通过风险管理加强应变能力

1、编者按：纽约联储执行副主席兼首席风险官 Joshua Rosenberg 在演讲中强调了弹性的两个挑战：组织孤岛和控制 的复杂性， 并还提出了一套基于风险管理工具的解决方案： 侧重 于组织目标、 关键流程的端到端管理、 集成风险管理和系统控制 方法。通过风险管理加强应变能力纽约联储执行副主席兼首席风险官Joshua Rosenberg 在纽约风险美国会议上的讲话早上好，感谢你们今天给我这个机会。我首先要说的是，我 所表达的观点是我自己的观点， 不一定代表纽约联储或联邦储备 系统的观点。能够在任何环境中茁壮成长， 无论是在正常的还是混乱的环 境中， 都是一个组织必须具备的能力。 我们可以通过风险

2、管理来 加强组织弹性“准备和计划、吸收、恢复和更成功地适应 不利事件的能力” 。那是因为风险管理工具帮助我们在不确定的 明天制定计划并采取行动。 事实上， 通过将弹性定义为风险管理 的目标，我们可以为组织提供更多的价值。今天， 我将讨论一些实现弹性的挑战以及风险管理如何成为解决方案的一部分。虽然弹性有很多方面， 但我将选择两个挑战 和它们与风险管理的联系：组织孤岛和控制的复杂性。组织孤岛第一个挑战是组织孤岛。威胁不论边界。有些，比如网络威 胁，实际上利用了它们。飓风不关心你的组织结构，而网络攻击者实际上想要它的一个副本来对付你。既然威胁不是孤岛式的， 我们的防御也不可能是孤岛式的。企业风险管理

3、的观点之一是，良好的结果依赖于跨组织边界和风险类型的集成。这就是为什么不仅仅是风险管理， 而是企业 风险管理。我们可以使用来自企业风险管理的方法来建立跨越孤 岛的桥梁。首先，企业风险管理关注组织的目标和支持它们的关键过 程。关键流程跨越活动链中的组织单元，从供应商交付的输入开始，到组织内的增值转换，再到最终交付给客户。因此，为了加 强弹性，我们识别过程结果的风险， 然后设计过程和控制来应对 这些风险。由于孤岛削弱了弹性，您可能希望在组织中寻找一些热点， 在这些热点中，企业范围内的协调是必不可少的。我将从事件响应开始。你准备好应对需要跨组织单位的团队合作的复杂威胁了 吗？另一个具有挑战性的领域是

4、外部依赖关系管理。您是否有一个协调一致的方法来理解和管理整个风险范围内的供应商风险， 包括信息安全、数据隐私、遵从性、业务连续性和信用？风险孤岛和业务线孤岛一样有问题。 风险学科的专业化虽然 有好处， 但普遍存在的负面影响是沟通和协调不足， 其次是信息 差距和决策效率低下。以提供关键服务的供应商为例，该供应商处于破产的边缘。 信用风险分析人员、 操作风险和业务连续性专业人员以及业务是 否受到影响，共同工作以共享信息、见解和潜在的响应？或者， 孤岛是否阻碍了信息在正确的时间到达正确的人手中， 让他们做 好准备并采取行动？风险孤岛可能会导致孤岛决策，逐个查看风险是不连贯的。 我们可以通过不进行操作

5、将运营风险降至零 （我想我们都可以提 前回家 ），但随后战略风险上升至无穷大。由于大多数有意义的 决策都涉及到平衡风险， 为了做出正确的决策， 我们需要一个包 含所有相关风险类型和所有相关风险专家的风险图。类似地，现实世界中的漏洞不必遵循特定的风险类型。考虑 身份和访问管理中的弱点。 这是网络、 合规、 运营等风险的驱动 因素。 这也是一种风险， 不能仅通过信息安全专家实施的技术控 制来降低；也就是说，孤立的风险应对是不够的。因此，加强跨 风险学科的协作和协调是解决风险孤岛负面影响的一个解决方风险孤岛造成的另一个具体痛点是风险评估的繁盛，甚至过度增长。大多数组织都有许多风险评估： 通常每种类型

6、的风险都 有不同的评估。一些关注资产，另一些关注组织单元，还有一些关注过程的特定部分。结果可能是一组评估，可能包含不一致的 覆盖率和不连贯的建议。因此，应对这一趋势和桥梁孤岛评估的一个有吸引力的选择是整合风险评估。统一的方法可以将风险和业务专业人员聚集在 一起，以理解和管理关键流程的风险。 这一想法是创建一个共同 的缺口，然后设计协调的行动计划，以提高弹性。让我们关注业务连续性，看看集成风险方法如何增强弹性。传统上，业务连续性计划的目的是恢复关键的物理或技术基础设 施，这些基础设施可能会受到极端天气或断电等威胁的破坏。因此，业务连续性计划可能涉及到在主要数据中心由于飓风而关闭 时安排备份数据中

7、心。 在一个组织中，不同的业务领域可以开发 他们自己的计划，这些计划集中于他们特定的业务需求和优先 级。集成的业务连续性计划旨在保护关键的组织过程及其基本资产不受各种相关威胁的影响。 集成方法从组织目标开始。 这架 起了个人业务和组织整体业务之间的桥梁。 在其他方面，集成方 法从运营和声誉的角度分析和计划中断对供应商和客户的影响。集成将关注点从基础设施的可用性 （例如，服务器已启动， 设 施可以访问 ）扩展到成功的组织结果 （例如，组织能够交付产品和 服务 ）。在当前的威胁环境中，实现恢复力既要保护信息的完整 性和机密性， 又要保持可用性。 一个综合的计划能够对各种事件 做出协调一致的反应，

