0%
 

簡介

歡迎

為何進行此培訓?

Citi 的文化和價值觀是業務開展方式的核心。堅實強大的風險控管環境是 Citi 卓越文化的關鍵推力。

此基礎課程是 Citi 企業風險管理培訓計畫 (ERMTP) 的一部分。ERMTP 是一系列培養您了解自身風險控管責任的課程。

為何現在進行此培訓?

Citi 有一個管理風險的標準架構。為了支援 Citi 企業風險管理 (ERM) 架構,我們致力為員工提供相關知識和培訓,以履行日常風險控管責任。

為何我們要接受此培訓?

  • 管理風險是 Citi 每位成員的職責。我們全體同仁都是風險管理員。
  • Citi 的業務存在無可避免的固有風險。每位成員都必須保持警覺,秉持一貫不懈怠和責無旁貸的責任心來管理風險。
  • 企業風險管理架構 (ERMF) 是 Citi 管理風險的標準。
  • 每位成員都有責任呈報風險和疑慮,Citi 提供令人可以安心呈報的環境,而無遭報復之虞。

您有責任了解您的角色與管理風險的關聯性,承擔個人行動的完全自主權,並協助 Citi 進行日常風險辨識和管理。

課程目標

完成本培訓後,學員將能夠:

  • 使用終端使用者運算 (EUC) 和 IT 智慧解決方案 (ITeSS) 決策樹,辨識 EUC 或 ITeSS
  • 考量替代技術解決方案,例如 ITeSS,以防止新的 EUC
  • 辨識 EUC,以及發現 EUC 時應採取的適切行動

課程導覽訣竅

本課程分為五個主題和課程結束評估。

按下各主題最後的「首頁」按鈕便可回到首頁。

「功能表」能夠帶您前往個別主題。

「資源」按鈕提供實用連結清單。

「切換語言」按鈕讓您可切換不同語言。

按下「關閉」按鈕以結束目前的培訓階段,並關閉課程視窗。

接下來

在接下來的主題中,將分別介紹 EUC 和 ITeSS,概略說明 EUC 和 ITeSS 決策樹,並探索如何辨識使用的是 EUC 或 ITeSS。

終端使用者運算和 IT 智慧解決方案

終端使用者運算和 IT 智慧解決方案

在此我們將學到什麼要素使工具歸類為 EUC 或 ITeSS,以及如何判定使用的工具是 EUC 或 ITeSS。

請向下捲動以繼續課程。

終端使用者運算 (EUC) 是什麼?


Citi 職員會經常需要使用應用程式或工具,以執行常規的業務流程。這些工具由終端使用者建立,或由資訊科技 (IT) 部門開發和控管。

如果在業務要求的時間範圍內無法強化 IT 解決方案,或者在尚未有替代技術解決方案的情況下,可建立終端使用者運算 (EUC)。EUC 必須符合終端使用者運算政策 (EUCP) 和終端使用者運算標準 (EUCS) 之要求。

EUC 是由終端使用者在核准的軟體開發控管架構之外所開發的工具,例如:Citi 解決方案交付生命週期 (CSDLC) 等架構。

EUC 可以是支援業務流程的高效率工具。然而,在開發、實作和使用期間,必須適切地管理 EUC,以確保有效降低風險曝險。

EUC 相關風險

EUC 相關風險是什麼?

由於 EUC 並不像中央技術團隊管理的正式應用程式,設有管控機制,因此使用 EUC 會將風險引進 Citi 環境中。

點選每個標籤,以檢視使用 EUC 的風險、EUC 的風險層級,以及如何減少對 EUC 的依賴。

使用 EUC 的風險
風險層級
減少對 EUC 的依賴

使用 EUC 的風險

EUC 用於下述類型的業務流程:

  • 對企業具有重要報告影響
  • 支援將財務資料上載至 Citi 系統
  • 支援評估單位作業風險自行評估作業 (MCA) 中的重要業務流程

由於 EUC 通常是由終端使用者所開發、使用和管理,所以會有多種源自於管理不當的固有風險,包括但不限於:

  • 資料完整性缺失
  • 未經授權存取
  • 無法取用
  • 未經核准或非蓄意改變

移至「下一步」按鈕

風險層級

唯有在辨識和登記 EUC,以及評估風險後,才能降低使用 EUC 的相關固有風險。EUC 可分為下列四個風險層級:關鍵、高度、中度和低度。

我們將在此主題中,深入了解這些風險層級、評估 EUC 建立需求的方法以及降低 EUC 相關風險的方式:防止建立 EUC 和風險降低

移至「下一步」按鈕

減少對 EUC 的依賴

我們必須將 EUC 視為滿足業務需求的臨時解決方案,最終目標是透過核准的風險降低方法,適切地減少使用 EUC。

其中一個風險降低方法就是以 IT 智慧解決方案 (ITeSS) 替代 EUC。

IT 智慧解決方案是什麼?


