IT風險框架介紹

42 min readSep 4, 2023

在IT和網路安全的脈絡下考量風險概念時，我們大多數的人會引用了廣泛的詞彙，包括威脅(threats)和漏洞(vulnerabilities)、風險偏好(risk appetite)、忍受度(tolerance)、衝擊(Impact)、優先等級(prioritization)和回應(response)，以及對風險管理領域至關重要的許多其他術語、IT的管理和評估。

我們(風險 IT 從業人員)需要對所有這些術語進行完整、清晰和獨特的定義，以便創建可供整個企業的業務合作夥伴使用的通用語言。風險管理專業並不是現代的發明。風險管理的研究起源於 17世紀，當時數學家布萊斯·帕斯卡 (Blaise Pascal) 和皮埃爾·德·費馬 (Pierre de Fermat) 討論機會遊戲(games of chance)。他們的討論被認為開創了現代概率論，並最終開創了現代量化風險分析。然而，在當今IT、資訊安全、網路安全的背景下，風險管理原則並沒有被廣泛理解，尤其是其定量方法，這極大地提高了商業和財務方面缺乏對資訊風險的認知。

尤其是網路風險(Cyber risk)，可能無法被主要企業利害關係人（包括董事會成員和C-Level）充分理解，他們依靠技能來實現戰略和運營目標，因此應該對風險管理負責。如果對資訊科技相關風險沒有清晰的了解，C-level就沒有辦法確定優先等級和管理風險的參考框架 — — 儘管資訊科技日益主導現代企業運營的生態系統。

風險 — — 定義為事件發生的可能性(likelihood)及其衝擊(impact)的組合 — — 提供獲益的機會（有利）或成功的風險（不利）。機會與風險並存；事實上，為了向利害關係人提供商業價值，企業必須參與各種活動和舉措（機會），所有這些都帶有一定程度的不確定性，因此也存在風險。 管理機會與風險是企業成功的關鍵戰略活動。

IT風險框架涉及整個資訊科技風險 — — 與使用或依賴資通訊技術(ICT)、OT(operational technology)、網路或網際網路相關的任何業務或任務風險。該框架的核心原則是通過"有效的企業治理和管理各類資訊科技相關風險來服務利害關係人並提高商業價值"。在本文中，資訊安全、資訊保障(information assurance)和網路安全(Cybersecurity)被視為資訊風險相關風險的子領域。

該框架體現並闡述了整個企業風險 IT 的幾項關鍵指導原則：

將資訊科技相關風險的管理與業務或任務目標連結起來。
如果企業正在使用企業風險管理 (ERM)，則盡可能將資訊科技相關業務和任務風險的管理與企業風險管理 (ERM) 保持一致。
平衡管理資訊科技相關風險與其他企業風險的成本和效益。
促進有關資訊科技相關風險的道德和開放的討論。
確立最高準則，同時定義和執行個人責任，在可接受和明確的容忍範圍內運作。
將IT 風險實踐整合到日常活動和流程中 — — 不連續、單一時間點或獨立作業的工作本質是不利於IT 風險方法。
採取標準、可重複且符合戰略的一致方法。

與資訊科技相關的風險是企業整體風險範圍內的一個組成部分。其他類型的風險包括戰略風險、環境風險、市場風險、信用風險、營運風險和合規風險。部分企業將資訊科技相關風險歸入營運風險。

IT風險框架解釋了資訊科技相關風險以及讓我們(相關的從業者)能夠:

在企業層面廣泛識別並解決與資訊科技相關的風險 — — 而不僅僅是在 IT 部門內
將傳統 IT 風險、資訊安全和網路風險的管理整合到整體 ERM 流程中
促進企業層面中全面、整體、具有風險意識的決策
當科技相關風險超出承受範圍時，指導企業風險如何應對

甚麼是IT風險框架

與資訊科技相關的風險是數位化企業的生存條件 — — 無論企業是否識別其來源或認知到其潛在後果。隨著企業整合技術並利用資訊創造價值，網路威脅(Cyberthreats)的程度是大幅提升的。如果無法識別和管理網路威脅，可能會產生毀滅性衝擊。

在此背景脈絡下，IT 風險框架提供了一種結構化、系統化的方法，使企業能夠：

識別整個企業中現行和新出現的風險
發展適當的運營能力，以確保業務流程在有問題發生時繼續運轉
利用對現有合規或內部控制系統的投資來優化與資訊科技相關的風險
識別超出技術控制範圍的資訊科技相關風險以及 IT 相關工具和技術，將其納入企業風險管理 (ERM) 計劃
提高對技術和外部合作夥伴的利益（一方面）與網路威脅、內部控制失敗以及廠商、供應商和合作夥伴帶來的風險的潛在衝擊（另一方面）之間的平衡的認知
提高整個企業的風險意識、責任和義務
在業務環境中構建與資訊科技相關的風險，以理解企業價值方面的總體風險
集中內外部風險管理資源，實現企業目標最大化

IT 風險與主要 ERM 框架保持一致，包括 COSO ERM 框架和 ISO 31000 風險管理；然而，它們的實施並不是採用IT 風險框架的先決條件。採用IT 風險框架的企業通常會在其基礎風險流程中應用許多常見的 ERM 原則，無論管理的風險類型如何。

如果企業的 ERM 已經以某種形式實施，那麼以現有 ERM 計劃為基礎就很重要，以便：

使用現有概念、術語和共識，提高利害關係人的支持和採用
節省訓練和實施的時間和金錢
避免與新的 IT、網路安全或網路風險管理框架或術語替換相關的非連續性

當辨識到的資訊科技相關風險有可能影響整個業務或任務（而不僅僅是企業的一部分）時，建立在現有 ERM 計劃的基礎上就顯得尤為重要。

IT 風險框架彌合了傳統通用風險管理框架（例如 COSO ERM 和 ISO 31000）與特定領域框架（如 NIST Cybersecurity Framework）、資訊安全框架（例如 ISO 27005124）或專案管理（例如PMBOK）。 IT風險框架提供了與資訊科技使用相關的整體且全面的風險視圖，並全面涵蓋了風險管理 — — 從最高準則和文化，到一線從業者和運營議題。

應用IT風險框架中描述的與資訊科技相關的風險管理實踐可提供切實的業務和任務效益 — — 減少運營意外和故障、提高資訊品質和可靠性、加強利害關係人的信心、減少監管問題以及支持新的業務計劃的創新應用程式。

