关系。图1描述了阶段顺序并强调了风险管理中的操作任务。ERMS表示的最内层循环是操作阶段的序列，而最外层循环由宏观阶段组成，具有组织性质，以确保决策、评估和操作流程的正确结果。该图还说明了跨越整个风险管理系统的基本流程，例如沟通、文化和监控。

风险治理

风险治理代表一个结构化流程，用于定义和控制与风险管理系统相关的整套活动，以确保实现高级管理层期望的结果。该流程的主要任务是监督每项活动，以保证系统的运行有效性，并协助风险负责人做出方法或操作决策。风险治理必须表现出领导力和对维护有效风险管理体系的承诺，因为这也会影响组织中的风险文化。

风险语境

风险语境阶段是循环序列的逻辑起点，由高级管理层定义管理风险管理周期所需的所有要素。根据风险报告阶段的结果，高级管理层可以决定是否审查业务目标、进行政策变更、改变风险承受能力/偏好、审查风险方法或对 ERMS 进行组织变更。同时，还可以根据企业使命或愿景的任何变化重新考虑风险范围。不仅如此，业务目标的任何变化也可能导致识别风险时要考虑的组织资产集的变化。

风险沟通

根据定义，风险沟通是一个跨越所有阶段的过程。风险沟通执行两项主要行动：传播为告知 ERMS 运营模式而制定的组织规则，以及向所有利益相关者分发监控和评估结果。该流程必须具有适当的结构，以确保信息流的连续性和及时性，包括在操作程序中对其进行描述。特别关注从风险背景阶段到风险事件识别的后续阶段沟通业务目标和风险偏好的有效性。

风险评估

风险评估是在风险从业者的授权下进行的宏观阶段。它由三个阶段组成，首先分析风险背景，以理解和定义风险场景。风险评估继续测量概率和影响这两个参数，这是评估组织风险级别的第三阶段所必需的。

风险识别

风险识别是风险评估过程的第一阶段，涉及风险场景的创建。它需要数据收集的准确性，但也需要发挥想象力来识别场景的所有元素。描述风险的基本要素是组织的资产、威胁、漏洞和控制。组织结构（即角色和职责）对于重建各个元素之间的交互也很有用。资产与其所针对的威胁或漏洞之间的每一种关系都构成了风险场景。

创建组织资产列表包含两个步骤。首先，在风险语境阶段将最关键的资产确定为直接源自业务目标。接下来，确定对风险语境阶段所选资产的功能至关重要的任何其他资产。

为了评估威胁和漏洞，可以执行优势、劣势、机会和威胁 (SWOT) 分析。该技术对于评估企业的这四个方面非常有用。漏洞是控制弱点，并且始终是内部因素。威胁通常源自公开目录中的现有分类法，然后在特定的风险语境下进行评估。

收集对识别风险有用的所有元素后，有必要了解如何根据它们对业务目标的潜在影响将这些元素排列在一起。为了表示风险场景，最好使用标准方法，例如统一建模语言 (UML) ，这是一种通用可视化建模语言，旨在提供一种简单的方法来可视化系统设计。标准的使用极大地促进了团队之间的沟通，特别是当他们在组织外部时。

风险分析

风险分析是风险评估过程的第二阶段。输入的是风险场景，必须从两个方向进行解释和评估，即风险事件发生可能性的估计和对业务目标影响的确定。

为了评估风险发生的概率，如果没有可靠的数字序列，可以使用定性评估。这可以通过模拟现实场景来实现，其中包括场景中资产的交互、威胁和相关控制的成熟度，然后请求控制所有者进行上下文评估。对于影响评估，在缺乏更可靠的评估的情况下，可以绘制资产/威胁/成熟度控制组合图，并在业务影响分析 (BIA) 中搜索它们。本文件由管理人员起草业务职能，通常与风险负责人一致。BIA 的输出是估计的预期影响。

风险评价

风险评价是风险评估过程的第三阶段，通常是工作量要求最低的阶段。通常，它由用于计算风险水平的公式或矩阵组成，风险的第二个定义对此进行了说明。如何降低风险的所有选项都来自此风险评价，这使得两个因素变得尤为重要：

• 风险方法的选择，因为它必须与企业收集和解释数据的实际能力充分匹配

• 调整风险偏好，这应该是风险评估期间使用的计算背后的驱动力，以便它始终与组织风险的严重程度保持一致

风险计算方法的数值精度无法保证，因为风险水平是基于近似的场景对未来事件的估计。相反，查看周期性评估序列的结果更有价值，因为它有助于了解控制有效性随时间的变化。此阶段的最后一步是根据干预优先级安排风险事件。

风险文化

风险文化是一套共同的价值观和信念，支配着对风险承担和伦理的态度。它决定了如何报告和公开讨论风险或损失。改善风险文化是一个贯穿所有组织职能的过程，对风险管理系统的成功至关重要。培训是传播文化的有用工具，但只有当管理层意识到其重要性时，这一行动才有效。