IT 智慧解決方案 (ITeSS) 是在核准的 ITeSS 平台上所開發,並符合 ITeSS 主題。在 ITeSS 平台中核准的解決方案會降低 EUC 建立相關的固有風險。

請聯絡您的業務與職能 IT 團隊,以確認核准的 ITeSS 平台清單。

我們為何應考慮使用 ITeSS 等替代解決方案?
ITeSS 是風險低於 EUC 的替代選擇,因為 ITeSS 是在 Citigroup 解決方案盤點 (CSI) 登記平台上所開發,所以有較高的控管層級。終端使用者開發的工具(如 EUC)所產生的任何風險,都會在 ITeSS 開發週期中一應緩解。

ITeSS 也是取代建立 EUC 和減少對現有 EUC 依賴的三種風險降低方法之一。我們將在下一個標準中說明其餘兩種方法:防止建立 EUC 和風險降低

判定工具是 EUC 或 ITeSS


EUC 和 ITeSS 決策樹是一系列用於判定工具是 EUC 或 ITeSS 的問題和準則。

使用決策樹的優點包括:

  • 以視覺化方式呈現判定的問題和準則
  • 容易解讀並依循完整流程,直至最終判定決策
  • 辨識目前使用中的工具

使用決策樹來審查團隊中的所有工具,辨識有無使用中的任何 EUC 或 ITeSS,並將任何未註冊的 EUC 登記至 EUC 盤點工具中。

請謹記
務必保持警覺,定期審查您使用的業務工具或應用程式,因為 EUC 可能會對 Citi 造成風險。

EUC 和 ITeSS 決策樹判定問題

下列問題將幫助您辨識工具是 EUC 或 ITeSS。

請謹記,在評估終端使用者所開發的工具時,務必遵循這些問題,因為這些問題將幫助您辨識 EUC 和 ITeSS 的特點。

如欲下載 EUC 和 ITeSS 決策樹副本,請點選 此處。此副本將幫助您了解決策樹流程。此副本也將有助於您回答之後需要完成的一些知識測驗和評估問題。

點選每個項目,檢閱這些問題,並深入了解 EUC 和 ITeSS 的不同特點。

 

A – 工具只使用一次或用於臨時目的(也就是,工具不會定期重複使用、重新建立或重新構建)嗎?

如果是以下情形,則工具只使用一次或用於臨時目的:
  • 只使用一次或因應臨時要求而使用,也就是,並非用於支援常規或重複的業務流程;或
  • 並不會按照標準頻率重複使用,例如:每日一次、每月一次或每年一次;或
  • 不會使用範本、之前版本或重複使用邏輯,以便在定期或重複的基礎上重新使用、重新建立或重新構建該工具。

備註:

為支援業務或職能流程而重複建立的工具,則不視為只用於一次或臨時目的(例如:為個別交易所建立的試算表)。

決策

,則工具並非 EUC 或 ITeSS。

,則移至問題 B。

B – 工具是否包含邏輯?

邏輯例子包括但不限於:
  • 運算和計算,例如:公式、函數或巨集
  • 條件式處理,例如:IF 函數
  • 資訊選取準則,例如:查詢、樞紐分析和圖表
  • 程式碼,例如:VBA、R、Python、Java 和 SQL

備註:

工具如果只包含篩選條件,並未包含其他邏輯,則不是 EUC。

決策

,請移至問題 C。

,則工具並非 EUC 或 ITeSS。

C – 工具對企業是否具有重要的監管、管理、財務或風險報告影響?

