读数字时代的网络风险管理：策略、计划与执行03敏捷治理

1. 敏捷治理

1.1. 在网络或其他所有风险管理领域，很少有比建立适当的风险治理模式更复杂或更具挑战性的了

1.2. 有效的治理是建立企业流程的关键，以管理潜在的问题，预防可被识别的问题，并在问题发生时妥善处理

1.3. 是保护企业决策者（上至董事会成员，下至普通员工）在出现问题时免于承担法律和监管责任的关键，因为它可以证明企业已经采取了适当的治理措施来解决、缓释和报告潜在问题

1.4. 没有人指望企业在应对风险方面做到完美无缺，当然也没有人指望企业能够完全消除风险

1.5. 每个企业必须承担风险才能取得成功，因此每个企业都必须在风险和回报之间找到适当的平衡

1.6. 定义

• 1.6.1. 世界经济论坛（WEF）

  • 1.6.1.1. 适应性强、以人为本、具有包容性和可持续性的决策……它要求持续做好准备，快速驾驭变化，主动或被动地拥抱变化，并从变化中学习，同时为用户的实际价值或感知价值做出贡献

• 1.6.2. 项目管理协会（PMI）

  • 1.6.2.1. 与团队合作比强迫他们服从更有效

  • 1.6.2.2. 让团队做“正确的事”比事后检查和强制合规更有效

  • 1.6.2.3. 与质量门审查方式相比，持续监控能提供更及时的洞察力

1.7. 安全本质上是一种风险管理实践，其作用是通过明智的安全风险决策实践来指导业务，以确保业务领导者（资产所有者和利益相关者）在做出业务决策时是能够获得充分的信息

1.8. 通过有组织的敏捷治理机构，高层的认同对于确保整个企业认真对待治理本身和风险考量至关重要

1.9. 敏捷治理为正确的人在正确的时间出于正确的原因做出风险管理决定建立了一个框架

2. 良好的治理模式

2.1. 在各个领域和各个层面指导企业开展基于风险的决策

2.2. 最高领导层要为企业定下基调，并建立明确的流程、制度、角色和问责制

2.3. 所谓治理，是指为指导和领导一个组织而建立的制度、计划和结构

• 2.3.1. 治理只是企业运营和决策所依赖的框架

2.4. 管理则是指在治理框架内做出决定和执行战略的实际行动

• 2.4.1. 是利用现有体系和结构领导一个组织解决这些风险问题的过程

• 2.4.2. 包括确定风险组织的预算和其他资源，制订目标体系，确保企业执行既定的战略和计划

2.5. 优步隐瞒“被黑”事件

• 2.5.1. 掩盖真相的行为最终被曝光，优步遭受的后果是残酷的

2.6. 1982年的泰诺中毒事件

• 2.6.1. 危机发生后强生公司立即召回了全球商店中的所有泰诺产品，向调查人员开放了生产设施，研制了防篡改（tamper-proof）和防盗（tamper-evident）的包装

