风险评估之——控制威胁 (企业的风险)

在风险分析中所犯的一个普遍错误是同等地估计所有威胁。威胁的类型提供了在某一较高层次上识别可以用于控制某种威胁的控制类型。这种分类也可以用来帮助评估威胁的重要性。

三大类别的威胁是：

·访问威胁——发生未经授权或不恰当处理的威胁。外部风险经常被称为安全风险或易接近性风险。未经授权的行为是指某个人或项目没有获得管理层实施这一行为的授权就擅自执行的那些行为。这可以是有意或无意地执行。故意执行未经授权的行为经常被称为欺诈或盗用。不恰当的行为是未经授权行为的变种。无意执行未经授权的行为通常被称为错误和遗漏。被授权执行某事的某个人可能通过不适当使用这一授权而滥用权力。例如；某个人可能被授权允许其更改员工的工资。然而，这一授权可能被滥用在不适当地更改和提高其自己的工资，而这是没有得到管理层授权的行为。

·控制威胁——对数据准确性和完整性，以及应用系统的操作性能的威胁。这些威胁涉及系统内数据的完整性以及系统运行其职能的效果性、经济性和效率性。

·审计能力威胁——阻止交易处理重建的威胁。这种威胁涉及数据存储的目的而不是数据处理。存储数据用作审计线索、备份和其他的历史数据的目的。审计能力威胁的风险使这类信息无法用来向管理层、审计师和监管机构证明处理情况。需要对这些数据进行监控、检查和审计处理，以确定它们是否已按照组织的政策和程序、法规要求和一般公认会计原则进行处理。

……

摘自：《国际注册内部控制师通用知识与技能指南》

——中国内部控制网（http://www.internalcontrol.cn/）