《COSO企業風險管理?戰略與績效的整合》和ISO 31000對比解讀

董貞良

信息安全管理系列之四十四

《COSO企業風險管理 戰略與績效的整合》和ISO 31000：2018《風險管理 指南》是目前在業界應用最廣泛的兩個框架，也是信息安全風險管理的基礎標準之一。本系列在2016年第4期和第5期，分別介紹了信息安全風險管理的詞匯及其相關標準，在其中對這兩個標準也有涉及。下文中對這兩個標準的最新版本進行了對比解讀。

謝宗曉（特約編輯）

摘要：論文解讀了2017版本的《COSO企業風險管理 戰略與績效的整合》和2018版本的ISO 31000《風險管理 指南》，并對兩者進行了對比。

關鍵詞： 信息安全 COSO ISO 31000 風險管理

The Comparative Interpretion of COSO Enterprise Risk Management—Integrating with Strategy and Performance and ISO 31000：2018 Risk Management—Guidelines

Dong Zhenliang? ?（Information Center The People's Bank Of China ）

Abstract： This article interprets COSO Enterprise Risk Management—Integrating with Strategy and Performance and ISO 31000：2018 Risk Management—Guidelines， and compares the two.

Key words： information security， COSO， ISO 31000， risk management

美國反虛假財務報告委員會下屬發起的組織委員會（下文中簡稱COSO）1）于2004年發布了《企業風險管理 綜合框架》，2017年9月，該報告更新為《企業風險管理 戰略與績效的整合》（下文中簡稱《COSO企業風險管理》）。2018年，國際標準化組織（ISO）更新了ISO 31000《風險管理 指南》。本文介紹上述兩個標準，并圍繞其中重點概念進行對比分析。

1 《COSO企業風險管理》

《COSO企業風險管理》包括兩部分，第一部分提供了一個對現有的和正在發展的企業風險管理概念和應用的觀點，第二部分是框架的內容，包括了不同的視角和組織結構，增強了企業在戰略選擇、執行和決策過程中對風險的考慮。

COSO框架廣泛被應用以加強組織管理不確定性的能力，增強組織考慮可以接受的風險大小以增加組織價值。2017版更新后的框架提供了對戰略和企業風險管理在戰略設置和執行方面更加深入的認識，增強了組織層面業績和企業風險管理的一致性，適應治理和監管的預期。新版主要的變化體現在，采用了一個組件和原則的結構，簡化了企業風險管理的定義，強調了風險和價值的關系，重新更新了對企業風險管理整合的關注，審視了企業文化的角色，評估了戰略討論，增強了績效和企業風險管理的整合，更加明確地關聯企業風險管理和決策。

《COSO企業風險管理》對風險和風險管理的定義如下：

風險：事件將要發生并影響戰略和業務目標實現的可能性。

風險管理：組織依賴的文化、能力、實踐同戰略制定和績效相整合，以管理其在創造、保留和實現價值方面的風險。

《COSO企業風險管理》框架由五大關聯的要素組成，該五大要素由20項關聯原則提供支持，這些原則涵蓋了從治理到監督的各個方面，遵循這些原則可就企業如何結合戰略和業務目標進行風險管理，為董事會和管理層提供了合理預期，這20條原則也是實施企業風險管理的步驟。

1.1 治理和文化

機構的董事會對治理和風險管理的影響很大，本框架使用術語“董事會”代表治理主體，包括董事會、監管層、普通合伙人或所有者。董事會獨立于管理層，在執行監督職責時可提供合適水平的行業、商業和技術保障。另一個對機構風險管理產生關鍵影響的是文化。文化支撐了機構使命和愿景的實現。一個具有風險管理意識文化的機構強調管理風險的重要性，鼓勵風險信息透明、及時流動。

原則1：履行董事會的風險監督職能 董事會對戰略實施監督，履行治理職責，支持達到戰略和業務目標的管理。

原則2：建立運營架構 組織建立運營架構實現戰略和業務目標。

原則3：定義理想的企業文化 組織定義可代表其理想文化的預期的行為。

原則4：致力于實現核心價值 組織彰顯可實現其核心價值的承諾。

原則5：吸引、培育和留住人才 組織致力于構建符合其戰略和業務目標的人力資本。

1.2 戰略和目標設定

每個機構都有戰略，以實現其使命和愿景，產生價值。評估戰略是否與其使命、愿景、核心價值一致是具有挑戰性的，該評估實施的必要性也是很有挑戰的。通過整合機構風險管理和戰略設置，組織可以了解戰略和業務目標的風險畫像和分布。這樣可以指導組織強化其戰略和執行戰略必須的任務。機構風險管理、戰略和目標制定在戰略規劃中應共同發揮作用。企業建立風險偏好與戰略相協調，業務目標應將戰略付諸于實踐，并作為識別、評估和應對風險的基礎。

