网络时代的内部控制

网络时代的内部控制（MaryE.Galligan&KellyRau）一、网络时代的商业变革当组织考虑如何应对日益严峻的网络安全风险时，无论是COSO内部控制整合框架（“2013框架”）还是企业风险管理整合框架（2004）均提供了评价风险和管理风险的有效方法。事实上，这两个框架都系统性地引导组织通过COSO的视角以相似的路径去应对网络风险。随着各公司致力于实施2013框架，在本文中，我们结合2013框架阐述如何使用COSO框架以协助组织管理网络风险和实施控制。1992年内部控制整合框架（1992框架）发布时，商业运营环境同现在相比截然不同。例如：•1992年在全世界范围内仅有不到1400万互联网用户，而今天有接近30亿的用户。•基于微软DOS系统的美国在线（AOL）刚刚被发布。•微软IE浏览器尚不存在。•最流行的手机是“大哥大”。•电话和传真是商业沟通中最为主要的方式。在过去的二十年间，信息技术（IT）让商业运营模式发生了翻天覆地的变化，网络驱动成为商业运营的基本环境。客户订单使用电子数据在互联网中进行交互处理从而没有或很少有人工参与；业务处理往往是通过内部网络外包给服务供应商；越来越多的员工远程工作或在家工作，而不再需要到办公室；仓库中的库存情况通过使用射频识别（RFID）标签进行跟踪；伴随网上银行的出现，几乎所有的银行都向客户提供网上银行服务。随着商业和技术的发展，2013框架也在不断完善。更新和发布2013框架的一个根本的驱动因素就是帮助组织利用和依靠不断发展的技术以实现内部控制目标。2013框架在许多方面进行了改进，并考虑了组织应如何管理IT创新的思考：•市场和运营的全球化趋势；•更加复杂的业务流程；•法律、条例、规章和标准的要求及复杂性；•使用和依靠不断发展的技术；•预防和发现舞弊行为的要求。自从1992框架发布以来，商业模式的创新已经与网络形成了错综复杂的联系。然而，互联网设计的初衷是共享信息，而不是保护信息。每天都有许多重大网络事件被媒体报道出来。虽然某些行业受到网络攻击的事件在新闻中占据更大的比重，但其实所有行业都有可能受到网络攻击。在特定的时点，哪些数据、系统和资产是有价值的，将取决于网络攻击者的动机。随着网络事件持续对受害公司的财务状况产生负面影响，并持续引起额外的监管审查，网络漏洞将继续成为媒体报道的高频事件。此外，信息技术将继续改变全球经济中的商业运营模式。随着数字化的普及，特别是企业与外包服务供应商的外部合作伙伴共享数据的情况越来越普遍，信息技术的应用增加了业务复杂性及不稳定性，使企业更加依赖信息技术相关的基础设施，而这些基础设施却不完全受企业控制。即便企业与外部机构（如服务提供商，供应商，客户）建立了相互信任的关系，能够确保日常的信息共享及电子化沟通，一旦出现问题，企业还是需要为这些不在其控制范围内的信息技术承担责任。随着公司不断利用新技术和继续聘用外部机构开展运营，网络攻击者将利用新的漏洞对企业进行攻击，这就促使企业开发新的信息系统和控制手段以规避风险。虽然企业为了保护业务，在内部和外部共享技术信息时非常谨慎，但网络袭击者却在网络的另一边肆意地进行操作。他们没有限度地公开分享信息，而不惧怕任何法律后果，而且经常大量进行匿名操作。网络攻击者几乎可以利用技术攻击任何地方的任何类型的数据。即使没有这无处不在的网络威胁，保护所有的数据也是不可能的，特别是考虑到组织的目标、流程和技术如何持续革新以支持其业务。每次革新都将有可能暴露风险——尽管通过周密的安排，革新可以降低风险，但仍不可能完全规避风险。此外，网络攻击者也在不断升级，寻找新的方法来发现信息系统的弱点。结果就是，事实上网络风险是不可避免的，因此，管理网络风险是必要的。一旦明确对组织至关重要的数据，管理层必须投入成本，建立安全控制措施以保护其最重要的资产。通过采用一系列措施使组织具备安全性、警惕性、可恢复性，组织将对实现战略投资的价值更有信心。为了能够以安全的、警惕的和可恢复的方式管理网络风险，组织可以通过内部控制要素来分析网络风险。