重要的報告影響例子包括但不限於:
  • 依照全球監管與管理報告政策,提供給監管機構的報告
  • 依照全球監管與管理報告政策,為 Citi 高階管理層(高階管理團隊 (EMT) - 1 級或更高層級)所用的報告
  • 董事會層級或重要法律實體層級報告
  • 依照 Citi 監理政策的官方監理委員會報告
  • BCBS 239 關鍵報告
  • 提供給客戶、投資人和交易對象的報告

備註:

重要性是由業務和職能流程負責人或營業風險和控管委員會所判定。

決策

,請移至問題 F。

,請移至問題 D。

D – 工具是否依照 Citi 資料監理政策之定義,支援將財務資料上傳至記錄系統或授權的重新分發器?

決策

,請移至問題 F。

,請移至問題 E。

E – 工具是否支援評估單位的作業風險自行評估作業 (MCA) 中相關固有風險層級為 1-3 的活動或控管?

工具如果不支援評估單位 MCA 中,固有風險為 1-3 級的業務流程/活動或控管,則不視為符合 EUC 之定義。

決策

,請移至問題 F。

,則工具並非 EUC 或 ITeSS。

F – 工具的開發、實作和維護是否符合 Citi 解決方案交付生命週期標準 (CSDLC)?

業務和職能部門的企業和架構規劃主管 (HEAP) 以及資訊長 (CIO) 可能提出特別規定,針對依照核心 IT 系統等類似 Citi 解決方案交付生命週期標準 (CSDLC) 所開發、實作和維護的工具進行分類。

決策

,則工具是核心 IT 系統,而非 ITeSS 或 EUC,因為其開發、實作和/或維護符合 CSDLC。

,請移至問題 G。

G – 工具是否在核准的 ITeSS 平台上實作,並符合 IT 智慧解決方案 (ITeSS) 標準?

ITeSS 平台是使用 Citi 核准的軟體所開發的應用程式或系統,用於建立、測試、維護和執行 ITeSS 使用案例。ITeSS 平台必須在 Citi 系統盤點 (CSI) 中登記,並由 Citi IT 負責管理。

決策

,則工具為 ITeSS。

,則工具為 EUC。

知識測驗

IT 提供的應用程式並非立即可用,也不適用於特定業務流程需求。

建立一個包含公式和巨集的自訂試算表工具,以協調及合併不同來源的資料,可以大幅簡化各個業務流程週期中的財務報告流程。

但是,此試算表工具沒有經過 IT 核准的開發步驟,例如:CSDLC,所以並不符合 IT 安全標準。

如果使用 EUC 和 ITeSS 決策樹進行判定,此工具有可能是 EUC 嗎?

選取正確答案,然後選取「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

接下來

在接下來的主題中,我們將深入了解防止建立 EUC 和風險降低。

防止建立 EUC 和風險降低

防止建立 EUC 和風險降低

在此我們將探索在考慮建立新 EUC 之前應採取的步驟、四個 EUC 風險層級,以及有助於減少使用 EUC 的替代方法。

請向下捲動以繼續課程。

EUC 建立前和辨識

在建立 EUC 之前,Citi 職員應考量下列初始步驟,以降低 EUC 風險曝險,並限制公司對 EUC 的整體依賴:

  • 辨識所有未登記的 EUC,以及
  • 在建立新的 EUC 之前,先評估替代技術解決方案,並確保進行適切的建立前盡責審查。

點選每個標籤,深入了解防止建立 EUC 流程所涉及的兩個步驟。

EUC 辨識
EUC 建立前

EUC 建立前

所有 Citi 職員在建立新的 EUC 之前,都必須向 EUC 業務負責人 (ABO) 提交 EUC 建立要求,以進行審查與核准。

EUC 業務負責人 (ABO) 負責確保其權責下的所有 EUC 皆符合 EUC 標準。職員應諮詢業務和職能 IT,評估在要求的時間範圍內,使用替代技術解決方案或強化核心 IT 系統是否可以滿足建立新 EUC 的需求,以便滿足業務要求。

移至「下一步」按鈕

EUC 辨識

所有 Citi 職員皆必須辨識其業務流程中的所有 EUC。

EUC 業務負責人 (ABO) 應確保,至少一年使用一次 EUC 和 ITeSS 決策樹來審查業務流程中使用的所有工具,以辨識所有的 EUC。

EUC 登記和風險評估

所有 Citi 職員皆須將其業務流程中所有辨識出的 EUC 註冊至 EUC 盤點工具中,並判定這些 EUC 的風險層級。

EUC 業務負責人 (ABO) 會先審查並核准 EUC 登記和風險評估,然後才可在業務流程中使用 EUC。

知識測驗

如果您懷疑您的業務流程可能有使用 EUC,應採取哪些適切行動?

