0%
 

简介

欢迎

为什么要这样?

花旗的文化和价值观是开展业务的核心。强大的风控环境是花旗卓越文化的关键推动力。

本基础课程是花旗企业风险管理培训计划 (ERMTP) 的一部分。ERMTP 是一系列课程,可帮助您理解自己的风控责任。

为什么是现在?

花旗有一个用于管理风险的标准框架。作为花旗企业风险管理 (ERM) 框架支持能力的一部分,我们致力于为员工提供知识和培训,以履行日常风控责任。

为什么是我们?

  • 在花旗,管理风险是每位员工的职责。我们都是风险管理者。
  • 风险是花旗业务固有的,无法规避。每位员工都必须保持警惕,在风险管理上坚持不懈和有责任心。
  • 企业风险管理框架 (ERMF) 是花旗的风险管理标准。
  • 每位员工都有责任上报风险和疑虑,而花旗提供了可以大胆上报而无需担心遭到报复的环境。

您有责任了解自己在管理风险方面的职责,完全掌控自己的行为并为花旗每天识别和管理风险提供支持。

课程目标

完成本培训后,学员将能够:

  • 使用 EUC 和 ITeSS 决策树确定终端用户计算(EUC) 还是 IT 驱动的智能解决方案 (ITeSS)
  • 考虑采用替代技术解决方案(例如 ITeSS),以防止新的 EUC
  • 识别 EUC 以及在发现 EUC 时采取的适当措施

课程导航提示

本课程分为五个主题和一个课程结束评估。

点击每个主题末尾的“主页”按钮,您将返回到主页。

“菜单”按钮使您能访问各个主题。

“资源”按钮提供有用链接的列表。

“切换语言”按钮可以切换到不同的语言。

“关闭”按钮将结束您的培训课程并关闭课程窗口。

接下来

在下一个主题中,我们将介绍 EUC 和 ITeSS、概述 EUC 和 ITeSS 决策树,并探讨如何确定您使用的是 EUC 还是 ITeSS。

终端用户计算和 IT 驱动的智能解决方案

终端用户计算和 IT 驱动的智能解决方案

现在,我们将了解 EUC 或 ITeSS 工具有哪些特点,以及如何确定您正在使用的工具是 EUC 还是 ITeSS。

向下滚动,继续浏览。

什么是终端用户计算 (EUC)?


花旗员工经常需要使用应用程序或工具来执行常规业务流程。这些工具由终端用户创建或者由信息技术 (IT) 部门开发并管理。

如果不能在业务要求的时限内增强 IT 解决方案,或者没有可用的替代技术解决方案,则可以创建终端用户计算 (EUC)。EUC 必须符合终端用户计算政策 (EUCP) 和终端用户计算标准 (EUCS) 的要求。

EUC 由终端用户在花旗解决方案交付生命周期 (CSDLC) 等经批准的软件开发控制框架之外开发。

EUC 可以是用于支持业务流程的高效工具。但是,必须在开发、实施和使用过程中对其进行适当管理,以确保有效降低风险敞口。

EUC 相关风险

使用 EUC 有哪些风险?

由于 EUC 缺乏由集中技术部门管理的正规应用程序所具备的控制措施,因此使用 EUC 会给花旗的环境带来风险。

选择每个选项卡,考查使用 EUC 的风险、EUC 的风险等级以及如何减少我们对 EUC 的依赖。

使用 EUC 的风险
风险等级
减少对 EUC 的依赖

使用 EUC 的风险

EUC 用于以下业务流程:

  • 对企业有重大报告影响
  • 支持将财务数据上传到花旗系统
  • 支持评估单位的管理层风险控制评估 (MCA) 中包含的重要业务流程

由于 EUC 通常由终端用户开发、使用和管理,因此存在管理不当而产生的多种固有风险,例如,但不限于:

  • 数据完整性问题
  • 未经授权访问
  • 可用性丢失
  • 未经批准或意外更改

转到“下一步”按钮

风险等级

只有对 EUC 进行识别、登记和风险评估后,才能降低与使用 EUC 相关的固有风险。EUC 可分为以下四个风险等级:重大、高、中等和低。

在以下主题中,我们将深入了解这些风险等级以及评估创建 EUC 必要性的方法和降低 EUC 风险的方法:EUC 预防和风险降低

转到“下一步”按钮

减少对 EUC 的依赖

必须将 EUC 视为符合业务需求的临时解决方案,其最终目标是通过经批准的风险降低方法适当减少使用 EUC。

这些风险降低方法之一就是可替代 EUC 的IT 驱动的智能解决方案 (ITeSS)

什么是 IT 驱动的智能解决方案?


