双语阅读AI翻译

通过风险管理加强应变能力

2019/11/06 22:01
收藏
对照中文英文原文
纽约联储执行副主席兼首席风险官Joshua Rosenberg在演讲中强调了弹性的两个挑战:组织孤岛和控制的复杂性,并还提出了一套基于风险管理工具的解决方案:侧重于组织目标、关键流程的端到端管理、集成风险管理和系统控制方法。

纽约联储执行副主席兼首席风险官Joshua Rosenberg在纽约风险美国会议上的讲话。

早上好,感谢你们今天给我这个机会。我首先要说的是,我所表达的观点是我自己的观点,不一定代表纽约联储或联邦储备系统的观点。

能够在任何环境中茁壮成长,无论是在正常的还是混乱的环境中,都是一个组织必须具备的能力。我们可以通过风险管理来加强组织弹性——“准备和计划、吸收、恢复和更成功地适应不利事件的能力”。那是因为风险管理工具帮助我们在不确定的明天制定计划并采取行动。事实上,通过将弹性定义为风险管理的目标,我们可以为组织提供更多的价值。

今天,我将讨论一些实现弹性的挑战以及风险管理如何成为解决方案的一部分。虽然弹性有很多方面,但我将选择两个挑战和它们与风险管理的联系:组织孤岛和控制的复杂性。

组织孤岛

第一个挑战是组织孤岛。威胁不论边界。有些,比如网络威胁,实际上利用了它们。飓风不关心你的组织结构,而网络攻击者实际上想要它的一个副本来对付你。既然威胁不是孤岛式的,我们的防御也不可能是孤岛式的。

企业风险管理的观点之一是,良好的结果依赖于跨组织边界和风险类型的集成。这就是为什么不仅仅是风险管理,而是企业风险管理。我们可以使用来自企业风险管理的方法来建立跨越孤岛的桥梁。

首先,企业风险管理关注组织的目标和支持它们的关键过程。关键流程跨越活动链中的组织单元,从供应商交付的输入开始,到组织内的增值转换,再到最终交付给客户。因此,为了加强弹性,我们识别过程结果的风险,然后设计过程和控制来应对这些风险。

由于孤岛削弱了弹性,您可能希望在组织中寻找一些热点,在这些热点中,企业范围内的协调是必不可少的。我将从事件响应开始。你准备好应对需要跨组织单位的团队合作的复杂威胁了吗?另一个具有挑战性的领域是外部依赖关系管理。您是否有一个协调一致的方法来理解和管理整个风险范围内的供应商风险,包括信息安全、数据隐私、遵从性、业务连续性和信用?

风险孤岛和业务线孤岛一样有问题。风险学科的专业化虽然有好处,但普遍存在的负面影响是沟通和协调不足,其次是信息差距和决策效率低下。

以提供关键服务的供应商为例,该供应商处于破产的边缘。信用风险分析人员、操作风险和业务连续性专业人员以及业务是否受到影响,共同工作以共享信息、见解和潜在的响应?或者,孤岛是否阻碍了信息在正确的时间到达正确的人手中,让他们做好准备并采取行动?

风险孤岛可能会导致孤岛决策,逐个查看风险是不连贯的。我们可以通过不进行操作将运营风险降至零(我想我们都可以提前回家),但随后战略风险上升至无穷大。由于大多数有意义的决策都涉及到平衡风险,为了做出正确的决策,我们需要一个包含所有相关风险类型和所有相关风险专家的风险图。

类似地,现实世界中的漏洞不必遵循特定的风险类型。考虑身份和访问管理中的弱点。这是网络、合规、运营等风险的驱动因素。这也是一种风险,不能仅通过信息安全专家实施的技术控制来降低;也就是说,孤立的风险应对是不够的。因此,加强跨风险学科的协作和协调是解决风险孤岛负面影响的一个解决方案。

风险孤岛造成的另一个具体痛点是风险评估的繁盛,甚至过度增长。大多数组织都有许多风险评估:通常每种类型的风险都有不同的评估。一些关注资产,另一些关注组织单元,还有一些关注过程的特定部分。结果可能是一组评估,可能包含不一致的覆盖率和不连贯的建议。

因此,应对这一趋势和桥梁孤岛评估的一个有吸引力的选择是整合风险评估。统一的方法可以将风险和业务专业人员聚集在一起,以理解和管理关键流程的风险。这一想法是创建一个共同的缺口,然后设计协调的行动计划,以提高弹性。

让我们关注业务连续性,看看集成风险方法如何增强弹性。传统上,业务连续性计划的目的是恢复关键的物理或技术基础设施,这些基础设施可能会受到极端天气或断电等威胁的破坏。因此,业务连续性计划可能涉及到在主要数据中心由于飓风而关闭时安排备份数据中心。在一个组织中,不同的业务领域可以开发他们自己的计划,这些计划集中于他们特定的业务需求和优先级。

集成的业务连续性计划旨在保护关键的组织过程及其基本资产不受各种相关威胁的影响。集成方法从组织目标开始。这架起了个人业务和组织整体业务之间的桥梁。在其他方面,集成方法从运营和声誉的角度分析和计划中断对供应商和客户的影响。

集成将关注点从基础设施的可用性(例如,服务器已启动,设施可以访问)扩展到成功的组织结果(例如,组织能够交付产品和服务)。在当前的威胁环境中,实现恢复力既要保护信息的完整性和机密性,又要保持可用性。一个综合的计划能够对各种事件做出协调一致的反应,包括那些规模大、复杂、令人吃惊的事件,这些事件会使正常的控制系统崩溃