總之，IT 風險框架使企業能夠理解和管理與使用或依賴資通訊技術相關的危險、傷害或損失。

定義與術語

IT風險框架使用以下術語來描述主要背景脈絡、流程和活動：

企業(Enterprise)
一群為了共同目標而共同努力的個人，通常是在商業組織的背景下，例如公司、合資企業、有限責任公司、政府或公共機關、慈善機構、非營利組織或信託機構
組織(Organization)
由特定範圍定義的企業相關組成部分的結構
業務或任務(Business or mission)
組織存在的戰略目的。在IT 風險範圍內，企業通常會設定戰略目標，例如交付產品或服務、實現銷售目標和產生營收。
治理(Governance)
該框架和系統確保：
1. 評估利害關係人的需求、條件和選擇，以確定平衡的、商定的企業目標
2.制定戰略方向，通過適當、及時的決策確定目標的優先順序
風險(Risk)
事件發生的可能性及其衝擊的組合
資訊安全(Information Security)
保護資訊免遭洩露給未經授權的使用者（confidentiality）、不當修改（integrity）以及在需要時禁止存取（availability）的企業紀律
網路安全(Cybersecurity)
通過解決對通過網路系統進行資訊的處理、存儲和傳輸的威脅來保護資訊資產的企業紀律
網路風險(Cyber risk)
面臨與使用或依賴資通訊技術相關的危險、傷害或損失。通常，網路風險的實現涉及未經授權的存取和(或)未經授權的資通訊技術使用。

在IT風險框架中，“I&T(資訊科技)”一詞廣泛涵蓋所有資訊和相關技術、數位生態系統，並包括資訊安全、網路安全以及相關學科和流程。此框架中的 IT 一詞更狹義地指提供技術支援的內部或外部職能或部門。

IT風險框架的目的

在許多企業中，資訊科技已成為企業日常運營的核心，並日益成為整體商業價值的核心。因此，與資訊科技相關的風險應像任何其他主要業務風險一樣對待，例如戰略風險、環境風險、市場風險、信用風險、運營和合規風險，所有這些風險都屬於最高風險類別，即未能實現企業戰略目標。

在一些企業中，IT相關風險、資訊安全風險和網路風險被視為營運風險的子類別。儘管其他類型的主要風險早已融入企業決策流程，但C-Level們仍然傾向於將與科技相關的風險歸責於董事會之外的技術專家的領域。 與資訊科技相關的風險遍及整個組織，因此需要一種綜合的風險管理方法，而不是孤立的、局部的或臨時的處理方法。

IT風險框架解釋了資訊科技相關風險與讓使用者能夠:

識別超出狹隘技術判斷的資訊科技相關風險，因此需要全面的企業層級考量
將資訊科技相關風險的管理納入整體企業風險管理流程
在企業整體風險承受能力的背景下評估資訊科技風險和應對措施

背景

資訊科技風險通常出現在互連環境之間的主要節點，包括網際網路接入點。然而，這些互連對於業務和任務至關重要，因此，它們通常會帶來最嚴重的資訊安全和網路安全風險。

一般來說，資訊安全旨在通過維護資訊的C.I.A以及保護資訊所在的資產。資訊安全的其他因素包括不可否認性(nonrepudiation)、隱私性和敏感性。如今，網路安全風險幾乎總是滲透到其他類型的風險中，因為技術通常是網路風險成真的載體或路徑。

在制定業務或運營戰略時，企業通常明確決定接受一定程度的風險以實現其目標。在COBIT中，這種做法被稱為優化，意即將風險維持在風險偏好的承受範圍內，這應該是風險管理的目標。 IT 風險框架主要關注減少已成真的風險對業務衝擊或降低風險發生超出可接受水平的可能性(或概率)的資源和活動。 該框架廣泛促進了對整個資訊科技相關風險的管理；然而，作為相關子類別，資訊安全和網路風險範例可用於顯示系統和流程的相互關聯性質。

IT 風險框架不是一個標準，而是一個框架，並引用了 COBIT 治理和管理目標和實踐。企業應根據其特定產業和業務環境定制框架中的指南。更多的COBIT治理與管理介紹可參閱本部落格"雲端運算的治理與管理"與其系列文章。

IT風險框架原則

IT風險框架制定了有效管理資訊科技相關風險的指導原則，即與使用或依賴資通訊技術相關的業務風險。其原則是基於普遍接受的企業風險管理原則，並已應用於資訊科技領域。 IT風險框架旨在幫助企業在實踐中應用這些原則。

IT、網路安全和資訊安全超越任何單一的風險來源或類別；它們包含無數相互關聯的條件，並反映了許多具體的、獨特的特徵。它們可能涉及任何數量的專業技術、駭客、人為錯誤、攻擊向量、控制故障和軟體漏洞。特別重要的是要注意，網路風險和資訊安全風險不僅限於技術 — — 許多引人注目的風險事件都是由真實的人為錯誤開始的。

來自 IT、資訊安全和網路安全的風險並不是唯一值得關注的資訊科技相關風險。其他運營風險類型（包括流程失效和業務或經濟周期）也需要進行管理。任何危害組織業務或使命的資訊科技相關風險都應從企業整體目標的角度進行管理，因此屬IT風險框架的指導原則：

將資訊科技相關風險的管理與業務或任務目標連結起來。
盡可能將資訊科技相關業務或任務風險的管理與 ERM 保持一致。
平衡管理資訊科技相關風險的成本和效益。
促進所有資訊科技相關風險的道德和公開溝通。
確立最高準則，同時定義和執行個人責任，在可接受和明確的容忍範圍內運作。
使用一致的方法，融入日常作業，即標準、可重複且與戰略保持一致。

連結企業的業務與任務

對資訊科技相關風險的有效企業治理始終與業務或使命目標相關：

包括網路風險在內的與資訊科技相關的風險被視為一種業務風險，而不是一種單獨的風險類型，並且管理方法是全面且跨職能的。
資訊科技相關風險的治理有助於業務或任務成果。資訊科技支援業務目標的實現，任何相關風險都以它對業務目標或戰略可能產生的影響和概率來呈現。對資訊科技相關風險的分析考慮了業務流程與支援資訊科技資產、應用程式或基礎設施和(或)第三方依賴性之間的聯繫。
與資訊科技相關的風險管理，包括資訊安全和網路安全方面的實踐，都致力於推動業務或任務，而不是限制或抑制它。

與ERM保持一致

對資訊科技相關風險的有效企業治理使其管理與整體 ERM 保持一致：

業務或任務目標以及風險偏好都有明確的定義。
企業決策過程會全面考量到資訊科技相關風險帶來的潛在後果和機會。
明確和表述的風險偏好反映了企業風險管理政策和最高準則，並會影響企業文化。
與資訊科技相關的風險評估在整個企業範圍內（包括資訊安全和網路安全）進行協調和整合。