IT 驱动的智能解决方案 (ITeSS) 在经批准的 ITeSS 平台上开发,并且符合 ITeSS 标准。ITeSS 平台批准的解决方案可降低与创建 EUC 相关的固有风险。

请联系您的业务部门与职能部门 IT, 确认经批准的 ITeSS 平台列表。

我们为何应该考虑采用 ITeSS 等替代解决方案?
由于 ITeSS 在花旗集团解决方案清单 (CSI) 登记平台上进行开发,具有更高级别的管控,因此它是风险低于 EUC 的替代解决方案。终端用户开发的工具(例如 EUC)的任何风险在 ITeSS 开发周期中都会降低。

ITeSS 也是三种风险降低方法之一,可取代创建 EUC 并减少对现有 EUC 的依赖。我们将在下一个主题:EUC 预防和风险降低。

确定工具是 EUC 还是 ITeSS 中介绍其他两种方法


EUC 和 ITeSS 决策树是用于确定工具是 EUC 还是 ITeSS 的一系列问题和标准。

使用决策树的好处包括:

  • 直观呈现决定性问题和标准
  • 易于解释并遵循流程直至做出决定
  • 识别当前使用的工具

使用决策树审查您小组的所有工具,确定是否在使用任何 EUC 或 ITeSS,并在 EUC 清单工具 (EUC Inventory Tool) 中登记所有未登记的 EUC。

切记
由于 EUC 可能会给花旗带来风险,因此必须保持警惕,定期审查您所使用的业务工具或应用程序。

EUC 和 ITeSS 决策树问题

下列问题可帮助您识别工具是 EUC 还是 ITeSS。

由于这些问题将帮助您识别 EUC 和 ITeSS 的功能,因此在评估终端用户开发的工具时,切记务必按照顺序回答这些问题。

如果您想下载 EUC 和 ITeSS 决策树的副本,请选择此处。这将有助于您了解决策树流程。此副本对于您稍后需要完成的一些知识检查和评估问题也非常有用。

选择各项,查看问题,并详细了解 EUC 和 ITeSS 的各种功能。

 

A — 该工具是否仅用于一次性或特别用途(即,工具没有定期重复使用、再创建或重新改造)?

如果属于以下情况,则该工具仅用于一次性或特别用途:
  • 工具为一次性使用或特别要求,即,不用于支持定期或重复的业务流程;或
  • 没有按照标准频率(例如,每天、每月或每年)重复使用;或
  • 不使用模板、以前版本或重新使用逻辑以定期或重复重用、再创建或重新改造工具。

注意:

重复创建以支持业务或职能流程的工具不属于一次性或特别用途的工具(例如,为单个交易而创建的电子表格)。

判定

如果,则该工具不是 EUC 或 ITeSS。

如果,请回答问题 B。

B — 该工具是否包含逻辑?

逻辑的示例包括但不限于:
  • 运算和计算,例如公式、函数或宏
  • 条件处理,例如“if-then”函数
  • 信息选择标准,例如查询、中心点和图表
  • 编程代码,例如 VBA、R、Python、Java 和 SQL

注意:

仅包含筛选条件而不包含其他逻辑的工具不是 EUC。

判定

如果,请回答问题 C。

如果,则该工具不是 EUC 或 ITeSS。

C — 该工具是否对企业有重大的监管、管理、财务或风险报告影响?