• 2.6.2. 强生公司对调查人员、监管人员和公众保持完全透明

• 2.6.3. 很快人们就发现强生公司并无过错，中毒事件是与强生公司毫无关系的一名或多名罪犯所为

• 2.6.4. 该公司通过展示优质的企业文化，最终确立了自己值得公众信赖的地位

3. 与企业治理战略保持一致

3.1. 对企业进行全景式审视：企业如何运营、谁做什么决定、这些决定的依据是什么以及谁对这些决定负责

3.2. 针对不同的情况采取不同的方法

3.3. 一个成熟的企业，尤其是在高度监管环境中运营的企业，必须做出更加细致入微、经过深思熟虑的决策，以免破坏与众多利益相关者建立起来的信任

3.4. 安全组织可以利用其对威胁环境的了解，传达治理是企业必不可少的关键信息

3.5. 要实施敏捷管理，风险决策者需要确保他们的计划符合企业的具体要求和能力

3.6. 该框架可作为计划进入运营化状态以及对网络风险战略与实践发展进行持续迭代的指南

3.7. 敏捷治理框架至关重要，但设计、建立并确保其适合企业却并非易事

• 3.7.1. 治理框架必须足够全面，能够针对可预见的风险对企业进行管理，但不必要的复杂性会使其变得臃肿不堪，并有可能使个人想方设法绕过它，从而违背初衷

3.8. 在制订治理框架时，不能一刀切

4. 7个原则

4.1. 原则1：制订战略和流程

• 4.1.1. 必须制订企业级的战略和流程，以建立网络风险管理计划

• 4.1.2. 治理战略声明与所有形式的业务交流一样，需要与企业文化保持一致

• 4.1.3. 需要用清晰的语言表述，让每个相关人员都能理解，避免采用不必要的法律、技术或商业术语

• 4.1.4. 需要讨论战略的目标、预期结果以及对业务互动可能产生的影响

• 4.1.5. 应该建立问责制，并对利益相关者的期望不留任何疑问

• 4.1.6. 应该解释风险透明的基本原则，以及为什么这些原则如此重要

• 4.1.7. 意味着要认识到潜在的风险，并将其报告给相应的个人或职能部门，而不是视而不见或希望它们消失，或者更糟糕—隐瞒它们

• 4.1.8. 任何企业的管理实践都必须与自身的要求和能力相适应

4.2. 原则2：在“三道防线模型”中确立治理结构、角色和职责

• 4.2.1. 必须建立网络风险治理机制，明确界定“三道防线模型”的作用、责任和产出

• 4.2.2. 管理不能独立或孤立地进行

• 4.2.3. 小型科技初创企业可能会发现，只需指定一个小组负责与风险相关的职责，并责成他们制订和执行治理标准和实践，以及上报可能出现的问题，就足够了

• 4.2.4. 内部审计师协会（IIA）的“三道防线模型”​（Three Lines of Defense）是一种非常有用且被广泛使用的确定产出、角色和责任的方法

• 4.2.5. 第一道防线

  • 4.2.5.1. 管理人员负责确保企业实现其组织目标，包括向客户提供产品和服务，以及达到规定的风险管理目标

• 4.2.6. 第二道防线

  • 4.2.6.1. 由具有风险管理专业知识的专家组成，他们负责监督第一道防线的实践，提供指导和支持，并对可能不符合企业风险标准的实践提出质疑

• 4.2.7. 第三道防线

  • 4.2.7.1. 即内部审计组织，它就与实现企业目标（包括风险）有关的所有事项提供独立、客观的指导和保证

• 4.2.8. 只有第三道防线是独立运作的

  • 4.2.8.1. 第一道防线和第二道防线通过沟通与合作来建立风险框架，第二道防线对第一道防线的风险产出进行持续监控和质疑，而第三道防线则提供独立审计

  • 4.2.8.2. 所有防线都由代表负责授权、建立问责制和确保诚信的治理机构进行管理

4.3. 原则3：治理实践与现有风险框架保持一致

• 4.3.1. 网络风险治理实践应与所有现有的企业或组织风险框架保持一致

• 4.3.2. 并非所有企业都有风险管理计划，但网络风险管理计划应与现有的所有风险功能和组成部分完全一致

• 4.3.3. 企业的网络治理实践绝不能孤立存在

4.4. 原则4：董事会和高层管理人员确定范围

• 4.4.1. 企业的网络风险实践范围应由董事会和高层管理人员确定和批准

• 4.4.2. 范围的含义实际上就是什么是需要保护的，什么是不需要保护的

  • 4.4.2.1. 为了实现有效的敏捷管理，必须在最开始就确定风险实践的范围

• 4.4.3. 在此范围内的具体风险决策由风险负责人做出，他们负责受风险决策影响的资产

• 4.4.4. 一旦确定、批准并传达了范围和角色，在大多数情况下，具体的战术响应决策就应由风险负责人（即负责保护资产的人员）做出

4.5. 原则5：董事会和高层管理人员应履行监督职责

• 4.5.1. 董事会和高层管理人员应妥善监督企业的网络风险实践

• 4.5.2. 监督和问责对于所有风险管理方案的成功都至关重要，对于治理实践更是如此

• 4.5.3. 监督和问责必须至少应由企业的高管、董事会成员或两者共同进行

  • 4.5.3.1. 他们对风险管理实践的监督负有法律和监管责任，而且他们将被股东和消费者权益组织，最重要的是被法院体系追究责任

  • 4.5.3.2. 法院将不再接受“我不知道”或“我从不认为这是我的责任”作为风险管理失败的借口

• 4.5.4. 治理监督必须是自上而下的努力，最高层必须承诺CRMP计划已由企业建立、实施和管理

4.6. 原则6：审计治理流程

• 4.6.1. 审计流程应对企业的网络风险治理实践进行适当的审查和评估

• 4.6.2. 因审计师的法定义务，每个企业内部审计组织都应积极参与审查企业治理措施并定期评估有效性

• 4.6.3. 内部审计机构负有重要的财务责任，但其治理责任并不仅限于此

• 4.6.4. 内部审计应审查整个网络风险管理计划，以确定其范围是否适当、是否获得了必要的高层支持、是否采用了公认的最佳实践，以及能否产生所需的风险产出

• 4.6.5. 由于网络风险管理计划与有效的治理框架相关，它还应定期审核企业的治理实践，包括它的设计和实际应用

4.7. 原则7：将资源与确定的角色和职责相匹配

• 4.7.1. 适当的资源和技能组合应与确定的角色和职责相匹配，并提供持续的培训

• 4.7.2. 除非有必要的承诺、优先次序、资源，特别是治理支持，否则CRMP的任何组成部分都不可能有效

• 4.7.3. 必须确保具备必要的风险相关技能的人员专门从事这些工作，而不是简单地将责任加给一线业务人员，因为他们可能对风险管理没有全面的了解，也没有时间致力于这项工作

• 4.7.4. 治理机构还必须准备好不断发展和适应（有时甚至是非常迅速地适应）​，以应对企业的整体业务战略和目标