原則6：分析業務環境 組織考慮業務環境對風險分布的影響。

原則7：定義風險偏好 組織定義在創建、保留和實現價值背景下的風險偏好。

原則8：評估備選戰略 組織評估可替代的戰略和對風險分布的潛在影響。

原則9：制定業務目標 組織在整合和支持戰略的多個層次構建業務目標時均考慮風險。

1.3 執行

識別、評估和響應影響機構戰略和業務目標實現的風險可進一步幫助組織創建、保留和實現其核心價值，并減少核心價值侵蝕。這部分框架組件關注支持組織決策和實現戰略、業務目標的實踐。組織使用他們的操作結構開發一個實踐，這個實踐可以：識別新的和正在蔓延的風險使管理層能及時采取方式部署風險響應措施;評估風險的嚴重程度，了解風險如何根據機構的水平變化;對風險排序，使管理層對高級別風險優先分配資源;識別和選擇風險應對措施;開發一套風險組合強化組織明確其實現戰略和機構層面業務目標的風險大小的能力。

原則10：識別風險 組織識別影響戰略和業務目標績效的風險。

原則11：評估風險的嚴重程度 組織選擇合理的評估方法評估不同層次風險的嚴重程度。

原則12：風險排序 組織對風險進行排序，作為選擇風險應對措施的基礎。

原則13：執行風險應對方案 組織定義、選擇、部署風險應對方案。

原則14：建立風險組合觀 組織開發和評估風險的組合觀。

1.4 檢查與修正

組織的戰略或業務目標，組織風險管理能力隨時間變化應適應不斷轉型變化的業務環境。此外，組織操作的業務環境也會變化，導致現有的實踐不再適應或足以支持當前的業務目標實現。組織必須不斷修正其實踐或增加其能力。

原則15：評估重大變化 組織識別和評估對戰略和業務目標產生重大影響的變化。

原則16：檢查風險和績效 組織將檢查活動整合到業務實踐中，檢查其績效，考慮風險。

原則17：企業風險管理改進 組織抓住機會致力于組織風險管理的持續改進。

1.5 信息、溝通和報告

技術和業務的進步導致了數據規模的指數級增長，極大增加了對數據的關注。當今，組織受到數據量和數據處理、規劃、存儲速度增長的極大挑戰。使用這些可用數據，組織會受到“信息過載”的負擔。在這種環境下，組織在正確的時間，以正確的格式，提供各個層面正確的信息給正確的人非常重要。組織將數據處理為涉及利益相關者、產品、市場和競爭者行為的信息。通過他們的溝通渠道，他們可及時向目標群體提供相關信息。組織可結構化數據和信息到一致的目錄上。通過這種方式，他們可識別影響組織戰略和業務目標的風險。

原則18：運用信息和技術 組織運用其信息技術和系統支持企業風險管理。

原則19：溝通風險信息 組織使用溝通渠道支持企業風險管理。

原則20：匯報風險、文化和績效 組織在其內部的不同層面匯報風險、文化和績效。

2 ISO 31000：2018《風險管理 指南》

ISO 31000：2018提出了實現風險管理的途徑、原則和框架，適用于任何組織，提供了管理各類風險的通用方法。該標準主要為組織通過管理風險、作出決策、制定和達到目標、管理績效以創造和保護價值的人員使用。

ISO 31000：2018提出，管理風險是一個不斷迭代的過程，可幫助組織設計戰略、實現目標和作出決定。管理風險是與組織相關的所有活動的一部分，包括和利益相關方的交互。管理風險要考慮內外部的環境，包括人的行為和文化因素。

同ISO 31000：2009相比，ISO 31000：2018主要有以下變化：一是審查風險管理的原則，這是風險管理成功實施的關鍵;二是關注最高管理者的領導，他們應該確保風險管理融入到所有組織活動中，從組織的治理開始;三是更強調風險管理的迭代性質，利用新的經驗、知識和分析來修改過程每個階段的要素、行動和控制;四是精簡內容，更專注于維護開放系統模型，該模型定期與外部環境交換反饋，以適應多種需求和環境。ISO 31000：2018中對風險和風險管理的定義如下：

風險：不確定性對客體的影響。

風險管理：引導和控制組織對于風險的協調? ?活動。

ISO 31000：2018提出了8個風險管理原則、5個步驟組成的風險管理框架和6個要求組成的風險管理過程，見圖1。與2009版相比，風險管理框架中加入了整合的要求，并提出風險管理是所有組織活動不可分的一部分，強調將風險管理與組織的所有活動整合。ISO 31000：2018還對高級管理層提出了要求，從組織治理的角度開展風險管理工作。

其他相關的風險管理的國際標準如IEC 31010：2009《風險管理 風險評估技術》，是一個ISO 31000的支持標準，為風險評估的系統性的技術選擇和應用提供指導，包括術語、風險評估概念、風險評估流程、風險評估技術選擇和2個參考性附錄。該標準不用于認證、管理或合同使用，不專門針對安全，是通用的風險管理標準。

4 小結

通過對《COSO企業風險管理》和ISO 31000：2018《風險管理 指南》的簡要介紹和對比分析，可以啟發企業董事會、管理層從實踐的角度把握不同框架性文件的要求，整合實施內部風險管理活動。

參考文獻

謝宗曉. 信息安全管理體系實施指南（第2版）[M]. 北? ?京：中國質檢出版社/中國標準出版社，2017.

甄杰，謝宗曉，林潤輝. 治理機制、制度化與企業信息安全績效[J]. 工業工程與管理，2018，23（03）：177-184.