重大报告影响的示例包括但不限于:
  • 根据全球监管和管理报告政策向监管机构提供的报告
  • 花旗高级管理层(行政管理团队 (“EMT”)-1 或更高级别)根据全球监管和管理报告政策使用的报告
  • 董事会级别或重要法律实体级别报告
  • 根据花旗治理政策提交的官方治理委员会报告
  • BCBS 239 重要报告
  • 向客户、投资者和交易对方提供的报告

注意:

重大性由业务和职能流程负责人或业务内风险和管控委员会确定。

判定

如果,请回答问题 F。

如果,请回答问题 D。

D — 该工具是否支持将财务数据上传到花旗数据治理政策所定义的记录系统或授权的二级分销商?

判定

如果,请回答问题 F。

如果,请回答问题 E。

E — 该工具是否支持某个活动或管控评估单位相关固有风险等级为 1-3 级的管理层风险控制评估?

不支持某个业务流程/活动或管控评估单位固有风险为 1-3 级的管理层风险控制评估的工具,被认为不符合 EUC 的定义。

判定

如果,请回答问题 F。

如果,则该工具不是 EUC 或 ITeSS。

F— 该工具的开发、实施和维护是否符合花旗解决方案交付生命周期标准 (CSDLC)?

业务部门和职能部门 HEAP(企业和架构规划主管)和 CIO(首席信息官)可能会制定特别规定,对遵循类似 CSDLC 的管控措施开发、实施和维护的工具(例如核心 IT 系统)进行分类。

判定

如果,则工具根据 CSDLC 开发、实施和/或维护,因此它是核心 IT 系统,而不是 ITeSS 或 EUC。

如果,请回答问题 G。

G — 该工具是否在经批准的 ITeSS 平台实施,并且符合 IT 驱动的智能解决方案 (ITeSS) 标准?

ITeSS 平台是使用花旗批准的软件开发的应用程序或系统,用于创建、测试、维护和执行 ITeSS 用例。ITeSS 平台必须在花旗系统清单 (CSI) 中登记并由花旗 IT 部门拥有和管理。

判定

如果,则工具是 ITeSS。

如果,则工具是 EUC。

知识检查

IT 部门提供的应用程序无法立即使用,或者适合特定业务流程需求。

创建自定义的电子表格工具,使其包含用于核对和整合来自不同来源的数据的公式和宏,可显著简化每个业务流程周期中的财务报告流程。

然而,此电子表格工具没有经过 CSDLC 等 IT 部门批准的开发步骤,因此不符合 IT 安全标准。

根据 EUC 和 ITeSS 决策树,此工具是否有可能是 EUC?

选择正确答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。然后就能够再次使用 Space 键选择单选选项。

提交

接下来

在下一个主题中,我们将深入了解 EUC 预防和风险降低。

EUC 预防和风险降低

EUC 预防和风险降低

现在,我们将介绍在考虑创建新的 EUC 之前需要采取的步骤、四个 EUC 风险等级以及有助于减少使用 EUC 的替代方法。

向下滚动,继续浏览。

EUC 创建前和识别

在创建 EUC 之前,花旗员工应考虑采取以下初始步骤以减少 EUC 风险敞口和限制公司对 EUC 的总体依赖:

  • 识别所有未登记的 EUC,并
  • 在创建新的 EUC 之前评估替代技术解决方案,并确保进行适当的创建前尽职调查。

选择每个选项卡,详细了解创建 EUC 的预防流程中涉及的两个步骤。

EUC 识别
EUC 创建前

EUC 创建前

所有花旗员工在创建新的 EUC 之前必须向 EUC 负责任的业务负责人 (ABO) 提交 EUC 创建请求,以供审查和批准。

EUC 负责任的业务负责人 (ABO) 负责确保其权限范围内的所有 EUC 都符合 EUC 标准。员工应咨询业务部门与职能部门 IT,并评估是否可以在规定的时限内使用替代技术解决方案或增强核心 IT 系统来满足对新 EUC 的需求,从而满足业务需求。

转到“下一步”按钮

EUC 识别

所有花旗员工必须识别其业务流程中的所有 EUC。

EUC ABO 应确保至少每年一次使用 EUC 和 ITeSS 决策树对业务流程中使用的所有工具进行审查,以识别所有 EUC。

EUC 登记和风险评估

所有花旗员工必须在 EUC 清单工具中登记并确定其业务流程中所有已识别的 EUC 的风险等级。

在业务流程中使用 EUC 之前,EUC ABO 会审查并批准 EUC 登记和风险评估。

知识检查

如果您怀疑自己的业务流程可能在使用 EUC,应该采取什么适当措施?

