炬光服务公司 SMBC 欧洲、中东和非洲地区运营风险主管 Sam Lee 的特邀文章
不管你信不信,愿不愿意,自从 Access 数据库、Excel 电子表格等工具以及其他将系统流程设计交到 "普通 "用户手中的应用程序问世以来,终端用户计算(EUC)应用程序的风险就一直存在。
随着时间的推移,这些工具已成为许多金融业务的关键,而它们的一些优势(灵活性、易于修改等)实际上已开始给严重依赖它们的企业带来风险。那么,什么是最终用户计算风险呢?
风险大致分为两类
- 由于某一事件、市场经验、业务活动、个人灵感、监管灵感或指导而意识到的风险。这些风险与组织的风险成熟度、洞察力和风险意识/嵌入程度有关。
- 随着时间的推移而缓慢发展的风险,而且我们在一段时间内不会意识到它们的存在。终端用户计算风险就属于这一类。
随着终端用户应用程序复杂性的增加(如用于建模、评估、存放关键业务数据或机密数据的电子表格)及其无处不在,我们对这些工具的相关风险越来越不敏感。
'那又怎样?这就是问题所在;如果你有一个电子表格或数据库,那么它就会:
- 拥有数千行代码;
- 使用多个宏;
- 由其他电子表格或数据库(甚至系统)输入/输入;
- 顾名思义,不会受到强大的变更控制或安全控制,也不会经过测试;
- 根据定义,几乎同样不会正式记录其目的或审查周期;
- 或以上任何组合;
......那么人们可能就不知道是否发生了变化(无论是有意的、意外的还是恶意的),也不知道其影响是什么。
良好的运营风险管理不是等待事件发生来确认风险的存在。它应该是了解我们是否存在风险,对其进行评估,并根据其影响(无论是财务影响、客户相关影响、声誉影响、监管影响还是运营影响)决定如何处理这些信息。
许多组织面临的另一个问题是:谁应该 "拥有 "EUC 风险?这种风险一旦被理解,就会被从一个支柱跳到另一个支柱,这种情况并不少见。仅仅因为它采用了 "IT "解决方案,就错误地为自己赢得了 "IT "徽章。
但现实情况是,与大多数运营风险一样,EUC 风险由企业自主承担。董事会、高级管理层和风险委员会的议程上有大量的企业风险,这是另一种风险。
必须建立风险管理框架
为了
- 定义组织的 EUC 风险。
- 定义什么是高风险的欧盟成员国。
- 确定管理高风险应用程序所需的额外控制措施。
- 制定适当的监督报告和监测协议。
- 制定在风险水平恶化/监测发现异常时采取行动的规程。
- 建立适当的升级机制。
所有这些都必须与更大的操作风险管理框架保持一致,并为其提供支持。
也许,执行和降低 EUC 应用程序风险的最安全方法是采取 基于系统的方法来支持控制框架。从成本效益和风险回报的角度来看,人工方法是令人望而却步和负担沉重的。
未来
EUC将继续存在,我们对其的依赖也不可能减少,这意味着我们必须了解和评估其带来的风险。但事实是,要做到这一点,首先必须引起管理层对风险的重视。
事实证明,这本身就具有挑战性,考虑到 EUC 风险可能给企业带来巨大的财务和声誉损失,这一点就非常令人吃惊了。据研究机构 Chartis 最近估计,50 家最大金融机构的EUC 风险价值 超过 120 亿美元。继续忽视这一问题将是相当不谨慎的。
