|
本篇我们将继续探讨网络安全相关标准中《内部控制——整体框架》。
COSO报告提出,COSO整体框架包括3大运营目标和5大控制要素。
内部控制由5个要素:即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中,各个要素有其不同的功能,内部控制并非五个要素的简单相加,而是由这些相互联系、相互制约、相辅相成的要素,按照一定的结构组成的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石,支撑和决定着风险评估、控制活动、信息传递和监督,是建立所有事项的基础;实施风险评估进而管理风险是建立控制活动的重点;控制活动是内部控制的主要组成部分;信息传递贯穿上下,将整个内控结构凝聚在一起,是内部控制的实质;监督位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。2004年COSO又发布了ERM《企业风险管理一整体框架》,如下图所示:
说明:COSO通用内控框架与ERM虽是同一个机构所发布,但是ERM不是COSO总体内控框架的替代品。
需要再次强调的是《内部控制整体框架》不仅仅是网络安全,其核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论来内部牵制、内部控制制度和内部控制结构等理论。
湖南网络安全服务专家咨询热线:13007485118
| 
免费注册
发表于 2011-12-23 01:41