目标制定

　　在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。

　　事项识别

　　企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。

　　风险评估

　　企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。

　　风险反应

　　企业风险管理框架提出对风险的四种反应方案：规避、减少、转移和接受风险。

　　控制活动

　　企业必须制定控制政策及程序，并予以执行，以帮助管理当局保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实。

　　信息和沟通

　　围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

　　监督

　　整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。

　　实施控制的地点

　　组织的各个层面实施控制，例如，在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。

　　COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论，其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发：

　　要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。

　　强调“人”的重要性，组织中的每一个人对风险管理都负有责任；

　　强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。

　　强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。

　　明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。

　　没有不花钱的内部控制，也不存在完美无缺的内部控制。

　　陈伟：国际注册信息系统审计师（CISA），BS7799主任审核员，国际信息系统审计与控制协会会员，管理信息系统硕士。在IT行业系统集成、软件开发、信息安全与控制领域有十六年工作经验，精通网络技术、软件开发技术、信息安全技术，长期从事企业信息化建设，对国内大中型企业的计算机网络及应用系统的规划、设计、实施有较丰富的经验。目前的工作专业领域集中于IT风险管理与控制领域（ISO27001、COBIT、ITIL）理论与方法研究，并为中国证监会、国家财政部、国家税务总局、国家审计署、中国工商银行总行、中国海洋石油、中核集团、酒泉钢铁集团公司多个大型组织实施信息化风险管理与控制咨询项目。著有《信息安全管理－全球最佳实务与实施指南》、《经营分析与信息技术》、《国际认证信息系统审计师认证指南》等，参与翻译《索耶内部审计》，《中国计算机用户》CSO专栏作家，发表多篇IT治理论文。