微信
手机学习
智选
报班
  • 客服热线: 4008-000-428

COBIT重点领域:信息和技术风险——内部审计分析模型

发布时间:2022年08月05日| 作者:Linda Kostic| 来源:转载于ISACA微信公众号| 点击数: |字体:    |    默认    |   

    风险管理在任何组织中都是一项重要职能。金融服务组织通常采用三道防线的方法来管理组织内部的风险。第一道防线(信息和网络安全、IT以及风险和控制团队)拥有风险,并需要执行风险和控制自我评估。第二道防线(运营、IT和信息安全风险管理团队)建立了治理框架,并挑战第一道防线。第三道防线(内部审计)确保第一道防线和第二道防线准确、完整地执行所需的风险管理职能。

 

    第三道防线(内部审计小组)可以利用《COBIT重点领域:信息和技术风险》(COBIT IRFA)这一出版物作为评估组织技术和安全风险活动完整性和准确性的工具。COBIT IRFA提供了实施和维护企业技术和风险管理框架、审计计划和范围的全面指南,这对于确保审计团队能够有效执行全面评估至关重要。

 

图片来源于公共图片库

内部审计初步评估

    内部审计组(IAG)通过两种与信息和技术(I&T)风险管理框架(ITRMF)成熟度水平相一致的方法来增加价值。对于ITRMF成熟度级别为0或1的组织,IAG将通过对正在开发的治理框架的识别和实施提出质疑来独立评估该组织的ITRMF。IAG还在里程碑完成时评估ITRMF的进展情况。或者,IAG可以执行审计,以评估ITRMF的完整性和有效性。然后,IAG可以根据重点领域的COBIT®2019成熟度级别评估组织的ITRMF,以确定适当的审计方法(图1)。成熟度级别为3的组织可能需要混合审计方法。

 

图1 – 重点领域成熟度级别

来源:ISACA®, COBIT® 2019 Framework: Introduction and Methodology, USA, 2018

 

成熟项目评估

    在本例中,组织的成熟度级别为4或5,这意味着组织具有可持续的ITRMF。在这种情况下,审计目标是确保ITRMF的完整性和有效性,并且可以根据COBIT IRFA评估ITRMF的完整性。审计的第一步是评估ITRMF的完整性,包括角色和责任、风险委员会以及政策和程序。COBIT IRFA以图2所示的关键角色和责任开始风险管理结构。每个角色的任务在单独的图表中注明。IAG可以使用图2和COBIT IRFA中的辅助审查员/可问责人员(3.4、3.7、3.11)来评估组织的风险管理角色和责任,识别和评估适当性差异。图表内容应包括在工作底图中,并根据组织的角色和责任进行评估,评估职责和监督的职责适当分离。例如,图2中的企业风险管理(ERM)委员会描述可以与组织的ERM委员会章程进行比较。在加强风险管理监督方面,组织可能有不同的角色,例如向ERM委员会报告重大风险的风险小组委员会。IAG应评估小组委员会的作用,以确定ERM和小组委员会章程之间的界限。

 

图2 - COBIT关键角色和I&T风险职能的组织结构

来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021

 

    另一项审计测试是评估ITRMF的策略、标准、指南、模板、培训和其他指南的完整性。策略应明确规定角色和责任。标准应提供所需模板完成的指南。培训应通过提供详细的ITRMF执行说明来提高策略和标准。图3可用作评估组织ITRMF策略的基准。

 

图片来源于公共图片库

 

图3 - 风险政策目录示例

来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021

 

    ITRMF的审计评估应遵循合规性测试。第二道防线应监督ITRMF要求的执行,以确保完整性和准确性。IAG应评估第二道防线风险管理监督活动的完整性。审计测试步骤可以与以下保持一致:I&T风险概况;I&T风险沟通计划;I&T风险图;IT风险偏好、容忍度和能力;关键风险指标(KRI);以及新兴的I&T风险问题和因素。风险沟通计划(图4)可以转换为审计步骤。计划的第一步是准确定义风险沟通的类型、频率和接收者。该步骤可转换为审计测试步骤,要求IAG验证文档化的沟通计划是否阐明了风险沟通的类型、频率和接收者。

 

图4 – 风险沟通计划

来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021

 

    如前所述,有两个审计目标:确保ITRMF的完整性和有效性。ITRMF有效性由第二道防线通过指标或其他技术来决定的,例如利用KRI。图5描述了风险所有者在创建KRI时应该考虑的相关属性。风险所有者可能有一个监控系统项目质量的KRI,第二道防线可能监控KRI值,以评估管理层是否应对超过阈值的KRI值采取行动。然后,IAG将评估第二道防线是否需要监控和质疑个别和汇总的KRI值。如果修正了超过阈值的KRI值,则认为ITRMF有效;如果KRI值持续长时间超过阈值,则认为ITRMF无效。

 

图5 – 关键风险指标

来源:ISACA, COBIT Focus Area: Information and Technology Risk: Using COBIT® 2019, USA, 2021

 

结论

    IAG人员依靠最佳实践制定和执行ITRMF审计计划。这种方法对于确保审计的完整性、有效性和一致性非常重要。COBIT IRFA可以转换为ITRMF审计程序。ITRMF团队可以使用该框架构建ITRMF计划,审计团队可以使用COBIT IRFA框架评估组织的ITRMF计划。与采用最佳基准实践的其他审计一样,IAG人员必须根据特定组织的组织结构和ITRM要求定制COBIT IRFA要素。

热销商品推荐
学员心声