什么是终端用户计算(EUC)风险?
炬光服务公司 SMBC 欧洲、中东和非洲地区运营风险主管 Sam Lee 的特邀文章
终端用户计算是指除了软件工程师通常遵循的设计、构建、测试和发布的分工开发流程外,用户还能创建工作应用程序的系统。Microsoft Excel 可能是最著名的 EUC 平台实例之一。
因此,EUC 风险是指电子表格等关键 EUC 业务文档中可能出现的错误。电子数据中心的灵活性可能导致 正在出现的故障 在这些重要的公司文件中。鉴于管理层和其他终端用户普遍接受并依赖电子数据中心生成的数据,这可能很快导致数据错误,进而增加财务和声誉损失的风险。
为什么 EUC 风险很重要?
虽然 EUC 风险具有普遍性,但它并不像其他一些企业风险(如运营、财务和监管风险或其子类别)那样广为人知,甚至可能没有得到认可。"为什么我需要关注 EUC 风险?"的问题经常被问到。原因有两个。
最重要的是,EUC 风险存在于任何依赖电子表格、数据库和其他 IT 应用程序周期之外的 "人造 "计算工具的组织中。风险程度取决于 风险管理框架 但企业不使用上述应用程序的可能性不大。
其次,EUC 风险会导致一系列其他运营、监管和行为风险。企业内部控制风险与其他风险之间有很大的相互关联性,所有这些风险累积起来就会形成企业风险。下图清楚地说明了这一点。
因此,应该 挑战任何组织 认为 EUC 风险与其无关。当务之急是,各组织必须弄清 "EUC 风险 "的含义。
好消息是,我们可以管理和控制 终端用户计算风险、 即使它从根本上存在于整个组织中。那么,从哪里开始才是合理的呢?
终端用户计算风险是一个经常被低估的威胁,来自终端用户计算的数据为关键业务决策和报告提供了基础。以下是一些管理终端用户计算风险的高招:
了解贵组织的 EUC 群体--所使用的 EUC 应用程序类型;每种类型的数量;以及不同文件的复杂程度或固有风险--即哪些文件编码繁多、使用宏、依赖与其他电子表格和数据库的连接等。
确定 EUC 对业务的 "关键性"。必须根据这些文件丢失或在不知情的情况下被损坏或篡改后对业务造成的定量(美元损失)和定性(声誉风险、客户风险、监管制裁、业务功能损失)影响来评估关键性。例如,评估如果重要电子表格应用程序的创建者离开组织,会给企业带来多大的损失?团队中的其他成员是否对应用程序的工作方式和维护需求有深入的了解?如果无意或恶意更改应用程序中的任何代码或宏,他们能否测试应用程序的完整性?
设计一项政策 建立电子数据中心清单的政策,包括各种风险级别的定义,以及必须根据文件的重要程度实施的相关控制措施。此外,政策还必须包括根据关键性分类记录、测试和维护 EUC 清单的规则。显然,关键性越高,规则就越严格,政策就越严厉。
创建重要 EUC 的热图,并使用关键风险指标显示拖欠的 EUC 所在位置。这将有助于组织采取纠正措施。
重点关注最关键的 EUC,了解其使用情况,并将其与组织风险库中确定的潜在更广泛风险进行映射。例如,评估电子表格应用程序是否会影响内部欺诈、财务报告等其他风险、 数据管理等。
采用这种端到端和细化的方法 手动几乎是不可能的由于电子表格和电子数据中心在大多数组织中的使用范围很广,因此,对电子表格和电子数据中心进行全面识别和清点不仅困难,而且具有挑战性。不仅难以全面识别和清点 EUC,确定关键电子表格对其他企业风险的相互联系和相应影响也很有挑战性。
它是 还有 几乎不可能有效地手动跟踪对代码、宏等的更改,无论这些更改是否是有意为之,以及 真或其他方式。采用以下技术 自动 发现、清点、执行政策、控制和全面管理 EUC 环境是最具成本效益和最安全的方法。
English 
Deutsch 
English (UK) 
English (Australia) 
Français 
Español de México 
简体中文