8、包括那些规模大、 复杂、令人吃惊的事件， 这些事件会使正常的控制系统崩溃控制的复杂性 第二个弹性挑战是控制的复杂性。为了提高应变能力，我们 寻求控制结果， 而风险管理在控制方面有很多话要说。 关于控制 的一个简单故事是这样的： 当我们设置一个业务流程时， 我们寻 找问题的来源并开始添加控制。我们将主要创建控件来防止问 题。但是，认识到有时预防不起作用，我们也采取控制措施来发 现问题，然后纠正它们。一旦流程启动并运行，如果出现了我们 没有预料到的问题， 我们将添加额外的控制来防止这些问题再次 发生。我想通过一些例子来说明这在实践中并不总是有效。 从这一 点上， 我们可以看到， 从系统的角度可以解

9、释为什么我们的控制 尝试有时会失败，以及我们可以做些什么。系统思考的一个关键观点是控制是系统的一部分。控件与其他控件以及与生产过程交互。 互联性的一个含义是， 系统任何部 分的变化都可能溢出并影响其他部分。单独工作的控件可能不能很好地一起工作。这就是为什么单独创建和增量添加控件会产生意外结果的 原因之一。这是控制系统的一个弱点，它是通过“发现问题，添 加控制”的临时方法发展起来的。让我们来看看这样一个场景：控件的行为与预期或预期不一 致。在周日，您将运行一个业务恢复练习，以测试主数据中心故 障转移到备份数据中心的能力。测试似乎是成功的，您已经获得了一些有用的经验教训，可以使故障转移过程下一次运

10、行得更 好。但是，当你星期一早上来上班的时候，有些事情就不对了。 结果是测试损坏了客户帐户数据。 您的呼叫中心被各种问题和投 诉淹没了，因为您的计费系统向所有客户发送了一封包含过期付 款通知的电子邮件。在一个简单的世界里，控制解决问题，而不是制造问题。在 现实世界中，控制系统和生产系统是相互联系的，因此，控制的失败执行本身可能会中断操作。换句话说，控制会造成伤害。周二早上，飓风袭击了你的主办公室，淹没了备用发电机，而备用发电机是应急通信系统的电源。 由于紧急通信系统处于离 线状态， 员工不知道他们应该向备份工作地点报告， 所以当天的 操作都停止了。在一个简单的世界里，控制就是保护，它们不需要保

11、护。在 现实世界中， 生产系统和控制系统都可能遭到破坏和退化。 因此， 控制系统本身必须设计成在压力下工作， 并且必须对其性能进行 监控。到目前为止， 这是艰难的一周， 但你已经熬到了周三。 中午， 你的信息安全官员告诉你，安全扫描发现了一个可能的网络入 侵。您切断了所有的网络连接，将不重要的员工送回家，并等待 直到诊断完成。最后的消息是好的 :原来警报是假阳性。但是， 组织损失了半天的生产活动。在一个简单的世界中，控件可以立即检测问题，以完美的准 确性进行诊断， 并立即产生完全有效的纠正措施。 在现实世界中， 检测需要时间， 诊断并不总是准确， 解决方案需要时间才能实现， 而且它们并不总是有

12、效。也就是说，我们必须做出决定包 括是否以及如何根据当时可用的信息进行控制。控制设计和执行发生在这样一个世界里：是否存在一个问 题，问题是什么，对此做什么，什么时候做什么，以及我们所做 的会产生什么影响， 这些都是不确定的。 当我们理解和管理这些 不确定性时，我们可以做出更好的决定。 还有关于威胁的不确定性。 我们永远无法预见未来所有破坏 性因素的特征。即使我们有效地计划，我们也会再次感到惊讶。 而且，与任何其他系统一样， 控制系统将表现出性能可变性。 由 于这些原因， 我们不能仅仅依靠预防。 适应力要求在威胁通过预 防性障碍时具有抵抗和恢复的能力， 因此一个强大的控制系统必 须包含预防性、探

13、测性和纠正性控制。也许是因为我们对预防、侦查和纠正控制过于乐观，有时会 收到二等账单。对于许多威胁，时间并不站在我们这一边;影响随着检测时间的增加而增加。这就是网络入侵的“停留时间” ， 即攻击者在你发现他们之前在你的网络上停留的时间。 重要的是 要决定你愿意等待多久来发现你有一个问题， 然后把它作为一个 需求来设计检测控件。在纠正措施上投资不足也是个问题。例如，在一次勒索软件 攻击后， 如果你发现你备份的数据是完整的， 但需要数月时间和 数百万美元才能恢复， 你会作何感想？或者， 如果你的第一个纠 正措施是错误的解决方案并使问题变得更糟？开发工具、 程序和 技能以准确诊断原因、 控制当前威胁

14、并实现长期解决方案需要时 间和资源。当您需要纠正控制时，您对其性能满意吗？还有一种倾向是自动控制，但并不总是被很好地考虑。手动和自动控制在控制系统中都占有一席之地。 虽然在具有明确决策 标准的重复性任务上，机器比人做得更好，但在那些含糊不清、 需要判断力和灵活性的任务上， （就目前而言 ）人比机器做得更 好。当您将控制自动化时， 您是否保留了需要充分了解系统以解 决自动化失败时的问题的员工的知识和技能？所以，我们已经看到了在不确定的环境中，控制是动态系统 的一部分。 我们不能知道我们的控制是否充分， 除非我们把控制 系统看作一个整体。 而且，除非我们为它们设计， 否则我们无法 达到我们想要的结果。结论今天，我强调了弹性的两个挑战： 组织孤岛和控制的复杂性。 我还提出了