控制的复杂性

第二个弹性挑战是控制的复杂性。为了提高应变能力,我们寻求控制结果,而风险管理在控制方面有很多话要说。关于控制的一个简单故事是这样的:当我们设置一个业务流程时,我们寻找问题的来源并开始添加控制。我们将主要创建控件来防止问题。

但是,认识到有时预防不起作用,我们也采取控制措施来发现问题,然后纠正它们。一旦流程启动并运行,如果出现了我们没有预料到的问题,我们将添加额外的控制来防止这些问题再次发生。

我想通过一些例子来说明这在实践中并不总是有效。从这一点上,我们可以看到,从系统的角度可以解释为什么我们的控制尝试有时会失败,以及我们可以做些什么。

系统思考的一个关键观点是控制是系统的一部分。控件与其他控件以及与生产过程交互。互联性的一个含义是,系统任何部分的变化都可能溢出并影响其他部分。单独工作的控件可能不能很好地一起工作。

这就是为什么单独创建和增量添加控件会产生意外结果的原因之一。这是控制系统的一个弱点,它是通过“发现问题,添加控制”的临时方法发展起来的。

让我们来看看这样一个场景:控件的行为与预期或预期不一致。

在周日,您将运行一个业务恢复练习,以测试主数据中心故障转移到备份数据中心的能力。测试似乎是成功的,您已经获得了一些有用的经验教训,可以使故障转移过程下一次运行得更好。但是,当你星期一早上来上班的时候,有些事情就不对了。结果是测试损坏了客户帐户数据。您的呼叫中心被各种问题和投诉淹没了,因为您的计费系统向所有客户发送了一封包含过期付款通知的电子邮件。

在一个简单的世界里,控制解决问题,而不是制造问题。在现实世界中,控制系统和生产系统是相互联系的,因此,控制的失败执行本身可能会中断操作。换句话说,控制会造成伤害。

周二早上,飓风袭击了你的主办公室,淹没了备用发电机,而备用发电机是应急通信系统的电源。由于紧急通信系统处于离线状态,员工不知道他们应该向备份工作地点报告,所以当天的操作都停止了。

在一个简单的世界里,控制就是保护,它们不需要保护。在现实世界中,生产系统和控制系统都可能遭到破坏和退化。因此,控制系统本身必须设计成在压力下工作,并且必须对其性能进行监控。

到目前为止,这是艰难的一周,但你已经熬到了周三。中午,你的信息安全官员告诉你,安全扫描发现了一个可能的网络入侵。您切断了所有的网络连接,将不重要的员工送回家,并等待直到诊断完成。最后的消息是好的:原来警报是假阳性。但是,组织损失了半天的生产活动。

在一个简单的世界中,控件可以立即检测问题,以完美的准确性进行诊断,并立即产生完全有效的纠正措施。在现实世界中,检测需要时间,诊断并不总是准确,解决方案需要时间才能实现,而且它们并不总是有效。也就是说,我们必须做出决定——包括是否以及如何根据当时可用的信息进行控制。

控制设计和执行发生在这样一个世界里:是否存在一个问题,问题是什么,对此做什么,什么时候做什么,以及我们所做的会产生什么影响,这些都是不确定的。当我们理解和管理这些不确定性时,我们可以做出更好的决定。

还有关于威胁的不确定性。我们永远无法预见未来所有破坏性因素的特征。即使我们有效地计划,我们也会再次感到惊讶。而且,与任何其他系统一样,控制系统将表现出性能可变性。由于这些原因,我们不能仅仅依靠预防。适应力要求在威胁通过预防性障碍时具有抵抗和恢复的能力,因此一个强大的控制系统必须包含预防性、探测性和纠正性控制。

也许是因为我们对预防、侦查和纠正控制过于乐观,有时会收到二等账单。对于许多威胁,时间并不站在我们这一边;影响随着检测时间的增加而增加。这就是网络入侵的“停留时间”,即攻击者在你发现他们之前在你的网络上停留的时间。重要的是要决定你愿意等待多久来发现你有一个问题,然后把它作为一个需求来设计检测控件。

在纠正措施上投资不足也是个问题。例如,在一次勒索软件攻击后,如果你发现你备份的数据是完整的,但需要数月时间和数百万美元才能恢复,你会作何感想?或者,如果你的第一个纠正措施是错误的解决方案并使问题变得更糟?开发工具、程序和技能以准确诊断原因、控制当前威胁并实现长期解决方案需要时间和资源。当您需要纠正控制时,您对其性能满意吗?

还有一种倾向是自动控制,但并不总是被很好地考虑。手动和自动控制在控制系统中都占有一席之地。虽然在具有明确决策标准的重复性任务上,机器比人做得更好,但在那些含糊不清、需要判断力和灵活性的任务上,(就目前而言)人比机器做得更好。当您将控制自动化时,您是否保留了需要充分了解系统以解决自动化失败时的问题的员工的知识和技能?

所以,我们已经看到了在不确定的环境中,控制是动态系统的一部分。我们不能知道我们的控制是否充分,除非我们把控制系统看作一个整体。而且,除非我们为它们设计,否则我们无法达到我们想要的结果。

结论

今天,我强调了弹性的两个挑战:组织孤岛和控制的复杂性。我还提出了一套基于风险管理工具的解决方案:侧重于组织目标、关键流程的端到端管理、集成风险管理和系统控制方法。这些都具有统一性的共同特征。

有弹性的组成部分并不一定组成一个有弹性的整体。因此,组织弹性是一个企业目标,是通过一致和协调的企业解决方案来实现的。

一个有弹性的组织能够制定更好的计划、决策和行动,在一系列条件下交付期望的结果。为了增强韧性,我们努力驯服有问题的现在,建设性地迈向朦胧的未来。风险管理工具可以帮助我们实现这一目标。

为提升阅读体验,智堡对本页面进行了排版优化 查看原文
评论