中小商户为何做不起来小程序？

IT基础架构也可能成为运营工作受到限制的来源。数字化和分析转型项目会部署新系统和关闭遗留系统，但组织机构有时缺乏足够的培训和经验来管理新系统的补丁程序和漏洞。遗留系统(如果未正确停用)还可能会留下漏洞，恶意攻击者以后可能会利用这些漏洞。例如，某家公司出于科研目的在数据中心中部署了一种硬件，但在常规的补丁周期中没有为该设备安装补丁程序。在该设备上的漏洞被攻击者利用后，恶意软件蔓延到整个数据中心，导致数据丢失，系统无法使用。云迁移可以降低甚至消除许多这类风险，但前提是正确地进行云迁移，而且将安全性作为其核心工作的一部分。

数字化和分析转型项目的框架

数字化和分析转型项目带来的风险可能不同于公司通常所面临的风险，或者说这些风险可能是高频率发生和存在重大影响的传统风险。幸运的是，大多数公司已经具备避免这些风险的基础：他们现有的企业风险管理基础架构已用于应对财务和监管风险。企业风险管理通常包括几项常见的工作：

• 制定一个成熟的企业风险框架
• 通过分类法、风险偏好、报告和关键风险指标来建立一个有效的风险管理策略
• 建立有风险意识的组织和运营模式(包括相关的三道防线)，并整合所需的资源和人才
• 建立风险管理流程
• 创建风险文化

这些工作对于数字化和分析转型项目至关重要。然而，这些工作必须与数字化和分析团队一起进行变革。这是因为风险管理工作必须与快速变化的数字化风险环境保持同步，以持续降低风险，同时又不能减缓业务发展速度。我们的框架可使组织机构更轻松地做到这一点。该框架由四个步骤组成，这些步骤可定义、实施、嵌入和加强转型项目的各个要素。该框架可促进建立一种动态方法，有助于使现有的企业风险管理(ERM)基础架构适应不断增加的风险缓解信息和操作。在该框架内，组织机构可设计转型项目的各项工作和进行适当的干预。随着工作方式、风险偏好、风险暴露和人才需求的变化，该框架也会不断更新。

• 定义：第一步，组织机构将其现有风险管理框架(以解决诸如金融和监管风险等传统风险)中特定技术元素应用到转型项目环境中。没有企业风险管理框架的组织将需要从该框架着手，理想情况下，创建一个具体的转型框架来解决数字化和分析项目风险。其目的是通过具有清晰的分类法、明确的风险负责人、可用的控制措施和资源以及该项目的管理结构的相关风险矩阵来阐明风险和提出可能的解决方案。
• 实施：第二步，转型项目负责人要与风险领域专家或风险卓越中心合作，将风险管理的研究假设转化为解决方案。具体工作可能包括采用软件和数据控件，验证算法模型，实施系统和基础架构的补丁，培训一线技术人员相关的网络安全实践，以及通过缺陷和单元测试来验证产品的韧性。作为此步骤的组成部分，各团队还要根据明确定义的指标(例如关键风险指标和关键绩效指标)开始编写风险报告，这些指标不仅可以严格评估风险工作的有效性，还可以严格评估风险管理的效率。
• 嵌入：此步骤旨在将风险管理工作(包括测试结果、风险评估、事件报告和绩效评估)中获取的经验教训嵌入到现有的管理实施运作模式、流程、治理以及(如果需要的话)组织设计中。在此步骤中，根据这些经验教训，将设计出一些新的降低风险的方案。转型团队和转型部门中的一线同事都已接受了有关风险意识、风险识别和降低风险的全面培训。
• 加强：在该工作周期的最后一步，转型团队通过将这些做法固化在人才管理和文化变革中，以加强和扩大缓解风险的这些实践。他们还会将关键的见解、学到的知识和新风险反馈给核心风险管理团队，以根据需要更新风险基础架构，同时将外部获取的信息和反馈信息应用到“定义”步骤中。这会使风险管理、风险缓解和绩效与转型工作保持同步。

（编辑：周口站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!