淺談在COSO內部控制整合框架下企業對網絡風險的管理

柳向輝

摘 要：互聯網的特點是信息共享，不是保護信息。因此處于互聯網環境中的企業需時刻防范網絡風險。COSO內部控制整合框架為企業控制網絡風險提供了有效的指引。本文就COSO內部控制整合框架下企業對網絡風險的管理做出了初步的探討。

關鍵詞：COSO內部控制整合框架；網絡風險控

信息技術的發展讓企業經營環境發生了巨大的變化，越來越多的業務需要在互聯網的環境中完成，從訂單的生成，處理到收發貨和結算，許多業務環節實現了網上操作，人工現場參與越來越少。互聯網打破了時間和地域的限制，為企業創造了可觀的價值。在受益于互聯網的高效和便利的同時，企業也需a要時刻防范網絡入侵和應對信息泄漏造成的損失和負面影響。因此企業的內部控制必須做出相應調整以適應網絡時代的特點。

COSO內部控制整合框架為企業識別網絡風險、管理網絡風險和實施控制活動提供了有效的方法，指導企業從控制環境、風險評估、控制活動、信息和溝通、監督五個方面的內控要素來分析網絡風險，構建具備安全性、警惕性和可恢復性的網絡風險內控體系。

1 網絡風險的控制環境

網絡風險控制環境是一套標準、流程和結構，能夠為組織實施網絡風險內部控制提供基礎。企業的董事會和管理層應將實現安全性、警惕性、可恢復的網絡風險管理機制設定為網絡風險管理的首要目標并確保其在企業內執行順暢， 保證部署足夠的資源來保護重要的信息系統，制定適當的措施應對網絡風險。由于大多數管理層成員的網絡和信息技術知識不足，在了解本企業網絡風險概況和應對不斷變化的網絡風險事件時應積極尋求專業人士的幫助，充分認識信息技術對組織流程和目標的影響；在對企業的資源進行分配時，根據風險評估的結果設定風險承受水平，保證將足夠的資源用于保護對實現企業目標至關重要的信息系統。

2 網絡風險的評估

網絡風險的評估是針對影響企業目標實現的網絡風險進行的風險識別和風險評估活動，幫助企業根據風險的嚴重程度和發生的可能性制定相應的控制程序。面對內外部的網絡風險，企業的風險評估可以通過評估其對實現組織目標存在的不利影響和事件發生的可能性這兩方面來進行。

①目標識別：評估企業的網絡風險首先要評估信息系統對企業實現目標的潛在影響確定其價值，通常影響越大價值越大。COSO整合框架提供了企業的五類關注點：即經營目標、外部財務報告目標、外部非財務報告目標、內部報告目標和合規目標。企業的管理層和重要利益相關方應引導風險評估過程，在業務和信息技術人員的高度配合下，根據企業目標確定需重點保護的關鍵信息系統，確定企業可接受的風險水平。②對確定的關鍵系統的風險進行全范圍的識別和分析，評估網絡風險的嚴重程度和可能性進而決定如何管理風險。在此過程中企業要重點關注容易遭受攻擊的信息系統及可能發生的攻擊行為，對這些行為建立預警機制。通過識別攻擊者的行為和方式，所用的技術、工具和流程，企業可以更好的預測風險，修補潛在的網絡漏洞，設計有效的控制措施，在攻擊發生時減小或規避風險，以保證重要資產的安全。③網絡風險評估是一個動態的持續的過程。內部的和外部的風險變化對內控體系可能造成重大影響。因此風險評估要預測這些變化并據此調整企業管理網絡風險的相關控制。

3 網絡風險的控制活動

網絡風險的控制活動是指針對網絡風險評估的結果，企業應當制定相應的政策和程序，將網絡風險控制在可接受范圍內。控制活動能防范、發現和應對網絡風險，更有效的降低潛在的網絡漏洞對實現企業目標的影響。企業可按層級建立多層控制防線，防止攻擊者在擊破第一道防線后繼續侵入信息系統或可以減慢入侵者的入侵速度。

在多層控制防線中，可運用的方法包括：①預防性和發現性控制相結合：有效的預防性控制使攻擊者無法進入企業內部信息系統或可以制造障礙延緩攻擊者的攻擊速度，企業可及時發現并盡早采取措施修補漏洞，可以評估潛在損失，進而完善現有措施以預防和發現未來可能發生的類似攻擊。②信息技術一般控制：與其他業務控制相聯系的信息技術一般控制會幫助預防和發現網絡入侵，使企業面對入侵時具備快速反應和恢復能力。企業應制定在發生網絡攻擊時應得到通知的人員名單，使相關人員能快速采取進一步措施降低風險。

4 網絡風險信息的形成和溝通

信息是企業決策的基礎，包括內部信息和外部信息，貫穿于網絡風險內控的各個環節。企業應將已經識別的相關高質量信息要求及相關風險分析和應對措施記錄成正式的文檔，保證流程和控制活動一致性，避免因人員的流動產生執行的偏差。信息的來源包括：①企業內部產生的數據，企業應具備從內部產生的大量數據中生成及時的、相關的、高質量的完整信息的能力，否則企業無法采取恰當的網絡風險控制措施。②除了內部信息，企業也可從外部獲得數據，包括：a同業組織信息：由于同行業中各個公司的信息系統的價值和運用的技術是相似的，企業可通過與同行業組織共享信息、共同預測網絡事件發生趨勢，網絡攻擊行為的方式等，幫助企業預防和發現網絡風險事件；b獲取政府等外部機構的數據；c外包服務供應商的數據：如果企業將部分業務或流程外包給其他機構，為實現共同的外包服務效益，可將雙方相關信息共享。當一方出現影響另一方運營的風險事件，共享與該風險事件相關的信息可以增強雙方的快速反應和恢復能力，幫助識別和控制網絡風險。