成本與效益的平衡

有效的企業治理資訊科技相關風險平衡其成本和效益：

根據風險偏好和風險承受能力對資訊科技相關風險進行優先排序和處理。
風險回應措施是在成本/效益分析、替代方案分析以及對企業目標具有最大潛在影響的風險優先等級的基礎上實施的。
利用現有的控制措施和風險回應措施來盡可能有效地解決風險。

促進道德與開放溝通

有效管理資訊相關風險可促進道德和開放溝通：

關於資訊科技相關風險的公開、準確、及時和透明的資訊可以自由交換，並為風險相關決策提供訊息。
風險文化和風險管理方法在整個企業內得到整合。
新技術被轉化為相關且易於理解的業務和財務術語。
有關事故和相關回應的資訊將公開傳達給利害關係人、政府和(或)監管機構、客戶和一般大眾（如有必要）。

設立最高準則與責任

對資訊科技相關風險的有效管理可以建立最高準則，同時定義和執行個人責任，以便在可接受和明確的容忍範圍內運營：

企業主、董事會和C-level參與風險管理。
有明確的責任和風險所有權分配。
風險假設得到適當的業務主管的理解和支持，並在風險偏好、容忍度、文化、政策和執行指南的文件中明確說明。
衡量風險管理績效並將其納入負責人員的績效管理中。
提倡風險意識文化和個人責任。
基於風險的決策是由有權的人員在組織的正確級別根據風險容忍度做出的。
風險管理實踐被適當優先考量並嵌入到企業決策中。

使用與戰略一致的方法

有效的資訊科技風險管理可以促進持續改進，並且是日常作業的一部分：

風險的動態性要求企業提前考量未來變化做好準備，如：

在組織本身（併購）
在風險格局中
在適用的法律法規中
隨著資訊和技術的發展
在整個產業中

風險評估方法、衡量尺度和標準在整個企業中是一致的，特別是應用於：

識別主要流程和相關風險
識別對目標的影響
識別甚麼事件會觸發，來指出風險何時超出容忍範圍或何時需要更新框架或框架中的組件等。
控制措施的監控和測試
防止風險發生的行動
風險回應（如果發生不良事件）
在定量風險測量過程中識別並儘可能減少評估者的偏誤

IT 風險框架組件以及與 COBIT 的一致性

IT 風險框架建立在本節中闡述的原則之上，並在後續章節中得到進一步發展。本節會討論：

IT風險框架的組成部分
COBIT 與風險 IT 框架的一致性
獨立於 COBIT 的IT 風險框架的應用

下圖說明資訊科技相關風險管理原則與 COBIT 目標 EDM03(Ensured risk optimization )和 APO12(Managed risk)的一致性。

IT風險框架的組件

IT風險框架基於一套有效管理資訊科技相關風險的指導原則，並加上COBIT。一個用於治理和管理由業務驅動的資訊科技解決方案和服務的綜合框架。 IT風險框架使企業能夠識別、治理和管理與資訊科技相關的風險。

各種不同的框架、技術或方法可以幫助企業建立和維持具效能與效率的管理風險的能力。無論風險是整體管理（如企業風險管理），還是局部管理為單一類型或類別（例如，不合規、網路安全或資訊安全風險），風險管理的基本原則都適用。

COBIT 與風險 IT 框架的整合

COBIT governance and management objectives及實踐幫助企業管理資訊科技流程、活動和服務，無論是企業內部還是外部，並幫助企業構建與資訊科技相關風險的整體參與。

內部企業事件和活動可以包括運營或網路事故、專案失敗、業務或技術策略變革、演變以及合併或收購。外部事件可以包括市場條件的變化、競爭、技術進步、影響資訊科技的法規以及這些事件可能產生的網路威脅。所有這些因素都會帶來風險和(或)機會；應對這些問題進行辨識和評估，並制定回應措施。 風險維度以及如何管理它是IT風險框架的主要議題。當識別出由資訊科技推動的業務變革機會時，COBIT 框架（特別是 EDM03 — Ensured risk optimization和 APO12-Managed risk）可以規定實現企業目標的實踐和活動。風險管理涵蓋了在追求企業戰略目標的過程中建立和保存價值的活動和文化的總和。風險管理不是一個職能或部門，也不僅僅限於實施和監控內部控制。

獨立於 COBIT 的IT風險框架的應用

在一般企業中，在如常的一天中，企業的業務活動會佈署在資訊科技相關的流程中。事件不間斷地發生：必須做出重要的技術選擇，必須對營運事故進行修復，需要解決軟體問題，並且必須構建應用程式。 每一個事件都伴隨著風險和機遇。

風險反映了事件發生的可能性及其對企業的影響的組合。因此，風險既反映了獲益的機會，也反映了對成功的威脅。為了向利害關係人提供商業價值，企業必須參與各種活動和舉措（機會），所有這些都帶有一定程度的不確定性，因此也存在風險。

資訊科技在風險與機會關係中可以發揮不同的作用，既可以作為價值的推動者，也可以是障礙：

價值推動者 — 新的業務舉措幾乎總是依賴於資訊科技的參與。在此角色中，資訊科技可以：

推動成功的資訊科技專案，支持新舉措，從而創造價值
以創新方式應用新技術，實現新的業務計劃並創造價值
保護資產和資源免受可能影響產品和服務交付的威脅

價值阻礙者 —與資訊科技相關的活動和流程可能會產生一系列負面後果：

資訊科技驅動的業務專案或投資往往無法實現預期結果，因此無法實現價值。
企業可能無法識別或抓住新技術帶來的新業務計劃的機會。
資訊科技可能無法預防或偵測可能導致輕度到嚴重運營中斷的情況或網路威脅，例如，系統或網路短期或長期中斷；資料遺失、洩露或損壞。

企業在實踐中該如何應對？理想情況下，企業將風險意識和機會意識思維融入到所有資訊科技計劃的評估和監控中，而不僅僅是那些需要 IT 部門或支援職能部門參與的計劃。例如，當想要對基礎設施進行重要投資時，企業在決策時應考慮以下因素：

與投資相關的風險，例如專案風險
新舉措在降低風險方面的效益
由此產生的資訊科技基礎設施的業務效益
與資訊科技資產相關的機會

當新技術出現時，企業在決定是否採用該技術時應考量以下標準：

採用該技術的衝擊（支援、可靠性、易於整合）
與運作新技術相關的風險（例如安全性、可靠性）
不採用新技術的後果（例如落後於競爭對手）
新技術的商業效益（例如，對新業務計劃的支持、效能與效率的提升）

企業完成對風險和(或)機會的初步評估後，應確定如何應對它們。良好的風險分析方法會反映了本文中描述的指南，並確定了要做出的風險決策。然後，可以應用健全的風險管理和價值管理實踐，從而做出明智的決策。

