施罗德公司Parimal Patel 的客座博客
资产管理公司越来越重视运营风险资本。运营风险一直是资产管理公司关注的焦点,但近年来,全球经济因素、不断变化的政治局势以及系统性业务漏洞的影响,使这一风险的管理变得尤为复杂。
来自电子表格、数据库和财务建模工具等最终用户应用程序的最终用户计算风险是造成运营风险的主要因素之一。由于这些终端用户应用程序的固有性质,以及它们在任何资产管理业务中用于复杂计算的普遍性,要降低与终端用户计算有关的运营风险,就必须制定协调一致、全面和严格执行的风险管理政策。
EUC 政策的合规和管理
资产管理机构希望将终端用户计算政策作为其整体运营风险管理策略的一部分,最好牢记以下几点:
范围 - 确保政策适用于并涵盖所有关键业务 EUC。每项政策还必须符合公司更广泛的数据和模型 EUC 治理标准,反之亦然。
定义--必须明确了解 "EUC "的定义。例如,哪些类型的业务应用程序属于 "EUC "范畴,它们是在哪些软件程序(如 Excel、Access、Python 等)中构建的?其次,阐明标准以确定什么是 "关键业务 "EUC 是关键。以终端用户计算政策为例,如果 EUC 的输出结果与客户共享,就会被视为关键业务。同样,如果应用程序的输出被输入到其他业务领域的数据库和模型中,也会被视为关键业务。
所有者和验证者 - 没有所有者,就不可能执行任何政策。为每一个关键业务 EUC 指定单独的所有者;这样做就是让个人对业务应用程序在其整个生命周期内的输出负责--从创建到停用和更换。这将确保所有者监控数据准确性和完整性的所有控制点。同样,指定一名验证人员,确保在每个文件的生命周期内对应用程序进行适当测试,并批准结构修改。
库存 - 全面了解业务应用程序状况至关重要。确定关键业务 EUC 清单将在哪里记录,由组织中的哪个人负责。例如,是由应用程序所有者负责,还是由部门或团队负责人负责?
监测残余风险 - 将确定残余风险的责任分配给所有者。这将确保任何高残余风险事件都能及时上报上级主管部门和风险管理部门,以便在必要时采取潜在的先发制人行动。
年度评估 - 指派各部门负责人负责至少每年一次对欧盟内部控制情况进行评估。同时对控制措施进行审查,也有助于确认欧盟内部控制政策得到了令人满意的遵守。
获得咨询 - 在信息技术和风险部门内确定个人可以就最佳做法和特别询问寻求建议的人员。这对确保正确执行 EUC 政策至关重要。
自动化 - 手动执行最终用户计算策略既困难又耗时。为了管理这些应用程序带来的风险,执行最终用户计算政策的最佳方法是 自动化.它确保了例行的制衡,使用户可以专注于自己的核心工作,而不必担心遵守政策。
EUC 风险是业务风险的重要组成部分
EUC风险是运营风险的重要组成部分之一。虽然影响运营风险的许多因素往往不在企业的控制范围之内,但 EUC 风险是可以管理的。事实上,EUC 管理不仅能降低风险,还能 带来业务价值。 对于当今注重成本、以客户为中心的企业来说,了解情况可以提高运营效率,改善内部标准,这一点至关重要。
