》缦展芾硎俏颐亲魑畔⑾低衬诓可蠹剖τΦ备嘌暗闹魈狻N裁茨兀恳蛭颐怯行Ч芾砑际醯牡亩床炝Σ⑶页晌誓诓可蠹剖π岬囊桓鲋匾芯糠较颉?
让我们从风险管理的定义开始吧。风险管理被定义为鉴别与控制组织的损失的程序。但是这不是我们作为内部审计师的工作吗?我们检查一个组织的内部控制并与(管理层)协商或提出改改善内部控制的建议。这些咨询与建议促使组织更有效地控制损失与保存组织资源。
现在我们知道什么是风险,那么什么构成风险呢?答案有很多:公司资产的重置成本,索赔费用(包括法定费用),保险费用与控制成本,丧失的生产力,以及最终的管理费用与营业间接成本。风险另一方面也表现为由于服务差或不可靠的系统造成的机会、信誉与顾客善意的丧失。资产成本可能是有形的或无形。例如,一个公司的信息处理系统是有形的而贮存其上的信息却是无形的,这些可能是组织的最有价值的资产。让我们将这个例了推向更深一步,给我们管理数据中心风险下更贴近的关注。
第一步是确定环境或取得我们想要保护的资产的目录。这些可能包括局域网、计算机、相关硬件、操作系统软件、存贮在系统上的信息、磁带库、数据处理设备与软件以及应用软件。
下一步是列举这些资产面临的风险,包括:
财务损失
诸如为灾、洪水、暴风等自然灾害危险。别的人为危险如断电、暴乱与战争
错误发生的频率与严重程度,无论人为的或机械的
窃取或变造程序与数据
缺乏计划与管理造成的问题
当风险被鉴别我们就需要一个系统来将其按严重程度排列。为了做这些,就要确定财务影响的估计、成本与可能性。确定严重性具有很多方法(如索引、比率与比较)。我喜欢的一个方法是计算损失的可能性并乘上它的估计成本。这是我一个偏好,因为它是DOLLAR-WEIGHTED的成本。这个数字或来自它的数据对于严重的估计是很好的 。甚至是比较应用控制成本的一个很好的尺度。待会儿将就此作更详细地讨论 。
第三步,我们选择一个合适的方法来消除或控制损失对组织的负面影响。例如:
排除或避免。以上所有的各条但自然灾害的可能例外都能通过这些方法被排除。
转给其它组织包括外购与共同外购。
控制以减少(发生)频率或严重性。再次,自然灾害也许不可控制。
√峁┚眩瓤赏ü3忠部赏ü蚱渌橹@纾O展咎岢龈哺乔懊嫣岬降乃械奈O沼敕缦铡#ú话ㄈ狈苹牍芾恚?
为你的组织挑选方法依赖于你的详细分析。记住,每个控制代表收益。为了选择一个合适的控制或财务方法,你应当首先评估收益(控制)与相关成本。方法选择应当提供最大的收益(也就是最大的控制)而成本最小。如果一项控制的成本超过收益,那么管理层最好容忍某事件的风险。