选择所有适用选项,然后选择“提交”。

提交

EUC 风险等级

EUC 可分为四个风险等级:重大、高、中等和低

选择各项,了解四个风险等级和可能提高风险等级的更改。

 

重大

  • 涉及直接数据输入、数据校正或花旗集团的报告制作,以及/或 CBNA BCBS 239 报告
  • 支持数据操作模型 (DOM) 优先级用例,已在 Operating Facts Manager (OFM) 中识别

  • 涉及直接数据输入、数据校正或其他监管或管理报告的报告制作(例如,生成在报告中使用的数据)
  • 在模型风险管理系统中被登记为“高风险”的模型
  • 用作特许经营关键或数据桥 (169911) CSI 应用程序的数据源
  • 包含被归类为“机密个人身份信息”(PII)、“敏感 PII”或“受限”的数据
  • 用于遵守监督活动,如果不遵守或者 SLA 违规或错误可能导致未能遵守 AML 或其他合规标准
  • 如果 EUC 计算调整结果

中等

  • 涉及报告输出的分析(例如,报告制作前和制作后的方差分析)
  • 在模型风险管理系统中被登记为“中等风险”
  • 包含被归类为“内部 PII”或“机密”的数据
  • 用于执行对管理层风险控制评估标准中定义的关键业务流程的操作非常重要的功能

  • 在模型风险管理系统中被登记为“低风险”或“非重大”
  • 用作非特许经营关键 CSI 应用程序的数据源
  • 包含被归类为“公共”或“内部”的数据

控制和限制 EUC


切记,识别 EUC 后,您应该:

  1. 在 EUC 清单工具中对该 EUC 进行登记和风险评估
  2. 实施适当管控,以减少 EUC 使用期间的风险敞口
  3. 制定风险降低计划以减少对 EUC 的依赖

让我们探讨一些场景来深入了解 EUC 风险降低方法。

在以下场景中,您需要找出应该采用哪种降低方法来解决基于风险的问题。

EUC 风险降低方法

虽然 EUC 风险降低始终是公司的目标,但公司的最终目标是尽可能消除重大和高风险的 EUC,并减少对 EUC 的依赖。

以下是 EUC 标准规定的可减少对 EUC 依赖的三种风险降低方法。

请选择三个圆形图像,查看每种方法的定义。

业务重组/​流程再造
 

业务重组/流程再造是业务变更或更改,例如资产剥离。

它也是业务流程的变更或更改,原因如下但不限于:

  • 业务转型
  • 组织机构重组
  • 流程简化
  • 流程优化

由于流程再造,整个流程都发生重大变化,EUC 被消除。
迁移到/​增强核心 IT 系统
 

当 IT 系统或应用程序由企业或业务部门与职能部门 IT 进行管理,并且该应用程序符合花旗解决方案交付生命周期标准 (CSDLC) 和所有适用的花旗 IT 政策时, 通过迁移到/​增强核心 IT 来消除 ECU。

CSDLC 可在“资源”部分进行访问。
IT 驱动的智能解决方案 (ITeSS)
 

ITeSS 用例在由业务部门与职能部门 IT 管理的经批准的 ITeSS 平台构建。ITeSS 用例负责人构建用例,但这些用例必须符合 ITeSS 标准,并且在部署到 ITeSS 平台之前必须由业务部门与职能部门 IT 批准。

ITeSS 是取代重大、高和中等风险 EUC 的三种风险降低方法之一。

知识检查 1

EUC 负责人管理多个 EUC,以支持其业务流程的关键任务。

该单位的 EUC 负责任的业务负责人建议 EUC 负责人咨询其业务部门与职能部门 IT 团队,以评估使其单位减少对 EUC 依赖的替代解决方案。

业务部门与职能部门 IT 团队审查其单位的 EUC,发现可在合理的时间内增强现有的核心 IT 系统,以满足其特定的业务流程需求。

此案例描述了哪种类型的风险降低方法?