企業信息的質量依賴于有效的數據治理。企業應明確責任和義務，遵循數據治理的相關原則，保護數據和信息避免未經授權的訪問和修改，從而保證信息的質量。被識別的信息應能無障礙地傳遞到企業內部控制的各個環節，包括：①全體員工：自然人具有的一些社會特性，如信任他人、好奇心等使其成為網絡風險內控鏈條上的最薄弱的環節，網絡攻擊者善于利用人的這些天性，通過發送郵件、贈送免費移動設備等方式，只要員工在企業網絡中點擊或使用了這些設備，攻擊者就可以成功入侵。針對這些情況比較有效的辦法是定期開展全員網絡安全培訓，提升全體員工對網絡風險鑒別的能力和網絡安全責任感，降低攻擊者從普通員工入手開展網絡攻擊的可能性。培訓可以采取專題講座，例行培訓，網絡入侵熱點問題培訓、在企業范圍內發布消息等形式，使網絡安全信息及時有效地傳遞給每個員工。②網絡風險監管責任人，包括企業的管理層成員、網絡信息技術人員等。管理層成員的任務是選擇、執行和部署內控，保證內控信息在企業內部共享。網絡信息技術人員除在技術上保證信息系統的運行和安全外，還需生成和維護正式的網絡控制文檔。支持網絡風險控制管理目標的正式文檔是提升企業管理網絡風險能力的有效渠道，也是企業評估控制設計和實施有效性的途徑，是保護企業信息系統的有效有段。③董事會。董事會在網絡風險控制體系中扮演著重要的角色：通過了解影響企業目標的網絡趨勢，認識網絡風險，設定風險承受度，確定實施控制措施，明確對管理層所確立的風險應對流程和程序的期望。因為大部分董事會成員對于網絡和信息技術的相關知識是有限的，網絡技術人員或聘請外部專家利用相關信息技術框架和標準，將技術性很強的內容轉換為即使是沒有專業背景的人員也可以理解的內容就顯得十分重要，只有概念清楚了，董事會和管理層才能實現有效溝通，才能保證董事會履行網絡風險控制監督職責。董事會層面的溝通除定期進行的網絡風險討論外，也應建立對臨時出現的重大網絡風險事件與管理層的溝通渠道，董事會可依據管理層提供的相關高質量信息在進行外部溝通前做出迅速反應。④外部機構：包括所有者、客戶、供應商、銀行、政府機構和其它外部機構。從外部到企業內部的溝通能影響網絡風險評估和控制活動；從內部到外部的溝通能向相關方傳遞與網絡事件、活動相關的信息，或者其它可能影響外部相關主體與企業互動的情況。在這些溝通過程中，企業會獲取有價值的信息。需要注意的是，企業要加強向外部提供信息的控制，積極的信息可以塑造良好的企業形象，是企業具備可恢復力的一種表現；反之不受控的信息會被其它組織利用，會對企業造成負面影響。由此可見風險管理的標準、制度和流程是多么重要。

5 網絡風險相關控制設計及執行的監督

為了減少潛在網絡風險，組織應對控制活動的設計和執行的有效性開展持續評估和單獨評估，確保控制活動有效并持續進行。由于網絡風險管理的專業性使然，在監督過程中專業人員的參與十分必要，企業也可聘請外部專家進行協助。對于有外包服務供應商的企業，監督活動還需要延伸到有共享數據的外包服務供應商的網絡。對這方面的監督所需信息，企業可以直接從服務商處獲取，如審計報告等，也可考慮其它途徑，目標是確保供應商的網絡具備安全性及警惕性。

監督活動的有效性能保證企業在面對可能影響其目標實現的網絡風險發生變化時，能更好的部署內部控制，保證網絡風險的變化是可控的、能預見的。

企業對監督活動中發現的問題應及時進行評估，并及時溝通缺陷，如有重大事項應向高級管理層和董事會報告。通過對問題的有效溝通，企業需要分析產生問題的根本原因并修正控制活動，這也是是實施有效的整改活動的前提。

互聯網已滲透到現代生活的各個角落。信息技術的發展使企業時時刻刻地暴露于網絡風險之中。如果用被動的方式管理網絡風險，遭受網絡攻擊后產生的后果將非常嚴重，有可能導致企業經營萎縮甚至破產。技術的發展、企業的創新、黑客手段的成熟都使網絡的風險管理變得越來越困難。企業應加強對網絡風險管理的重視，適當增加投入，以COSO內部控制整合框架為指引，建立具備安全性、警惕性和可恢復性的信息系統，以實現網絡風險內部控制的目標。

參考文獻：

[1]Mary E.Galligan& Kelly Rau 著.楊敏，歐陽宗書等譯.網絡時代的內部控制[J].財務與會計，2015（8）.