風險治理的要點

本節討論風險治理的基本組成部分。儘管對其進行了簡要討論，但讀者可以在本部落格 COBIT系列文章中找到更多資訊和實用指南。這裡涵蓋的主題包括：

風險偏好、風險忍受度和風險能力
資訊科技相關風險管理的利害關係人
風險文化

風險偏好、風險忍受度和風險能力

在制定戰略和(或)運營計劃時，企業必須決定承擔一定程度的風險以實現其目標。 風險的大小或程度通常呈現的是風險偏好和風險承受能力。儘管這些術語經常使用，但產生誤解的可能性很高。有些人可以互換使用這些概念，而另一些人則看到了明顯的區別。 IT風險框架定義與 COSO ERM 和 ISO 31000 定義兼容：

Risk appetite(風險偏好) —
企業在追求其使命（或願景）時願意接受的廣泛風險
Risk tolerance(風險忍受度) —
相對於特定目標實現的可接受範圍

風險偏好

風險偏好反映了企業為實現其目標而準備接受的風險量。在考量企業的風險偏好程度時，以下三個主要因素很重要：

企業吸收損失的客觀能力 — — 例如財務損失或商譽損害
管理層的文化或冒險傾向 — — 例如謹慎或激進。為了追求其戰略或目標，企業願意接受多大的損失？
業務的性質和所涉及的風險類型 — 例如，機房的機器掛掉與商用客機的飛行控制系統故障

每家企業的風險偏好都不同，對於可接受和不可接受的風險沒有絕對的規範或標準。

風險偏好的描述通常很廣泛，並且傾向於假設性或籠統地談論風險，例如“企業不會接受不合規的風險”或“企業不會接受欺詐風險”，而不是具體地以可量化的方式呈現其具體風險。儘管這種風險偏好的表述很常見，但它們很難作為管理指令在整個組織中下達：對風險的絕對禁止是不可能維持的，因此是不切實際的。 在這樣的風險禁止下，每一個控制缺陷都將被修復，每一個有風險的商業活動都將被拒絕。 實際上，這種方法並不能有效地利用資源。相反，企業應該嘗試確定可接受的損失金額並控制在該金額內。實用、具體、量化的風險偏好聲明的範例可能是：

儘管企業希望不承擔資訊科技風險，但它也認知到這對於實現其目標是不切實際的。因此，企業將修正可能面臨總損失 100 萬(或以上)的損失情況。

大型企業可能會發現為每個業務部門提供此聲明的版本是有效的。企業範圍的風險偏好聲明應反映（或匯總）所有業務線聲明。

每個企業都必須定義自己的風險偏好水準並定期審查。風險偏好的定義應與企業想要表達的整體風險文化相一致（即，從非常厭惡風險到承擔風險/尋求機會）。儘管沒有標準答案，但風險偏好需要定義、充分理解和溝通。風險偏好和風險忍受度不僅適用於風險評估，也適用於所有與資訊科技相關的決策。

風險忍受度

風險忍受度反映了風險偏好和業務目標所設定水準的可接受偏差範圍，例如：

標準要求專案在預計的預算和時間範圍內完成，但超出預算的 10% 或時間的 20% 是可以容忍的。

關於風險偏好和風險承受能力的指南

以下指南適用於風險偏好和風忍受度：

風險偏好和忍受度是在企業層級定義的，由董事會審查，並反映在C-Level制定的戰略和政策中。在企業的較低（戰術）層級，或者可能在某些企業或子公司內，只要企業等級的總體曝險不超過確定的風險偏好，就可以容忍例外情況（或定義不同的閾值）。任何業務計劃都包含風險成分，因此C-Level應酌情在風險脈絡下尋求新機會。有保守風險偏好和容忍政策的企業可能缺乏開發新商機的敏捷性或創新能力。相反，風險偏好和容忍政策可以由法律、監管或行業要求決定，並且對於未能滿足此類要求而沒有風險容忍可能是適當的。
定期"定義、審查和更新"風險偏好和容忍度，並明確傳達給所有利害關係人。風險例外流程得到明確定義和傳達。
新的市場形勢、變化的風險格局、調整的戰略等諸多因素要求企業定期重新評估風險組合、重新確認風險偏好，引發風險政策審查。在這方面，企業應該認識到，風險管理可以通過允許企業追求風險包容性策略和優化資源配置來為企業提供價值。
風險應對成本或風險對業務的影響可能超出企業的能力/資源，從而迫使企業對一種或多種風險情況有更高的容忍度。例如，如果法規規定靜態敏感資料必須加密 — — 但不存在可行的加密解決方案，或者實施解決方案的成本過高 — — 企業可能會選擇接受與監管不合規相關的風險，這對企業來說是一種風險。 — 根據事實資料做出適當的決定。

風險能力(Risk Capacity)

風險能力一詞有時用於討論風險偏好。風險能力通常被定義為企業在不冒”續存風險”的情況下能夠承受的客觀損失程度或金額。因此，它與風險偏好不同，風險偏好通常反映董事會或C-Level關於預期中風險的決策，如下圖所示。

上圖左邊顯示了一種相對可持續的情況，其中風險偏好低於風險能力，並且實際風險在某些情況下超過風險偏好，但始終低於風險承受能力。
上圖右邊顯示了一種相當不可持續的情況，其中風險偏好是由C-Level在超出風險能力的水準上定義的。 C-Level準備接受遠遠超過吸收損失的客觀能力的風險。因此，儘管大多數時候仍低於風險偏好水平，但實際風險通常會超過風險能力。

資訊科技風險險管理的利害關係人

在不同的企業中，資訊科技風險管理的利害關係人往往有所不同。 資訊科技風險管理的責任與義務因產業和企業類型的不同而存在很大差異。 例如，在許多金融機構中，風險長被降級為監督（或第二道防線）的角色，而業務線則承擔主要（一線）責任，有時甚至對風險決策負責。在其他一般企業中，資安長負責資訊安全風險管理，而責任則由資訊長或數位長承擔。

由於在ISACA Risk IT Framework文件中提及的角色在不同企業中的實施方式不同，因此它們與相同的組織單位或職能的對應關係並不一致。因此，文件對每個角色進行了簡要描述。

風險文化

風險管理可以最大限度地提高企業創造的價值，同時避免對其實現使命甚至繼續運營的能力產生負面影響的損失。 風險意識文化促進對風險的公開討論，並理解和維持可接受的風險水準。風險意識文化始於高層，由董事會成員和業務主管制定方向，傳達風險意識決策並獎勵有效的風險管理行為。風險意識還意味著企業內的各個層面都了解企業如何以及為何應對與資訊科技相關的不利事件。