例如：•控制环境——董事会是否了解组织的网络风险概况以及是否了解组织如何应对面临的不断变化的网络风险？•风险评估——组织及重要的利益相关者是否对其运营、报告以及合规目标进行评估，并收集信息以了解网络风险对这些目标的影响？•控制活动——组织是否制定了控制活动，包括信息系统一般控制，使组织在风险承受水平内管理网络风险？该控制活动是否通过正式的政策和程序进行实施？•信息与沟通——组织是否明确了网络风险内部控制所需要的信息？组织是否已确定了支持内部控制持续运行的内部和外部的沟通渠道和方案？组织将如何应对、管理和沟通网络风险事件？•监督活动——组织如何选择、制定以及执行与网络风险相关的控制设计及执行的有效性的评估？当缺陷被识别后，如何进行沟通并优先进行整改？组织通过哪些措施来监督网络风险？当公司通过COSO框架的视角去管理网络风险时，董事会及高级行政人员能更好地沟通他们的运营目标、关键信息系统的定义以及相关的风险承受水平。这使组织内的其他人，包括IT人员，可以对网络风险进行详细的分析，包括最有可能受攻击的信息系统、可能的攻击方法和最有可能被攻击者利用的信息。由此实施适当的控制活动以应对这些风险。在讨论每一个内部控制要素时，我们将展现每个要素之间是如何相互关联的，以及如何基于内外部信息开展持续的、动态的风险评估。控制环境和监督活动要素是考虑网络风险的基础。为了使组织具备安全性、警惕性和可恢复性，这两类要素必须存在并持续运行——若非如此，组织可能无法充分理解网络风险，部署有效的控制活动，并对网络风险做出适当的应对。因此，本白皮书的主要重点将放在风险评估、控制活动以及信息与沟通要素，我们将在本文的结束语中讨论对于控制环境和监督活动方面的思考。二、基于COSO的网络风险评估任何一个组织都会面临一系列由外部和内部因素引发的网络风险。我们可以通过评估对实现组织目标存在的不利影响和事件发生的可能性来评估网络风险。恶意行为，尤其是那些受经济利益驱动的行为，往往出于对成本和利益的权衡。实施网络攻击的犯罪者及其动机可以分为以下几类：•敌对国家和间谍——敌对国家以军事和获得竞争优势为目的寻求知识产权和交易机密，窃取国家安全机密或知识产权。•有组织的犯罪者——运用精密工具窃取钱财或公司客户的私人敏感信息（如盗用身份信息）。•恐怖分子——以团体或个人的形式利用互联网对包括金融机构在内的重要基础设施进行网络攻击。•黑客——以团体或个人的形式，通过窃取或公开组织敏感信息发布社会或政治言论。•内部人员——组织内部受信任的个人出售或公开组织敏感信息。控制活动能够防范、发现和应对网络风险，而风险评估结果最终会影响组织在控制活动上的资源分配，因此对于风险评估过程本身也必须要进行投资。组织资源有限，因此针对控制活动的投资决策必须依据相关的高质量信息，优先为对组织来说最重要的信息系统提供资金支持。评估组织网络风险需要首先理解信息系统对组织的价值。该价值可通过评估其对组织目标的潜在影响来衡量。原则6【源自《内部控制——整合框架》（2013）中列示的17项内部控制原则。下同。】组织应设定清晰明确的目标，以识别和评估与目标相关的风险。2013框架在原则6中提供了若干关注点，为组织在网络风险评估过程中评估组织目标提供了参考。这些关注点分为以下五类：•经营目标•外部财务报告目标•外部非财务报告目标•内部报告目标•合规目标网络风险评估会帮助管理层作出用以支持组织目标实现的信息系统控制活动的决策部署，因此高级管理层和其他重要的利益相关方需要引导风险评估过程，根据组织目标确定需要被保护的信息系统。很多组织没有花费足够精力了解对组织来说最重要的信息系统，他们也不了解信息在哪里储存、如何储存。这会导致组织企图保护所有方面，从而导致过度保护某些特定的信息系统，而又对其他的信息系统保护不足。信息系统的价值评估需要业务和信息技术人员的高度配合。因为在有限的时间、预算和可利用的资源下，组织无法采取措施应对所有风险，因此管理层需要确定组织可接受的风险承受水平，重点保护最重要的信息系统。