如何根据对组织的影响来定义 EUC 风险并对其进行分类
任何由最终用户而非 IT 部门或专业软件工程团队开发或管理的、支持关键流程的应用程序都属于最终用户计算 (EUC) 的范畴。尽管这些应用程序在帮助团队提高日常工作效率方面大有用武之地,但 IT 团队在管理这些应用程序时却很少采用与管理定制应用程序相同的管理协议或安全检查。
这意味着,特别是在当今的环境中,您极有可能被问及您的 EUC 管理计划。但是,您需要准备好哪些答案,才能自信地说:"我已经制定了有效的 EUC 政策?
在通过控制和业务决策相结合的方式有效降低 EUC 风险之前,您需要能够对其进行定义和分类。
管理不善的 EUC 应用程序--真正的成本是多少?
马莎百货公司(Marks and Spencer)的 "重复计算 "事件震惊了整个金融界,该公司错误地宣布销售额增长了 1.3%,而实际上销售额却下降了 0.4%。同样,支持服务巨头 Mouchel 也经历了一次灾难性的崩溃,因为一次会计失误导致其损失 860 万英镑,股价暴跌 30%。虽然这些EUC错误造成了巨大的财务影响,但事实证明,市场对财务控制不力的广泛看法甚至比成本本身更有害。
但是,尽管与 EUC 相关的风险会对您的组织产生巨大影响,它们也不一定会让您的团队彻夜难眠。相反,管理 EUC 风险的方案框架可以确保您了解风险所在,制定适当的控制措施来降低风险,并向 IT 团队提出建议。例如,是否应将高风险、高使用率的 EUC 转变为 IT 所有的应用程序,并对其进行更好的监督,或者让其单独存在更有意义。如果您的 EUC 风险管理计划出现漏洞,可能会影响几代人的声誉,因此必须将其建立在坚实的基础之上。这意味着要花时间识别和分类影响企业的各级 EUC 风险。
4 类欧盟委员会风险
对于任何隶属于你部门职权范围的 EUC(尤其是那些被认为是高风险的),你需要确保适当的控制措施到位,并将其记录在案,而且要对其进行年度审查和路线图绘制。要正确做到这一点,您需要根据组织影响和风险级别对这些 EUC 进行定义和分类。
在审查组织中的所有 EUC 时,请将它们带来的风险归类为以下关键领域:
财务风险
- 数据准确性和损失:不准确或不完整的 EUC 数据会造成财务计算错误,可能导致财务损失或监管合规问题。
- 资源利用:资源(包括硬件、软件许可证和人员)使用效率低下,导致不必要的开支。
- 供应商风险:对特定供应商或供货商的依赖:如果这些实体无法交货或财务不稳定,组织就会面临财务风险。
业务风险
- 停机:EUC 系统宕机会扰乱业务运营,造成生产力损失和收入减少。宕机可能由技术问题、软件故障或网络攻击造成,并导致业务连续性问题。
- 服务水平协议(SLA):不遵守服务水平协议会导致处罚、违反合同和损害客户关系。
监管风险
- 不合规:不遵守监管要求(如 BCBS 239、SR 11-7、偿付能力 II 或特定行业标准)可能导致法律处罚、罚款和声誉受损。
声誉风险
- 公众负面印象:任何与 EUC 相关的问题,如数据泄露、系统故障或违反法规,都会损害组织的声誉。这可能导致股价暴跌、高管流失,以及难以获得和留住客户。
- 客户信心:与欧盟委员会相关的问题会削弱客户的信心和忠诚度。 重建信任总是需要大量的努力和资源,即使有可能也是如此。
虽然风险分类为您的 EUC 风险管理战略提供了一个坚实的开端,但您还没有完成。接下来,您需要根据风险等级,为每个 EUC 实施适当的控制措施。
更不用说,保持控制、合规性和有效的利益相关者沟通都是持续的挑战。而且,即使您拥有世界上最好的 EUC 政策,您仍然需要能够提供证据,证明该政策已经到位并行之有效。
要涵盖的内容很多,因此我们创建了一份全面的EUC 风险管理清单,以帮助指导您确定、量化和管理最终用户计算(EUC)风险的框架。