風險文化並不容易描述。它由一系列行為組成，如以下說明。

— — — — — — — — — — — — 一般企業行為 — — — — — — — — — — — — — — — — — -

始終具有風險和合規意識文化，包括主動識別和升級風險:
企業定義風險管理方法和風險偏好，並建立對不遵守法律和監管要求的零容忍政策。
已定義與傳達並驅動行為的政策:
所有人員理解並執行企業相關政策規定的要求。
對提出問題和承認負面結果表現出積極的接受能力(容許企業內有烏鴉叫):
吹哨者被視為對企業的積極貢獻者。避免指責文化。人員了解風險意識和報告潛在風險的必要性。
認識到風險的價值:
人員了解保持風險意識的重要性以及管理風險為本身角色帶來的價值。
擁有透明和參與性的文化:
溝通是開放的，事實不會被遺漏、歪曲或低估。避免了大家不想提及議程的負面影響。
接受風險所有權:
風險實踐已納入整個企業。責任被明確分配和接受。資訊科技相關風險由企業承擔，而不僅僅只被視為是IT 部門或 IT 風險職能部門的責任。
允許"接受風險(risk acceptance)"是有效的選擇:
管理層了解接受風險的後果。衝擊被確定是在企業的風險偏好範圍內。

— — — — — — — — — — — — 風險專業行為 — — — — — — — — — — — — — — — — — -

清楚的理解每個利害關係人的風險是什麼以及風險如何影響他們的目標:
風險專業人員了解風險對業務的影響，包括競爭、運營、監管和合規要求。儘管風險在特定產業中可能很常見，但每個企業在風險影響其目標的方式方面都是獨一無二的。
建立對風險政策的認識和理解:
風險能力、風險偏好和企業政策的協調可以帶來有效的風險策略。
在風險評估期間促進協作和雙向溝通:
風險評估基本上是準確和完整的，並且滿足利害關係人的需求。
明確風險偏好並及時與相關利害關係人溝通:
利害關係人可以更有效地管理風險，並且與組織戰略和目標保持適當的一致性(可以使用OKR的方式來進行管理)。
制定反映風險偏好和風險能力的政策:
員工和管理層在風險能力範圍內作業。業務線將正式的風險偏好和容忍度應用到日常實踐中。有一個明確的流程來提議和改變風險偏好水準，並得到董事會或C-Level的考量和批准。
支援有效的風險實踐:
利害關係人從共同的組合視圖（產品、流程）了解風險，並將基於風險的決策應用於日常實踐。
有效利用 KRI 作為預警:
KRI 與有效指標相關聯，可用作流程或控制措施失敗的指標。 KRI 指標可用於定期報告並與目標相關。
根據超出風險偏好和風險能力的風險指標或事件迅速採取行動:
風險指標與管理風險應對和補救活動相關。

— — — — — — — — — — — — 管理層行為 — — — — — — — — — — — — — — — — — -

設定方向並展現對風險實踐的可見和真正的支持:
有品質的風險管理實踐是通過高階管理層的真正支持來維持的。
與所有相關利害關係人合作，就行動達成一致並跟進行動計劃:
正確的利害關係人適當參與確保及時解決問題和實現業務計劃。
取得真正的承諾並分配資源來執行其行動:
人員有權執行風險管理決策所需的行動。
使政策和行動與風險偏好保持一致:
管理層根據政策做出適當的風險決策。風險調整後的營收符合管理層的預期。
根據行動計劃監控風險與其進展:
補救計劃在預期的業務時間範圍內完成，並對企業目標產生正面影響。
向C-Level和董事會報告風險趨勢:
即時回報風險趨勢可以主動管理風險並避免錯失機會。
獎勵有效的風險管理:
良好的風險實踐得到認可。員工的績效目標和獎勵結構刺激有效的風險管理實踐和適當的緩解行動的執行。

風險文化報括了:

冒險的行動— — 冒險、風險識別和風險分析的規範和態度是什麼？
針對政策的行為 — — 政策是存在但有沒有被遵守的狀況發生嗎？政策會驅動行為嗎？政策是否易於閱讀、理解和遵循？
針對負面結果的行為 — — 企業如何處理負面結果、政策例外、損失事件、網路事故(Cyber incidents)、錯失機會和事故調查？企業會從這些事件學習並嘗試調整，還是會在不解決根本原因之下解決提出問題的人？

風險文化不足或有問題的症狀包括：

實際的風險偏好、規定的容忍度和風險政策不一致
未能使風險政策與有關政策合規性的管理方向和(或)組織規範保持一致
指責文化的存在。應避免這種類型的文化，因為它會抑制相關且有效的溝通。在指責文化中，當專案未按時交付或未達到預期時，業務部門往往會將矛頭指向 IT 部門或彼此。這樣做時，他們沒有意識到業務部門的預先參與如何影響專案的成功。在極端情況下，業務部門可能會將未能滿足其從未明確傳達的期望歸咎於責任。指責會削弱各部門之間的有效溝通，進一步加劇整個惡化狀況。 C-Level必須識別並迅速糾正指責文化，以促進整個企業的協作。

風險管理的要點

本節介紹總體風險管理流程的基本組成部分。這裡將討論的主題包括：

設置背景脈絡與確定風險管理範圍
理解風險管理工作流程

設定背景脈絡與確定風險管理範圍

在企業的使命、戰略和目標的背景脈絡下"定位企業的風險"是確保每天執行的每個流程和程序以滿足企業的長期業務目標並與其風險保持一致的第一步態勢。這稱為設定風險管理的背景脈絡。將基於風險的方法與企業的戰略觀點相結合，可以溝通和釐清哪些不確定性或風險最有可能危及企業的目的、目標和使命。

風險管理需要企業:

定義風險管理步驟的適用範圍
設定評估已識別風險的標準

範圍應根據企業目標來確定。設定背景脈絡將有助於企業限制初始風險評估的範圍（例如，限制一項業務職能，如會計），並了解該範圍如何適應整個企業的背景脈絡。

建立評估已識別風險的標準也是整個風險管理流程的重要組成部分。風險偏好和風險能力的發展可以幫助企業快速評估和了解風險是否符合風險偏好，或需要進一步分析或調查。

理解風險管理工作流程

下圖描述了風險管理工作流程的主要階段。圖中的步驟不一定按順序執行。每個企業都應該開發一個工作流程，支持以具效能與效率的方式完成任務。

資料來源: ISACA , Getting started with Risk Management

風險評估的要點

本節介紹風險評估過程的基本組成部分。這裡討論的主題包括：

風險辨識
風險分析
評估已識別出風險的業務影響
資訊科技相關的風險場景

風險辨識

風險識別流程主要在提高企業認知和理解任何可能損害其目標的風險的信心。

風險識別可以在正式場合（例如，在腦力激盪會議或研討會期間）或非正式場合（例如，茶水間內的閒聊）進行。腦力激盪會議通常從一系列問題很複查的項目開始，包括網路威脅或其他值得關注的領域。通常，讓人們保持清醒的議題會導致風險，而不是導致風險本身。例如，員工可能擔心未上patch的系統，並經常將其錯誤地歸類為風險。