尽管风险文化涉及每一项业务活动，但其影响在风险评估阶段和随后的决策阶段最为明显，其中确定了要采取的纠正措施。风险文化源于管理层对风险主题的敏感性和信念，在内部控制政策中具有理论烙印，风险评估过程和随之而来的应对措施也体现在操作上。

风险管理

风险管理是一个宏观阶段，代表了作为决策者的风险所有者和作为风险遏制行动实施者的控制所有者的责任的运营领域。这个过程包括选择应对措施、风险处理计划的设计阶段、其完整实施以及控制计划剩余风险水平的实现。其输入是风险评估，其输出是控制监测数据。

风险应对

在此阶段，风险所有者负责将风险评估转化为行动计划，将风险降低到组织认为可接受的水平。构成此阶段结果的文件是风险处置计划 （RTP），它是通过选择四种可能的选项之一来应对风险而创建的：

• 风险接受意味着完全承担风险而不采取任何进一步行动。在可接受的水平或没有其他选择可能的情况下，风险负责人有意承担风险。

• 风险缓解涉及采取行动降低风险水平。风险负责人必须定义行动（称为控制）以降低风险的概率、影响或两者。

• 风险转移/分担要求将风险的影响全部或部分转移（分担）给第三方。责任仍然由风险所有者承担。

• 风险规避是指改变导致风险本身的条件，即针对风险场景采取行动；例如，改变实现目标的时间基础或定义不同的目标。

风险所有者的决策通过成本/收益分析来证明其合理性，并以发布 RTP 结束，其中包含两种风险评估：当前风险和剩余风险（即，在实施所有缓解控制措施后预期获得的水平）。成本/效益分析可以由控制所有者进行，在缓解的情况下由高级经理进行，或者由风险从业人员进行，以审查风险情景。

风险处置

在此阶段，控制所有者负责实施风险处置计划规定的所有控制措施，并评估其相对于计划风险水平的有效性。设计/开发阶段不仅限于保证性能;它还涉及定义监视方法，以持续验证控制措施是否符合计划的要求。

实施阶段必须采用适合控制关键性的设计和开发标准。监测阶段和随后的结果交付必须尊重适当利益攸关方的期望和理解（例如，控制频率的定义、指标的可视化表示、控制的深度等）。

风险监控

风险监控涉及组织内的所有流程，因为它影响 风险处置计划中定义的每个控制，并且是控制所有者的责任。它是根据风险处理阶段所指的控制而设计的。风险监测贯穿于控制本身的整个生命周期，以表明随着时间的推移与风险处理计划的规范保持一致。监测结果主要针对风险报告阶段，但也可用于评估风险场景中的脆弱性评估。

有关控制活动的数据收集提供了有关控制执行情况的信息，这些信息可以细分为几类指标：

• 关键控制指标 （KCI） 从风险角度衡量控制有效性

• 关键风险指标 （KRI） 提供了风险暴露水平增加的早期信号。

• 关键绩效指标 （KPI） 为特定目标提供可量化的绩效衡量标准。

不同的利益攸关方应收到不同的指标。例如，风险专业人员必须了解风险控制的有效性;控件所有者应了解控制性能;并且应告知用户控制的性能和危险因素的发生。

风险报告

风险报告阶段不仅仅是数据的展示。首先，需要解释监测收集的结果，以突出显示风险偏好存在失调风险的所有情况。然后，风险专业人员汇总与组织目标有更大关系的风险因素。接下来，选择最佳的数据表示形式以引起高级管理层的注意。最后，明确了风险处置计划的调整建议。

向高级管理层进行的演示的质量必须很高，因为这是所有已完成工作的综合时刻，也是促使人们对风险做出反应的时刻。同样重要的是，为运营人员提供有关风险遏制措施状态的必要详细信息，以帮助他们了解漏洞并采取适当的改进措施。

结论

以清晰和简单的方式解决ERMS的表示问题意味着获得易于使用的建模，从而降低复杂性并提高流程的效率。不必等到所有流程都明确定义后才开始采取行动。风险管理系统的循环性质使得解决方案能够在每个周期中得到完善，从而改进并使操作流程能够快速有效地启动。

风险是对获得计划结果的不确定性的度量—而且这个度量永远不会为零。由于任何过程的最终结果都缺乏绝对的确定性，我们必须信任风险管理系统。必须采用一种能够有效、快速、注重成本管理的方法来有效地治理风险。只有系统地应用此处建立的风险指南才能获得预期的收益（就业务而言，收益意味着价值创造）。

作者：LUIGI SBRIZ , CISM, CRISC, CDPSE, ISO/IEC 27001:2022 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO, 风险管理、网络安全和隐私领域的首席审计师、培训师和高级顾问，并在一家跨国汽车公司担任风险监控经理超过七年。

翻译：尹杭宇，CISM，PMP, ISACA微信公众号特邀通讯员。

校对：蔡俊磊（Joe Cai），CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA，ISACA中国技术委员会主席，ISACA微信公众号特邀通讯员，ISACA上海社区Leader，现任某国际酒店集团信息安全副总裁。