终端用户计算应用(EUCs)再度成为头条新闻,此前美国货币监理署(OCC)对一家美国银行处以4亿美元罚款。该机构在风险管理和监管报告实践中发现问题,而终端用户计算应用在其中扮演了重要角色。
终端用户计算(EUC)——即由终端用户而非企业IT部门开发和维护的应用程序 ——具有强大的功能且广受欢迎,常被用作快速解决各类业务问题的首选工具。Excel电子表格无疑是最流行的EUC应用程序,但使用SAS、Python或MATLAB开发的其他应用程序同样具备同等价值。
危险的缺乏透明度
尽管这些应用程序为终端用户提供了极大的灵活性,但企业IT应用程序通常具备的控制机制缺失,意味着它们缺乏监管机构(以及客户和管理层)在有效风险治理中所需的透明度和可审计性。
使用电子表格时,难以追溯公式或单元格内容的修改者、审核者及批准者。在银行机构中,管理 数十亿美元美元的投资。这些电子表格包含数百万个单元格,数据源来自多个渠道。为满足风险管理和审计需求,手动记录、审批和报告这些电子表格的变更,已超出终端用户、风险管理人员和合规团队的能力范围。
政策管理、执行与报告对合规团队而言是额外挑战,尤其当员工使用终端用户计算设备(EUC)时。尽管围绕EUC使用、更新及淘汰的政策必然存在,但识别EUC使用者、确保其知晓并遵守相关政策仍是一项巨大挑战。
应对巨大挑战
政策管理、执行与报告对合规团队而言是额外挑战,尤其当员工使用终端用户计算设备(EUC)时。尽管围绕EUC使用、更新及淘汰的政策必然存在,但识别EUC使用者、确保其知晓并遵守相关政策仍是一项巨大挑战。
在我看来,管理个人电子设备(EUCs)并非新鲜事;我们参与相关项目已逾十五年。所有合作机构都深知管理其个人电子设备的重要性。真正的挑战在于持续追踪设备使用场景,并主动与用户沟通以理解这些设备带来的价值及其对业务构成的风险。如此方能与终端用户协作妥善管理设备,确保其符合政策规范。
Mitratech专业服务副总裁伊恩·克利弗阐述了向客户推荐的Mitratech终端用户计算管理解决方案实施方法:"第一步是识别最重要的终端用户计算系统,然后建立系统清单以便主动监控。利用警报功能还能及时发现变更情况,识别数据缺失、计算错误等可能引发机构问题的隐患。"
“这项活动的成果可整合到统一的治理、风险与合规(GRC)框架中,从而为企业提供关于企业用户计算风险的透明度,”他解释道。“当我在某家全球性银行使用该平台时,我们确保企业用户计算管理报告被纳入每月董事会会议——虽然显得有些多此一举,但确实有效。我们从未遇到过任何问题。”
管理您的影子 IT 电子表格
有了 ClusterSeven,您就能控制隐藏在企业内部的终端用户计算资产,这些资产可能会带来隐藏风险。