IT 風險框架旨在識別可能影響企業使命和戰略目標的損失事件場景。他們的初步識別可能發生在不同的背景脈絡下，或採取不同的形式，包括訪談、腦力激盪會議、網絡自我報告或調查。

風險分析

風險分析包括在企業風險（尤其是與資訊科技相關的風險）複雜管理中強化實際的洞察力、企業參與度和組織透明度的核心方法。風險分析是用於以下目的的流程：

估算特定風險場景的頻率和嚴重程度
識別和評估風險、其對企業的潛在影響以及特定事件發生的可能性(概率)

風險評估比風險分析稍微廣泛一些，包括根據定義的企業風險閾值對已識別的風險進行優先排序、將類似的風險類型分組在一起以進行緩解以及記錄提供緩解的現有控制措施的活動。

評估已識別出風險的業務影響

有意義的風險評估和基於風險的決策需要以明確的、業務或任務相關的術語來表達與資訊科技相關的風險。 有效的風險管理需要 IT 和業務部門相互了解需要管理哪些風險以及原因。 所有利害關係人必須能夠理解並表達與資訊科技相關的失敗、妥協、錯誤或事件如何影響企業目標並導致直接（即財務）或間接（即資料或資訊）損失（例如，失去敏感客戶資料）。資訊科技相關事件給企業帶來的損失可能會影響企業提供關鍵服務和產品的能力。

需要建立資訊科技風險場景與最終業務或任務影響之間的連結，以理解負面事件的影響。有多種技術可以幫助企業用業務或任務術語描述資訊科技風險。雖然IT風險框架要求將資訊科技相關風險轉化為或以業務相關術語表達，但它並未規定任何單一方法。

資訊科技相關的風險場景

資訊科技風險管理的挑戰之一是在資訊科技或與資訊科技相關的一切可能出錯的情況下識別相關風險，特別是考量到這種風險在整個企業中普遍存在。

克服這一挑戰的一項技術是發展風險場景，它為資訊科技相關風險的複雜問題帶來洞察力和結構(如下圖)。發展場景後，它們將在風險分析流程中使用，其中估計頻率和業務衝擊。

風險場景可以通過兩種機制得出：

Top-down
任務戰略和業務目標構成了識別和分析合理且與預期結果相關的風險的基礎。如果衝擊的標準與企業的真正價值驅動因素非常一致，則可以發展相關的風險場景。
Bottom-up
從對企業重要的資產、系統或應用程式開始，列出威脅或一般損失情況清單。然後，該清單用於定義一組應用於企業環境的具體的、客製的場景。 bottom-up的方法通常用於網路威脅和漏洞評估；然而，如果不結合自top-down的方法來考慮其結果，它可能會限制可見性或混淆業務影響。

top-down和bottom-up的方法是互補的，應該一起運用。風險分類法可以通過提供對風險來源和風險型態進行分類的模式來協助關聯其結果。從網路威脅到形成並記錄的風險的路徑需要將風險聲明(statement of risk)分解為可操作的組件。風險分類法提供了離散來源和類別的通用語言，並幫助我們從業這向利害關係人傳達風險，確保風險場景與實際業務或任務風險是相關的。

定義風險場景集後，可以將其用於風險分析，以評估場景的頻率和衝擊。該評估的一個重要組成部分是風險因素。風險因素影響風險場景的頻率和(或)業務衝擊；風險因素可以有不同的類型，主要分為兩大類：

背景脈絡因素（內部或外部） — — 主要區別在於企業對各個因素的控制程度。

內部背景因素在很大程度上處於企業的控制之下，儘管它們並不是永遠哪麼容易改變。
外部背景因素在很大程度上超出了企業的控制範圍。

能力因素（呈現執行資訊科技相關活動的能力） — — 這些因素對於風險管理的成功結果至關重要。能力因素嵌入在許多相關的 ISACA 工具、技術、方法和框架中，支援企業定義和改進繼續運營資訊科技相關活動所需相關流程。能力因素有助於回答以下問題：

資訊科技相關風險管理能力 — — 企業風險管理的成熟程度如何？
資訊科技相關業務或任務能力（或價值管理） — — 資訊科技相關能力在管理可能危及目標的風險的同時，支援企業目標的力度如何？

資訊科技風險場景描述了資訊科技相關事件，一旦發生，該事件可能會導致業務衝擊。為了使風險場景完整並可用於風險管理和決策分析，我們應描述以下項目，如下圖所示：

威脅產生者 — 他們可能是內部或外部，也可以是人類或非人類。非人類指的可能是流程故障或自然災害。
條件或事件性質的類型 — — 條件或事件的類型包括：惡意、意外、流程故障、自然（即不可抗力）、經濟周期等。
事件的影響或結果的類型 — — 影響或結果的類型包括：資訊洩漏、系統中斷、意外更改、竊取、破壞等。事件可以反映（系統、流程等）的無效設計，流程執行不力（例如變更管理程序、採購程序和(或)項目優先排序流程）、監管影響以及使用不當。影響還包括場景的清理和修復成本。
目標資產或資源 — — 資產是對企業履行其使命或業務戰略有價值的任何東西，但可能會受到負面影響並對業務或使命產生衝擊。資源是任何有助於實現資訊科技相關目標的東西。資產和資源可以相同。例如，雲端運算是一種重要資源（因為所有與資訊科技相關的應用程式都使用它），同時也是一種資產（因為它對企業有一定的價值）。資產/資源包括：
1. 人員
2.資訊科技的流程
3.實際的基礎設施
4.資訊科技的基礎設施
5.其他企業架構的組件。如資訊與應用程式

某些資產可能被優先考慮為關鍵資產，而另一些資產則被視為非關鍵資產。關鍵資源可能成為更多駭客的攻擊目標；因此，相關場景的出現頻率可能會更高。區分關鍵資產和非關鍵資產需要技能、經驗和對依賴關係的透徹理解。

時機也可能與某些場景相關：

事件的存續 — 例如，雲端服務長時間中斷
時機 — 事件是否發生在關鍵時刻？可以進一步區分為：
事件和衝擊之間的時間滯後效應 — — 是否會產生直接後果（例如，服務故障和立即停機）或在一段較長的時間內產生延遲影響（例如，與過時的IT 架構相關，並且幾年來累積的成本較高）？

