通过风险管理加强应变能力.docx

编者按：纽约联储执行副主席兼首席风险官 Joshua Rosenberg 在演讲中强调了弹性的两个挑战：组织孤岛和控制 的复杂性， 并还提出了一套基于风险管理工具的解决方案： 侧重 于组织目标、 关键流程的端到端管理、 集成风险管理和系统控制 方法。 通过风险管理加强应变能力 ——纽约联储执行副主席兼首席风险官 Joshua Rosenberg 在 纽约风险美国会议上的讲话 早上好，感谢你们今天给我这个机会。我首先要说的是，我 所表达的观点是我自己的观点， 不一定代表纽约联储或联邦储备 系统的观点。 能够在任何环境中茁壮成长， 无论是在正常的还是混乱的环 境中， 都是一个组织必须具备的能力。 我们可以通过风险管理来 加强组织弹性——“准备和计划、吸收、恢复和更成功地适应 不利事件的能力” 。那是因为风险管理工具帮助我们在不确定的 明天制定计划并采取行动。 事实上， 通过将弹性定义为风险管理 的目标，我们可以为组织提供更多的价值。 今天， 我将讨论一些实现弹性的挑战以及风险管理如何成为 解决方案的一部分。虽然弹性有很多方面， 但我将选择两个挑战 和它们与风险管理的联系：组织孤岛和控制的复杂性。 组织孤岛 第一个挑战是组织孤岛。威胁不论边界。有些，比如网络威 胁，实际上利用了它们。飓风不关心你的组织结构， 而网络攻击 者实际上想要它的一个副本来对付你。既然威胁不是孤岛式的， 我们的防御也不可能是孤岛式的。 企业风险管理的观点之一是， 良好的结果依赖于跨组织边界 和风险类型的集成。这就是为什么不仅仅是风险管理， 而是企业 风险管理。我们可以使用来自企业风险管理的方法来建立跨越孤 岛的桥梁。 首先，企业风险管理关注组织的目标和支持它们的关键过 程。关键流程跨越活动链中的组织单元， 从供应商交付的输入开 始，到组织内的增值转换，再到最终交付给客户。因此，为了加 强弹性，我们识别过程结果的风险， 然后设计过程和控制来应对 这些风险。 由于孤岛削弱了弹性，您可能希望在组织中寻找一些热点， 在这些热点中，企业范围内的协调是必不可少的。 我将从事件响 应开始。你准备好应对需要跨组织单位的团队合作的复杂威胁了 吗？另一个具有挑战性的领域是外部依赖关系管理。 您是否有一 个协调一致的方法来理解和管理整个风险范围内的供应商风险， 包括信息安全、数据隐私、遵从性、业务连续性和信用？ 风险孤岛和业务线孤岛一样有问题。 风险学科的专业化虽然 有好处， 但普遍存在的负面影响是沟通和协调不足， 其次是信息 差距和决策效率低下。 以提供关键服务的供应商为例，该供应商处于破产的边缘。 信用风险分析人员、 操作风险和业务连续性专业人员以及业务是 否受到影响，共同工作以共享信息、见解和潜在的响应？或者， 孤岛是否阻碍了信息在正确的时间到达正确的人手中， 让他们做 好准备并采取行动？ 风险孤岛可能会导致孤岛决策，逐个查看风险是不连贯的。 我们可以通过不进行操作将运营风险降至零 （我想我们都可以提 前回家 ），但随后战略风险上升至无穷大。由于大多数有意义的 决策都涉及到平衡风险， 为了做出正确的决策， 我们需要一个包 含所有相关风险类型和所有相关风险专家的风险图。 类似地，现实世界中的漏洞不必遵循特定的风险类型。考虑 身份和访问管理中的弱点。 这是网络、 合规、 运营等风险的驱动 因素。 这也是一种风险， 不能仅通过信息安全专家实施的技术控 制来降低；也就是说，孤立的风险应对是不够的。因此，加强跨 风险学科的协作和协调是解决风险孤岛负面影响的一个解决方 风险孤岛造成的另一个具体痛点是风险评估的繁盛， 甚至过 度增长。大多数组织都有许多风险评估： 通常每种类型的风险都 有不同的评估。一些关注资产，另一些关注组织单元， 还有一些 关注过程的特定部分。结果可能是一组评估，可能包含不一致的 覆盖率和不连贯的建议。 因此，应对这一趋势和桥梁孤岛评估的一个有吸引力的选择 是整合风险评估。统一的方法可以将风险和业务专业人员聚集在 一起，以理解和管理关键流程的风险。 这一想法是创建一个共同 的缺口，然后设计协调的行动计划，以提高弹性。 让我们关注业务连续性，看看集成风险方法如何增强弹性。 传统上，业务连续性计划的目的是恢复关键的物理或技术基础设 施，这些基础设施可能会受到极端天气或断电等威胁的破坏。 因 此，业务连续性计划可能涉及到在主要数据中心由于飓风而关闭 时安排备份数据中心。 在一个组织中，不同的业务领域可以开发 他们自己的计划，这些计划集中于他们特定的业务需求和优先 级。 集成的业务连续性计划旨在保护关键的组织过程及其基本 资产不受各种相关威胁的影响。 集成方法从组织目标开始。 这架 起了个人业务和组织整体业务之间的桥梁。 在其他方面，集成方 法从运营和声誉的角度分析和计划中断对