博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行07風險升級和披露(上)

讀數字時代的網絡風險管理:策略、計劃與執行07風險升級和披露(上)

1. 風險升級和披露

1.1. 確保正確的人和實體在正確的時間以正確的方式獲知風險問題

1.2. 有助於防止問題演變成災難,並能保持或恢復公眾和監管機構的信任

1.3. 網絡風險升級和披露的必要性源於企業風險環境的變化特別迅速和不可預測

1.4. 法院和監管機構都在通過高達數億甚至數十億美元的罰款和其他和解方式,表達對風險升級,尤其是信息披露的嚴肅態度

  • 1.4.1. 監管機構正在這些判決的基礎上制訂越來越嚴格的規定,企業不得不嚴格遵守

  • 1.4.2. 法院體系認為企業​,在公開披露安全事件和其他網絡風險問題時不夠透明或及時

1.5. 風險升級是將風險或風險事件提請適當的、負責任的內部利益相關者注意的過程

  • 1.5.1. 決定升級級別的依據是,事件是否超過了企業風險分類和風險容忍度所定義的特定閾值

1.6. 風險披露是指告知某些個人和實體已發現的風險或事件

  • 1.6.1. 在很多情況下,法律或監管機構都要求進行合規性披露,因此不披露風險事件是一件非常嚴重的事情

  • 1.6.2. 與風險升級不同,風險披露在大多數情況下意味着要通知企業內外的各方

1.7. 需要披露風險有四個主要原因

  • 1.7.1. 上市公司披露重大風險的義務

  • 1.7.2. 監管合規義務

  • 1.7.3. 法律要求

  • 1.7.4. 維護公眾信任的需要

1.8. 不同地域的企業別無選擇,只能大幅改進其網絡風險披露和升級實踐

1.9. 企業履行其法律和監管義務並準確及時地披露風險的唯一途徑,就是CRMP的所有組成部分無縫協作

1.10. 風險因素

  • 1.10.1. 公司特有風險

  • 1.10.2. 行業風險

  • 1.10.3. 與特定證券(即特定投資)相關的風險

1.11. 重大風險:金融市場在很大程度上依賴於透明度

  • 1.11.1. 意味着任何考慮投資一家公司的人都有權瞭解所有可能對其決策產生影響的信息

  • 1.11.2. 並非所有的風險信息都是重大的

1.12. 各國政府、監管機構和法院,以及行業組織和公眾,正在通過監管行動、對違反既定規則的行為處以嚴重甚至是致命的罰款,以及通過縮小高管和董事會成員的個人責任範圍,來明確這一點

1.13. 監管機構並非孤軍奮戰:公眾也正在明確表示,他們願意放棄那些自己認為不可信任的公司

1.14. 確保風險升級和披露措施到位並不簡單,它需要與網絡風險管理計劃的其他組成部分充分整合

2. 全球監管機構

2.1. 澳大利亞證券和投資委員會(ASIC)​:澳大利亞政府負責監管其國內公司的獨立機構

2.2. 法國金融市場管理局(AMF)​:法國金融市場的主要監管機構

2.3. 德國聯邦金融監管局(BaFin)​:負責監管德國金融服務業的監管機構

2.4. 加拿大證券管理局(CSA)​:該組織將加拿大各省和地區的證券監管機構彙集在一起,以統一該國資本市場的監管

2.5. 中國證券監督管理委員會(CSRC)​:中華人民共和國的主要證券監管機構

2.6. 歐洲證券與市場管理局(ESMA)​:一個致力於保護歐盟金融體系穩定的獨立機構

2.7. 英國金融行為監管局(FCA)​:英國金融服務公司和金融市場的監管機構

2.8. 美國金融業監管局(FINRA)​:負責制訂和執行美國經紀商和經紀自營商規則的機構

2.9. 國際證券委員會組織(IOSCO)​:彙集全球證券監管機構的國際機構

2.10. 日本金融廳(JFSA)​:負責監管日本金融服務業的政府機構

2.11. 印度證券交易委員會(SEBI)​:負責印度證券市場的監管機構

2.12. 瑞士金融市場監管局(FINMA)​:負責瑞士銀行業和其他金融機構的監管機構

3. 風險升級

3.1. 風險升級是指使用風險指引體系來識別、評估風險並根據可能性或影響情況對風險進行優先處置,並提請指定人員或實體注意,以便他們採取適當行動的過程

3.2. 不僅僅是已經發生並需要採取應對措施的事件​,同樣重要的是要認識到,風險升級並不等同於應對事件

3.3. 風險升級與事件應對不同

  • 3.3.1. 事件幾乎總是需要某種類型的應對措施,但它不一定會改變風險等級

  • 3.3.2. 改變風險等級才是觸發戰略風險升級以進行決策或披露的關鍵因素

3.4. 企業高層決策者擁有豐富的經驗和專業知識,可以確定風險事件是否達到或超過了需要升級或披露的閾值,也就是説,它們是否具有重大相關性

3.5. 立法者、監管者和法院現在都在明確表示,這種情況是不可接受的,企業最高層必須要具有網絡專業知識並承擔網絡責任

3.6. 正式的網絡風險升級流程可為企業提供重要的運營改進機會

3.7. 風險升級有助於建立一種開放和可預期的溝通與協作文化,讓員工感到可以自由地(事實上也有義務)分享對風險的擔憂

3.8. 明確決策和責任可以減輕員工的內部“政治”壓力,使他們能夠依據高管批准的戰略來要求升級,即使這種升級會給有影響力的個人或內部組織帶來不利影響

3.9. 提高了企業的聲譽,展示了企業對風險管理的承諾,增強了從客户、投資者到合作伙伴等廣泛利益相關者的信心

3.10. 最重要的是,風險升級是企業履行法律和監管合規責任以及將安全管理作為一項風險職能的工作重點

  • 3.10.1. 當事情發生時,​“我沒有被告知”是不可接受的辯護理由

3.11. 網絡風險升級是確保正確的人在正確的時間獲得正確信息的正式做法

3.12. 網絡風險分類

  • 3.12.1. 風險評估和剩餘風險分類(嚴重、高、中、低)是CRMP風險升級和披露環節的必要組成部分

  • 3.12.2. 已確定的風險是否重大,以及是否超出了企業規定的風險偏好或容忍度

    • 3.12.2.1. 重大風險

    • 3.12.2.2. 超出風險偏好或容忍度的風險

  • 3.12.3. 重大相關風險是指可能對是否投資一家公司的決策產生影響的風險

3.13. 特定小組或委員會負責向上一級治理機構提供網絡風險建議

3.14. 一個小組或委員會負責根據分析結果和提供的建議做出網絡風險決策

3.15. 向小組或委員會通報有關網絡風險應對措施的所有決定

3.16. 升級和披露:不僅僅是安全事件

  • 3.16.1. 網絡風險的範圍很廣並在不斷擴大,各種因素都會對企業的風險態勢產生積極或消極的影響

  • 3.16.2. 需要風險升級和披露的一個關鍵前提是不可能消除所有風險

  • 3.16.3. 企業需要承擔適當的風險以保持競爭力,其風險決策需要由適當的人做出和批准

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.