上圖的風險場景結構區分為損失事件（產生負面影響的事件）、漏洞或脆弱性事件（導致損失事件的幅度或頻率）和威脅事件（威脅行為者造成的情況或事件，觸發損失事件）。

描述和理解風險場景的不同組成部分非常重要，以便採取適當的行動。對於可能發生的一大堆不是重要的情況，這是很難做到的；因此，我們應該要有針對性的、完善的和細緻入微的相關風險清單，這些風險清單已根據業務衝擊進行了分析和優先等級排序。風險清單可用於記錄和追蹤已識別、分析和優先排序的風險。

風險意識、回報與溝通

風險意識伴隨著承認不確定性或風險是業務不可或缺的一部分。這並不意味著要避免或消除所有風險，而是與資訊科技相關的風險應該是：

已辨識的
已認知到的
有清楚認識與理解的
通過應用適當的資源進行管理

風險回報和溝通是風險意識的關鍵部分。 對於決策者和利害關係人（包括董事會）來說，及時收到準確的風險資訊並據此採取行動至關重要。 人們常常不願意談論風險；他們傾向於推遲對風險的討論，因為這涉及對未來不確定性的思考，而且畢竟可能不會真正實現。然而，儘管有這些主觀反應，關於風險的良好溝通（意即在風險被意識到為問題、事件或重大危機之前）仍然是必要的。

風險意識與溝通的效益

關於資訊科技相關風險的開放式溝通的效益包括能實現：

對已實現風險的實際曝險和潛在影響達成共識，從而能夠就風險應對做出適當且明智的決策
就曝險的潛在等級和風險管理流程以及使用的能力向所有利害關係人保持透明度

關於風險的溝通不良通常會導致：

對實際曝險程度產生錯誤的信心
自上而下的風險管理缺乏易於理解
利害關係人對曝險程度缺乏了解
認為企業向利害關係人、監管機構、投資者或第三方（例如客戶）隱瞞已知風險
無法及時回應可能造成傷害或損失的問題
當C-Level被認為負有責任但未能採取糾正措施或未充分向三方代表採取糾正措施時，利害關係人的聲譽遭受重大損害或期望降低

風險回報與溝通

與資訊科技相關的風險溝通涵蓋廣泛的資訊流。 IT風險框架區分了以下主要類型的資訊科技相關風險溝通，如下圖所示：

對風險管理策略、政策、程序、意識、訓練等的期望 — —
企業應就資訊科技相關風險的整體企業策略持續溝通並強化原則。對已知風險進行清晰、一致的溝通可以推動所有後續風險管理工作、提高風險意識並設定風險管理行為的總體期望。
當前風險管理的能力 — —
傳達企業風險管理能力表明企業管理風險和減少風險的程度，促進風險管理能力差距的透明度，通常是良好風險管理的關鍵指標。
管理中已識別風險的狀態 — —
風險狀態的溝通可以包括來自以下風險相關工件(artifacts)的資訊：
1. Risk Profile —
即企業面臨的已識別的資訊科技相關風險的總體組合，包括組合中每個風險場景的衡量標準
2. 支援風險管理報告的KRI(Key risk indicators)
3. 有關已實現風險的”事件/損失”資料
4. 已實現損失事件的根本原因分析(RCA)
5. 緩解方案（就成本和效益而言）

為了有效率，所有交換的資訊（無論何種類型）都應該清晰、簡潔、完整、準確、及時並為所有利害關係人所理解。這些標準對於資訊安全、技術和網路風險尤其重要。應避免使用有關風險的行話和技術術語。無關或過於詳細的資訊會阻礙而不是促進對風險的清晰認識，特別是有關網路威脅、漏洞和事件的資訊，而這些資訊幾乎沒有事實證據來指明根本原因或任何損失的實際程度。

識別風險與其相關業務或任務影響還有回應活動之間可能會經歷關鍵時期。例如，當 IT 組織架構設置不正確時，可能會出現風險場景。其業務影響（最終）體現在低效的資訊科技維運和服務交付的面向。 IT 專案失敗的情況可能會導致最終延遲或無法完成業務計劃。當溝通讓企業能在適當的時候採取行動來識別和處理風險時，溝通就是及時的。

資訊必須以適當的細節程度傳達到正確的人。在此過程中，資訊彙總不能掩蓋風險的根源。例如，資安人員需要有關入侵和病毒的技術資料來部署解決方案。資訊科技指導委員會可能不需要如此詳細的資訊，但它確實需要彙總資訊來決定政策變化或額外預算來應對相同的風險。

資訊需要在正確的人需要時是可用的。請注意，風險清單（包括所有記錄在案的風險）不是公共資訊，應適當保護，以防止內部和外部各方不需要的人來存取它。

溝通並不總是需要通過書面報告或訊息等正式方式。利害關係人之間及時舉行面對面會議也是溝通資訊科技相關風險資訊的重要手段。

KRI(Key Risk Indicators)

KRI 是能夠呈現企業面臨（或很有可能面臨）超出定義的風險偏好或容忍能力的風險的指標。顧名思義，它們只是風險指標，而不是風險的直接衡量標準。重要的是不要將風險衡量（以及相應的風險等級分配）與 KRI 混淆。它們因每個企業而異，其抉擇取決於內部和外部環境的許多參數，包括企業的規模和復雜性、監管環境（即是否在高度監管的市場中運營）以及戰略重點。 KRI 的識別應考慮以下步驟（其中包括）：

制定風險指標時考量利害關係人的需求。應根據資訊需求為相關利害關係人確定 KRI。讓正確的利害關係人參與風險指標的方式還可以確保更多的支持和所有權。
隨著時間的推移迭代和改進指標。採取平衡的方法來選擇前瞻性（領先）和回顧（滯後）指標。

領先指標包括防止事件發生的資料、資訊或能力。領先指標可能有上下限值，以協助企業在意識到風險之前了解何時需要關注某種情況。

滯後指標包括在事件發生後測量的資料、資訊或能力，例如，滿足效能目標或服務等級可用性目標。隨著時間的推移，分析已實現的風險、失敗的控制措施或流程以及未達目標的根本原因可以幫助企業開發新的指標、趨勢或相關條件以獲得見解。

企業可以開發一套廣泛的指標作為風險指標；然而，維護大量 KRI 通常是不可行的。根據定義，關鍵指標被區分為高度相關且具有預測或指示風險結果的高度概率(high probability)。

選擇合適的 KRI 可以為企業帶來以下效益：

向企業發出預警、前瞻性信號，表明風險可能很快就會成真，從而能夠在風險造成損失之前主動應對
回顧已實現風險的歷史背景脈絡，進一步為未來的風險應對措施提供資訊，推動改進並支持趨勢記錄和分析
關於風險偏好和容忍度的反饋，以促進風險管理策略和流程的改進，並優化風險治理和監督

