1. 敏捷治理
1.1. 在網絡或其他所有風險管理領域,很少有比建立適當的風險治理模式更復雜或更具挑戰性的了
1.2. 有效的治理是建立企業流程的關鍵,以管理潛在的問題,預防可被識別的問題,並在問題發生時妥善處理
1.3. 是保護企業決策者(上至董事會成員,下至普通員工)在出現問題時免於承擔法律和監管責任的關鍵,因為它可以證明企業已經採取了適當的治理措施來解決、緩釋和報告潛在問題
1.4. 沒有人指望企業在應對風險方面做到完美無缺,當然也沒有人指望企業能夠完全消除風險
1.5. 每個企業必須承擔風險才能取得成功,因此每個企業都必須在風險和回報之間找到適當的平衡
1.6. 定義
-
1.6.1. 世界經濟論壇(WEF)
- 1.6.1.1. 適應性強、以人為本、具有包容性和可持續性的決策……它要求持續做好準備,快速駕馭變化,主動或被動地擁抱變化,並從變化中學習,同時為用户的實際價值或感知價值做出貢獻
-
1.6.2. 項目管理協會(PMI)
-
1.6.2.1. 與團隊合作比強迫他們服從更有效
-
1.6.2.2. 讓團隊做“正確的事”比事後檢查和強制合規更有效
-
1.6.2.3. 與質量門審查方式相比,持續監控能提供更及時的洞察力
-
1.7. 安全本質上是一種風險管理實踐,其作用是通過明智的安全風險決策實踐來指導業務,以確保業務領導者(資產所有者和利益相關者)在做出業務決策時是能夠獲得充分的信息
1.8. 通過有組織的敏捷治理機構,高層的認同對於確保整個企業認真對待治理本身和風險考量至關重要
1.9. 敏捷治理為正確的人在正確的時間出於正確的原因做出風險管理決定建立了一個框架
2. 良好的治理模式
2.1. 在各個領域和各個層面指導企業開展基於風險的決策
2.2. 最高領導層要為企業定下基調,並建立明確的流程、制度、角色和問責制
2.3. 所謂治理,是指為指導和領導一個組織而建立的制度、計劃和結構
- 2.3.1. 治理只是企業運營和決策所依賴的框架
2.4. 管理則是指在治理框架內做出決定和執行戰略的實際行動
-
2.4.1. 是利用現有體系和結構領導一個組織解決這些風險問題的過程
-
2.4.2. 包括確定風險組織的預算和其他資源,制訂目標體系,確保企業執行既定的戰略和計劃
2.5. 優步隱瞞“被黑”事件
- 2.5.1. 掩蓋真相的行為最終被曝光,優步遭受的後果是殘酷的
2.6. 1982年的泰諾中毒事件
-
2.6.1. 危機發生後強生公司立即召回了全球商店中的所有泰諾產品,向調查人員開放了生產設施,研製了防篡改(tamper-proof)和防盜(tamper-evident)的包裝
-
2.6.2. 強生公司對調查人員、監管人員和公眾保持完全透明
-
2.6.3. 很快人們就發現強生公司並無過錯,中毒事件是與強生公司毫無關係的一名或多名罪犯所為
-
2.6.4. 該公司通過展示優質的企業文化,最終確立了自己值得公眾信賴的地位
3. 與企業治理戰略保持一致
3.1. 對企業進行全景式審視:企業如何運營、誰做什麼決定、這些決定的依據是什麼以及誰對這些決定負責
3.2. 針對不同的情況採取不同的方法
3.3. 一個成熟的企業,尤其是在高度監管環境中運營的企業,必須做出更加細緻入微、經過深思熟慮的決策,以免破壞與眾多利益相關者建立起來的信任
3.4. 安全組織可以利用其對威脅環境的瞭解,傳達治理是企業必不可少的關鍵信息
3.5. 要實施敏捷管理,風險決策者需要確保他們的計劃符合企業的具體要求和能力
3.6. 該框架可作為計劃進入運營化狀態以及對網絡風險戰略與實踐發展進行持續迭代的指南
3.7. 敏捷治理框架至關重要,但設計、建立並確保其適合企業卻並非易事
- 3.7.1. 治理框架必須足夠全面,能夠針對可預見的風險對企業進行管理,但不必要的複雜性會使其變得臃腫不堪,並有可能使個人想方設法繞過它,從而違背初衷
3.8. 在制訂治理框架時,不能一刀切
4. 7個原則
4.1. 原則1:制訂戰略和流程
-
4.1.1. 必須制訂企業級的戰略和流程,以建立網絡風險管理計劃
-
4.1.2. 治理戰略聲明與所有形式的業務交流一樣,需要與企業文化保持一致
-
4.1.3. 需要用清晰的語言表述,讓每個相關人員都能理解,避免採用不必要的法律、技術或商業術語
-
4.1.4. 需要討論戰略的目標、預期結果以及對業務互動可能產生的影響
-
4.1.5. 應該建立問責制,並對利益相關者的期望不留任何疑問
-
4.1.6. 應該解釋風險透明的基本原則,以及為什麼這些原則如此重要
-
