编者按: ISACA最近欢迎风险变换器亮度兰参加10月10-14日参与的Ask Me Anything (AMA)会议. 他现为宏利科技风险管理全球主管及全球财富及资产管理业务首席信息风险官. 在金融服务行业中拥有超过25年的成功咨询和交付c级和关键任务计划的经验, 她的经验主要集中在非财务风险方面, 数据治理和管理, 法规遵从性和全球变更管理专业知识. AMA会议引发了一场有趣的澳门赌场官方下载讨论,主题包括风险转换, 三道防线的最佳实践, 内部审计, 运营风险管理和网络安全保险. 请看下面这个帖子的亮点, 以及更多的见解和对话, 完整的线程 可以在这里找到.参加下一届AMA会议, “我是数字信任生态系统框架团队的成员:问我任何问题!,请加入2022年11月7日至11日的参与对话.
卢玛·巴德兰是“风险转化”的倡导者,,尽管“风险转换器”并不是该领域的官方称谓. 她认为,风险专业人士的成功是通过同时建立风险意识来衡量的, 积极主动的文化和支持业务战略和目标. 她写道,这种风险转换心态对于实现预期的影响至关重要. 专注、好奇心、弹性和建立高绩效团队是成功的关键因素.
促成成功的操作因素有很多. 当被问及 三道防线 风险专业人员通常熟悉的操作模型仍然是最佳实践, 巴德兰说,她是它的信徒,同时也认识到它必须发展和改进. 问题在于风险专业人员对模型的实施和应用, 每一道防线都必须专注于实现其价值主张.
关于组织结构的对话引发了关于风险和内部审计应该放在哪里的讨论. 风险应该由内部审计还是由它自己的部门来审计? 据巴德兰说, 风险和内部审计应该分开,因为它们为组织服务的目的不同. 根据她的经验, 将这三道防线的职责混合在一起并不会带来更好的风险管理. 审计应当是自己独立的实体.
Badran还认为,将信息和网络风险与操作风险分开是一种很好的做法. 拥有一个健壮的交互模型和专门的CIRO正变得越来越重要, 由于网络风险经常出现在董事会议程上. 组织这些风险分离的关键成功因素是拥有识别风险的技能和专业知识, 评估和管理风险,并创建清晰的, 管理交互的文档化交互模型, 监察及报告.
继续围绕组织结构和战略进行对话, Badran强调,保险不能取代有效控制的实施,而是对组织战略的补充. 当被问及如何建立商业案例来购买保险时, 她表示,该组织需要评估其网络风险成熟度,并了解相关行业背景. 保险费及保险范围, 以及控制效能姿态, 成本和工期是成本效益分析的关键因素.
巴德兰总结道,我们正试图将风险管理视为一门科学, 但在现实中, 这是一门艺术 ... 每种情况都需要在其背景下进行评估, 我们需要建立工具和基于风险的活动来为这些决策提供信息.”