选择正确答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

知识检查 2

花旗员工使用 EUC 来整合银行监管机构共享报告的数据。监管机构的要求发生改变,将导致修改报告结构和提交。

增强核心 IT 系统需要时间,并且不能满足业务特定需求。

业务部门与职能部门 IT 为员工提供了基于经批准的 ITeSS 平台构建的替代技术解决方案,使手工流程自动化,从而无需使用 EUC。

此案例描述了哪种类型的风险降低方法?

选择正确答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

接下来

在您尝试参加评估之前,以下主题将对课程进行简要回顾。

总结

课程总结

回顾本课程的要点。

向下滚动以继续浏览。

EUC 和 ITeSS 标准课程总结


在本课程中,您了解到:

  • 对终端用户开发的应用程序或工具(例如 EUC)管理不当会给花旗的运营带来固有风险。

  • 使用决策树在识别和验证终端用户开发的 EUC 和 ITeSS 工具方面保持一致性。

  • 在创建新的 EUC 之前,花旗员工应检查是否有替代技术解决方案。

  • 识别所有未登记的 EUC,对其进行登记并确认它们的风险等级。

  • 消除重大和高风险 EUC 是公司的最终目标,有三种风险降低方法可减少我们对 EUC 的依赖。

  • 识别 EUC 需要使用 EUC 清单工具进行登记和风险评估,实施管控以降低 EUC 使用期间的风险敞口,以及制定 EUC 风险降低计划。

接下来

在下一个主题中,将通过完成一个简短评估来检查您对内容的理解。

评估

评估介绍

这句陈述描述以下哪一个选择:

用于确定工具是 EUC 还是 ITeSS 的一系列问题和标准。

选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

根据决策树,哪些标准支持正确定义终端用户计算或 IT 驱动的智能解决方案?

选择所有适用选项,然后选择“提交”。

提交

减少 EUC 风险敞口和限制公司对 EUC 总体依赖的初始步骤是什么?

选择所有适用选项,然后选择“提交”。

提交

以下哪几项是 EUC 等终端用户开发的工具带来的固有风险的示例?

选择所有适用选项,然后选择“提交”。

提交

所有花旗员工在创建新的 EUC 之前应该做什么?

选择最佳选项,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

在确定您用于支持业务流程的工具是 EUC 后,首先要采取的行动是什么?

选择最佳选项,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

EUC 标准规定的可减少对 EUC 依赖的三种风险降低方法是什么?

选择所有适用选项,然后选择“提交”。

提交

与 EUC 相比,ITeSS 为终端用户开发的工具降低花旗的风险提供了一条途径。

关于 ITeSS,下列哪项陈述也是正确的?

选择最佳选项,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

涉及直接数据输入、数据校正或花旗集团的报告制作,以及/或 CBNA BCBS 239 报告的 EUC 风险等级分类是什么?

选择最佳选项,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

下列哪项陈述准确描述了 ITeSS?

选择最佳选项,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键以便继续使用 Space 键。

提交

评估结果

Copyright © 花旗和/或其附属机构。保留所有权利。

本课程概述了终端用户计算 (EUC),以及花旗在通过考虑采用替代技术解决方案(包括经批准的 IT 驱动的智能解决方案 (ITeSS))来降低风险和对 EUC 的依赖方面所做的努力。

完成此次培训大约需要 20 分钟。

向下滚动查看主题列表,然后选择“简介”主题开始。可随时选择“主页”按钮返回到此菜单。

本课程分为四个主题和一个课程结束评估。完成培训内容后,您必须在评估中获得 80 分或更高的分数,才能获得本课程的学分。

选择“资源”按钮 ,可以随时查看有用的链接。

如果您直接通过(花旗网络之外的)互联网从个人设备访问课程,部分链接可能会因为需要链接至花旗网络内的内容而失效。这种情况不会影响您完成本课程。

主题

简介

终端用户计算和 IT 驱动的智能解决方案

EUC 预防和风险降低

课程总结

评估

主页
终端用户计算 (EUC) 和 IT 驱动的智能解决方案 (ITeSS) 标准简介
简介
终端用户计算和 IT 驱动的智能解决方案
EUC 预防和风险降低
课程总结
评估

转到“关闭菜单”按钮

 

转到“关闭”按钮