原则7组织应对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定应如何管理风险。原则8组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为。应用原则6进行目标识别后，组织应当清晰地理解对于实现目标具有重要影响的信息系统。然后应用原则7和原则8，进行更深入的风险评估，引导组织评估网络风险影响的严重程度和可能性。在高级管理层的领导下，通过业务和IT利益相关方的配合，组织能够有效评价影响组织目标实现的风险。为了使风险评估过程有效，相关人员必须了解组织网络风险概况，这包括了解哪些信息系统容易成为攻击者的目标，了解哪些攻击行为容易发生。会造成组织付出高额代价的攻击一般是组织最为关注的部分，组织应该了解并时刻警惕这些网络威胁。保持警惕意味着在组织中建立危险意识，有些行为模式预示着重要资产损失，在组织中应当提高发现这种行为模式的能力。组织必须将其整合到整体风险评估过程中，以便识别在哪些节点实施控制，以保护资产安全。与仅广泛关注网络风险相比，关注行业特定的网络风险更为重要。网络攻击者对于各行业有特定的攻击目标。比如，在零售行业，有组织的攻击者主要利用信息系统中的薄弱点，窃取能够用来获利的特定信息（如信用卡数据或个人身份验证信息）。石油天然气行业容易成为敌对国家为窃取勘探地战略数据而攻击的目标。化工企业由于其产品带来的环境问题也容易遭受黑客攻击。无论出于哪种动机，网络攻击者都是坚持不懈的、技术娴熟的、有耐心的。他们会通过收集暴露组织信息系统和内部控制弱点的信息来分阶段进行攻击。通过仔细识别其动机和可能的攻击方式，以及所用的技术、工具和流程，组织可以更好地预测风险，设计有效的控制措施，并在网络攻击发生时最小化潜在风险，保证重要资产的安全。原则9组织应识别并评估对其内部控制体系可能造成重大影响的改变。任何组织都会存在变化的情况，在评估网络风险时，应当预测这些变化。组织会不断发展，包括目标、人员、流程和技术都处在变化之中。网络环境也会发生变化，包括产生新的网络攻击者、新的攻击方式。尽管网络风险评估主要关注组织目前状况，但评估过程必须是动态且持续的，需要考虑内部和外部威胁的变化，据此调整组织管理网络风险的方式。在组织寻求发展、创新及成本优化的过程中，往往伴随着经营模式创新与科技创新。然而，这些创新也会带来新的网络风险。比如，网络、移动设备、云技术和社交媒体技术的采用会增加被网络攻击的风险。相似地，外包、离岸和第三方合作会导致潜在的、超出组织控制范围的网络漏洞。这一趋势促使网络生态链条的不断发展，同时也给网络攻击者实施攻击提供了更大的平台。对于可能影响内部控制体系发生变化的评估需要考虑人员的变动。业务层面人员的流动对于组织实施网络风险相关控制活动的有效性有很大影响。风险评估需要不断更新，以反映那些会影响组织为保护关键信息系统而实施的相关控制的变化。监控变化中的威胁情况以及风险评估过程将产生信息，高级管理层及利益相关方必须分享并讨论这些信息，以制定避免组织暴露于网络风险之中的最佳决策。三、识别并执行网络风险控制活动原则10组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动。原则11针对信息技术，组织应选择并执行信息技术一般控制以支持其目标的实现。原则12组织应通过政策和程序来实施控制活动。政策是建立预期，程序是将政策付诸行动。控制活动由组织中的员工实施，帮助确保管理层方针得到有效执行，以降低影响组织目标实现的风险。这些控制活动需要在政策中明确，以确保控制活动在组织中执行一致。如前文所述，网络风险不可避免，但组织可以通过设计和执行适当的控制措施来管理网络风险。当组织通过风险评估流程考虑到可能的攻击方式和路径时，组织可以更有效地降低潜在的网络漏洞对实现组织目标的影响。意识到网络风险不可避免，并实施适当的风险评估后，组织应当按层级建立多层控制防线，防止攻击者在攻破第一道防线后继续侵入信息系统。由于网络风险