如何撰写一篇良好的风险陈述声明

来源：ISACA官网
作者：Benjamin Power

为了有效管理企业的风险，必须由信息系统专业人员识别和分析风险。风险因素应以清晰、简洁的方式传达，以便所有利益相关者都能理解。

良好、高质量风险声明可以解答以下问题：

• 会发生什么？

• 为什么会发生？

• 企业为什么要关心？

编写良好风险陈述的关键是对风险成分及其相互关系有基本的了解。

了解与风险相关的关键术语、它们的定义、业务及其目标将使风险表述更具影响力。

风险术语和定义

为了说明风险术语和定义在实践中的应用，可以想象一家虚构的银行，其目标是保护客户机密信息的安全，该银行正在处理客户信息高度复杂的客户账户管理系统。关键定义是：

风险——不确定性对目标的影响

影响——与预期的偏差。该示例中的效果是偏离客户信息保持安全的预期条件。预期条件是指银行规定的目标和政策所预期的条件。

不确定性——与理解或了解事件、事件后果或可能性相关的信息缺乏的状态，甚至部分。本例中的不确定性是由于客户账户管理系统高度复杂且固有难以理解，因此无法完全理解变更的后果。风险区域的复杂性越大，固有的不确定性就越大。本示例中的目标是银行确保客户机密信息的安全。

事件——特定情况的发生或变化，可能有多种原因。在本例中，事件可能看起来是系统更改本身，但如果更改顺利进行，则不会对目标产生直接影响。事件必须对目标产生影响。与变更问题相关的数据泄漏将是一个事件，因为这直接影响到保密客户信息的安全目标。

原因——引起任何行为、现象或条件的东西。重要的是不要误认为事件的原因。在示例中，有缺陷的更改（例如加密算法未按预期加密数据）会导致数据泄漏。有缺陷的变更不会直接影响保护客户信息本身的目标，因此在这种情况下不应被视为事件，而应被视为原因。另一方面，数据泄漏确实会对目标产生直接影响，因此在这种情况下它不会成为原因。使用时，风险声明可以包含多个原因。

结果——影响目标的事件的结果。风险声明的这一要素很重要，因为它强调了为什么人们应该关心风险。至关重要的是，这是相关的、合理的，并且理想情况下是量化的，以赋予该元素以实际意义。“损害名誉”的含糊陈述是不够的。这种对组织声誉的损害将如何影响组织？如果该组织是一个有效的垄断者，声誉损害可能不是问题。理想情况下，需要使用行业研究数据、内部管理信息或已知的因果关系来量化后果，例如监管机构征收的已知固定罚款或已知的客户数据泄露事件对客户的影响。一个很好的例子是最高罚款 500 英镑。

可能性——某事发生的可能性。风险是潜在事件和后果以及相关发生可能性的组合。在示例中，“某事”是指潜在事件和后果的组合。通过对行业内类似事件的频率分析、来自内部组织事件或问题数据库的特定技术以及咨询主题专家，可以合理地估计可能性。因此，考虑到这个例子，风险分析师可能会查看过去 12 个月内记录在内部损失事件数据库、隐私权信息交换所等外部数据库或媒体扫描中的损失事件数量，其中原因与不良事件相关记录受控的变化。查看这些事件在所做更改总数中的频率，可以对事件再次发生的可能性进行基本估计。

根据这些定义，风险声明应类似于：

「对目标有影响的事件」由「原因」导致「结果」

或

「对目标有影响的事件」由「原因」引起，这可能导致「后果」

如果银行的目标是“保护客户机密信息的安全”，而事件是由有缺陷的系统更改导致的客户数据泄露、损坏或不可用。

则风险声明可以是：

由于有缺陷的系统变更导致客户数据泄露、腐败或不可用，导致金融欺诈损失100万英镑，信息专员办公室罚款50万英镑，客户流失率6.4%，并受到审慎监管局的监管制裁。

结论

• 清楚地表达风险，可以更有效地理解和管理风险。

• 在编写风险声明时可以通过参考风险定义来实现。

• 了解风险目标也是关键。IS审计和控制专业人员必须创建信息丰富且与形势和受众相关的简明风险声明，以确保风险声明具有影响力并支持有效的风险管理。