與 KRI 相關的常見挑戰或陷阱包括：

測量目標不明確、缺乏規定/預期結果或缺乏可以用 KRI資料回答的明確問題
收集易於取得或已有的資料，而不是與特定風險或風險類型顯著相關的資料
KRI 與特定風險或業務目標之間缺乏清晰的邏輯關係
沒有明確衡量目標或目標的指標過多
繁瑣的聚合流程
在企業層面上解釋 KRI 結果過於復雜

由於內部和外部環境不斷變化，風險環境也高度動態，KRI需要隨著時間的推移而變化。每個 KRI 應與風險偏好和忍受度明確相關，以便可以定義觸發的程度以支持適當、及時的行動。

風險回應的基本要點

本節簡要討論風險回應的基本組成部分：

風險處置
風險聚合(aggregation)
風險回應選擇和優先等級

以下四種風險處置有助於企業有效管理風險，重點關注對目標具有最大潛在影響的風險（如果風險實現）：

Risk avoidance
Risk mitigation
Risk sharing or transfer
Risk acceptance

風險回應的目的是在風險分析後使風險符合既定的風險偏好。需要定義回應，以便將未來的殘存風險盡可能地（通常取決於可用預算）保持在風險承受範圍內。無論情況如何，管理層都可以決定接受任何風險。

Risk avoidance

風險規避意味著離開產生風險的活動或條件。當其他風險回應措施均不充分時，則使用此方式：

沒有其他具有成本效益的回應措施可以成功地將已實現風險的影響降低到定義的損失閾值以下。
風險不能被分擔或轉移。
管理層認為該風險是不可接受的。

一些與資訊科技相關的風險規避例子包括：

將數據中心遷移到雲端
當商業論證(Business case)顯示出明顯的失敗風險時，拒絕參與非常大的專案

Risk mitigation

緩解措施可降低風險的頻率和(或)影響。常見的緩解策略包括：

加強整體風險管理實踐 — — 企業應考量將風險識別和(或)管理的責任分配給最接近產生風險的活動或流程的人員。
將風險意識融入常規作業流程 — — 在日常作業中強化風險意識有助於員工在事件發生之前更好地理解和識別風險產生行為。
改進風險管理流程並制定相關容忍度 — — 企業應尋找機會將風險管理從戰略級聯(cascade)並擴展到企業的第一線。
自動觸發或告警 — — 當閾值超出容忍度時，自動化通常會提供最先進、最及時的指示。
引入控制措施 — — 控制旨在減少已實現風險的頻率或影響。以下各節討論各種控制技術。

Risk sharing or transfer

Risk sharing需要通過轉移部分風險來降低風險頻率或影響。常見技術包括：

投保資訊科技相關事件或網路事件的保險
外包資訊科技相關活動（如使用雲端運算）
通過固定價格安排或共享投資行動與第三方提供商分擔資訊科技相關專案風險

無論是在實際經驗中，還是在更抽象的法律意義上，這些技術都不會減輕企業的風險，但是，它們可以利用另一方的技能來管理風險，從而在發生負面事件時減少其財務衝擊。

Risk acceptance

Risk acceptance意味著不針對特定風險採取任何行動，並且在發生損失時接受損失。這種回應與簡單地忽視風險截然不同。接受風險是假設風險是已知的，即管理層做出了接受風險的決定。

如果企業採取風險接受立場，則應仔細考慮誰可以接受風險，尤其是與資訊科技相關的風險，只有業務管理層（和業務流程負責人）與企業管理層（和業務流程負責人）合作（並得到企業的支持）才能接受風險。 IT 部門或 IT 支援職能部門。如有必要，應根據政策規定，向適當的利害關係人（例如C-Level和董事會）傳達接受情況。識別或緩解每種風險可能並不相關或具有成本效益。

風險聚合(Risk Aggregation)

風險聚合是為了回報或處理的目的而組合單一個風險的方法或流程，或者為了獲得綜合風險概況或風險評分。若能從端到端聚合風險的角度進行風險管理，則做出的資訊科技風險管理決策對企業更有效益。風險的聚合視圖支援對風險偏好和風險能力進行全面徹底的審查，並且在企業效益方面始終超越相對單一的風險識別和(或)處理。

資訊科技相關風險通常按風險類型、風險回應的相似性或特定控制處理進行分組。例如，如果企業存取管理方法在不同業務領域產生重複的稽核結果或控制缺陷，那麼存取管理中的企業舉措可能會解決該問題。

出於C-Level或董事會報告的目的，風險的財務衝擊通常被匯總為如果某些類型的風險發生則可以預期的金錢損失範圍。 許多企業維持一套以財務術語來表達的影響標準和風險能力。風險匯總和報告是許多受巴塞爾銀行監管委員會監管流程約束的金融機構的當前要求。這一要求正在推動C-Level、風險管理職能部門/員工和風險管理部門之間的討論。董事會可以接受並有助於董事會做出明智決策的風險匯總和量化的適當程度。

風險回應選擇與優先等級

前面的描述列出了風險回應選項。這裡將重點討論在特定風險背景的情況下，在這些選項中區分、評估和選擇適當的回應措施。在此流程中需要考量以下參數：

回應成本 — — 在風險轉移的情況下，考慮保費成本；在緩解風險的情況下，考慮實施、維護和測試控制措施的成本。
回應所解決的風險的重要性 — — 考量風險清單上的優先等級。
隨著時間的推移實施和維持回應的能力 — — 企業的風險管理能力越成熟，可以實施的回應就越好；當企業能力是不成熟時，一些非常基本的回應措施可能會隨著時間的推移而被變形。
回應措施的有效性 — — 考量如果風險發生的話，回應作業將在多大程度上降低風險的頻率或影響。
其他資訊科技相關投資 — — 風險回應措施的投資總是與其他資訊科技相關投資競爭，需要仔細考量。
其他回應措施 — — 一種回應措施可能涉及多種風險類型，而另一種則可能不會；風險可以被匯總並隨後通過一般回應來解決。

有時，回應所需的代價或資源（例如，需要實施或加強的控制措施的集合）將超出企業的能力。在這種情況下，需要就優先等級、組織技能和專業知識做出決策。可能的風險回應選項可分為以下幾類：

快速致勝 — — 快速致勝包括對高度衝擊風險的非常短期、省時且有效的回應措施。
無法打折的合規義務 — — 管理不合規風險應與其他風險回應措施結合起來，以避免重複作業。
所需的商業論證 — — 對高度衝擊風險的更昂貴或更困難的回應措施需要在投資之前進行仔細的分析和管理決策。此類回應措施還可能包括將企業內部無法解決的風險管理外包。
推遲和(或)繼續監控情況 — — 企業可以推遲回應並繼續監控，以確定已識別風險或環境的變化是否需要採取不同的回應。