4.1.7. 意味着要認識到潛在的風險,並將其報告給相應的個人或職能部門,而不是視而不見或希望它們消失,或者更糟糕—隱瞞它們
-
4.1.8. 任何企業的管理實踐都必須與自身的要求和能力相適應
4.2. 原則2:在“三道防線模型”中確立治理結構、角色和職責
-
4.2.1. 必須建立網絡風險治理機制,明確界定“三道防線模型”的作用、責任和產出
-
4.2.2. 管理不能獨立或孤立地進行
-
4.2.3. 小型科技初創企業可能會發現,只需指定一個小組負責與風險相關的職責,並責成他們制訂和執行治理標準和實踐,以及上報可能出現的問題,就足夠了
-
4.2.4. 內部審計師協會(IIA)的“三道防線模型”(Three Lines of Defense)是一種非常有用且被廣泛使用的確定產出、角色和責任的方法
-
4.2.5. 第一道防線
- 4.2.5.1. 管理人員負責確保企業實現其組織目標,包括向客户提供產品和服務,以及達到規定的風險管理目標
-
4.2.6. 第二道防線
- 4.2.6.1. 由具有風險管理專業知識的專家組成,他們負責監督第一道防線的實踐,提供指導和支持,並對可能不符合企業風險標準的實踐提出質疑
-
4.2.7. 第三道防線
- 4.2.7.1. 即內部審計組織,它就與實現企業目標(包括風險)有關的所有事項提供獨立、客觀的指導和保證
-
4.2.8. 只有第三道防線是獨立運作的
-
4.2.8.1. 第一道防線和第二道防線通過溝通與合作來建立風險框架,第二道防線對第一道防線的風險產出進行持續監控和質疑,而第三道防線則提供獨立審計
-
4.2.8.2. 所有防線都由代表負責授權、建立問責制和確保誠信的治理機構進行管理
-
4.3. 原則3:治理實踐與現有風險框架保持一致
-
4.3.1. 網絡風險治理實踐應與所有現有的企業或組織風險框架保持一致
-
4.3.2. 並非所有企業都有風險管理計劃,但網絡風險管理計劃應與現有的所有風險功能和組成部分完全一致
-
4.3.3. 企業的網絡治理實踐絕不能孤立存在
4.4. 原則4:董事會和高層管理人員確定範圍
-
4.4.1. 企業的網絡風險實踐範圍應由董事會和高層管理人員確定和批准
-
4.4.2. 範圍的含義實際上就是什麼是需要保護的,什麼是不需要保護的
- 4.4.2.1. 為了實現有效的敏捷管理,必須在最開始就確定風險實踐的範圍
-
4.4.3. 在此範圍內的具體風險決策由風險負責人做出,他們負責受風險決策影響的資產
-
4.4.4. 一旦確定、批准並傳達了範圍和角色,在大多數情況下,具體的戰術響應決策就應由風險負責人(即負責保護資產的人員)做出
4.5. 原則5:董事會和高層管理人員應履行監督職責
-
4.5.1. 董事會和高層管理人員應妥善監督企業的網絡風險實踐
-
4.5.2. 監督和問責對於所有風險管理方案的成功都至關重要,對於治理實踐更是如此
-
4.5.3. 監督和問責必須至少應由企業的高管、董事會成員或兩者共同進行
-
4.5.3.1. 他們對風險管理實踐的監督負有法律和監管責任,而且他們將被股東和消費者權益組織,最重要的是被法院體系追究責任
-
4.5.3.2. 法院將不再接受“我不知道”或“我從不認為這是我的責任”作為風險管理失敗的藉口
-
-
4.5.4. 治理監督必須是自上而下的努力,最高層必須承諾CRMP計劃已由企業建立、實施和管理
4.6. 原則6:審計治理流程
-
4.6.1. 審計流程應對企業的網絡風險治理實踐進行適當的審查和評估
-
4.6.2. 因審計師的法定義務,每個企業內部審計組織都應積極參與審查企業治理措施並定期評估有效性
-
4.6.3. 內部審計機構負有重要的財務責任,但其治理責任並不僅限於此
-
4.6.4. 內部審計應審查整個網絡風險管理計劃,以確定其範圍是否適當、是否獲得了必要的高層支持、是否採用了公認的最佳實踐,以及能否產生所需的風險產出
-
4.6.5. 由於網絡風險管理計劃與有效的治理框架相關,它還應定期審核企業的治理實踐,包括它的設計和實際應用
4.7. 原則7:將資源與確定的角色和職責相匹配
-
4.7.1. 適當的資源和技能組合應與確定的角色和職責相匹配,並提供持續的培訓
-
4.7.2. 除非有必要的承諾、優先次序、資源,特別是治理支持,否則CRMP的任何組成部分都不可能有效
-
4.7.3. 必須確保具備必要的風險相關技能的人員專門從事這些工作,而不是簡單地將責任加給一線業務人員,因為他們可能對風險管理沒有全面的瞭解,也沒有時間致力於這項工作
-
4.7.4. 治理機構還必須準備好不斷髮展和適應(有時甚至是非常迅速地適應),以應對企業的整體業務戰略和目標
