COSO企业风险管理综合框架主要关注8大层面的企业风险

COSO企业风险管理综合框架主要关注8大层面的企业风险。

内部环境:治理结构、组织结构、授权与责任、风险偏好、人力资源政策、风险管理文化等。
目标设定:战略目标、经营目标、报告目标、合规目标。事项识别:事件识别方法、事件分类、风险与机会。风险评估(与信息安全高度相关):固有风险与剩余风险评估。现在,COSO里面的风险评估方法为“风险=发生可能性*影响”。ISO27005也采用了相同的风险评估方法。这进一步体现了标准与标准之间的映射和借鉴关系。风险应对:风险回避、风险降低、风险分担、风险承担。控制活动(与信息安全高度相关):企业层面控制、业务流程层面控制、IT一般控制与应用控制。其中,IT一般控制与应用控制具体实现在COBIT里面进行了详尽描述。这也体现了标准之间的映射和借鉴关系。信息与沟通:收集与传递内部信息、外部信息。监控:独立监控、持续监控、自我评价、缺陷改进。

你可能感兴趣的:(COSO企业风险管理综合框架主要关注8大层面的企业风险)