請點選所有適用項目,然後選擇「提交」。

提交

EUC 風險層級

EUC 可分為四個風險層級:關鍵、高度、中度和低度

點按每個項目,了解四個風險層級以及可能升高風險層級的變化。

 

關鍵

  • 涉及直接的資料輸入、資料修正、Citigroup 的報告製作和/或 CBNA BCBS 239 報告
  • 支援運作實情管理工具 (OFM) 中確定的資料運作模型 (DOM) 優先使用案例

高度

  • 涉及直接的資料輸入、資料修正,或其他監管或管理報告的報告製作(例如:產生用於報告中的資料)
  • 在模型風險管理系統中登記為高風險的模型
  • 用作特許經營權關鍵或資料橋 (Data Bridge) (169911) CSI 應用程式的資料來源
  • 包含被分類為機密個人身分資訊 (PII)、敏感 PII 或受管制的資料
  • 用於配合監督活動,如果不配合、違反 SLA 或發生疏失,可能導致未能符合反洗錢 (AML) 或其他合規標準
  • 如果 EUC 計算調整值

中度

  • 涉及報告輸出分析(例如:變異數分析,無論是在報告製作之前或之後)
  • 在模型風險管理系統中登記為中度風險
  • 包含被分類為內部 PII 或機密的資料
  • 用於執行 MCA 標準定義的關鍵業務流程運作重要功能

低度

  • 在模型風險管理系統中登記為低風險或非重要
  • 用作特許經營權關鍵 CSI 應用程式的資料來源
  • 包含被分類為公開或內部的資料

控管和限制 EUC


請謹記,一旦辨識出 EUC,您應該:

  1. 將 EUC 註冊至 EUC 盤點工具中,並進行風險評估
  2. 實行適切的控管,以降低 EUC 使用期間的風險曝險
  3. 有風險降低計畫,以減少對 EUC 的依賴

讓我們來探索幾種情境,深入了解 EUC 風險降低方法。

在以下情境中,您將需要找出應使用哪種降低風險的方法,以解決風險缺失。

EUC 風險降低方法

雖然 EUC 風險降低是不變的目標,但公司的最終目標是盡可能排除關鍵風險和高風險 EUC,並減少對 EUC 的依賴。

以下是 EUC 標準規定使用的三種風險降低方法,以減少對 EUC 的依賴。

點按三個圓形圖像,探究每種方法的定義。

業務重組/​流程重新設計
 

業務重組/流程重新設計是對業務進行變更或修改,例如:撤資。

也包括但不限於下列原因導致的業務流程變更或修改:

  • 業務轉型
  • 組織重組
  • 流程簡化
  • 流程最佳化

由於流程重新設計,因此整個流程經過重大改變,EUC 也已排除。
改用/​強化核心 IT 系統
 

當 IT 系統或應用程式是由企業或業務和職能 IT 所管理,且應用程式符合 Citi 解決方案交付生命週期標準 (CSDLC) 以及所有適用的 Citi IT 政策時,即可藉由改用/​強化核心 IT 來排除 EUC。

可以在「資源」部分中查閱 CSDLC。
IT 智慧解決方案 (ITeSS)
 

ITeSS 使用案例會在業務和職能 IT 所管理的核准 ITeSS 平台上建立。ITeSS 使用案例負責人會建立使用案例,但這些使用案例必須符合 ITeSS 標準,且必須先經過業務和職能 IT 核准,才可部署到 ITeSS 平台上。

ITeSS 是三種風險降低方法之一,用於取代關鍵風險、高風險和中度風險 EUC。

知識測驗 1

一名 EUC 負責人同時管理多個 EUC,以支援其業務流程的關鍵任務。

此單位的 EUC 業務負責人建議這名 EUC 負責人諮詢他們單位的業務和職能 IT 團隊,幫他們單位評估替代解決方案,以減少對 EUC 的依賴。

業務和職能 IT 團隊審查了他們單位的 EUC,並發現可以在合理時間內強化現有的核心 IT 系統,以支援他們的特定業務流程要求。

此案例中所述的是何種類型的風險降低方法?

選取正確答案,然後選取「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

知識測驗 2

Citi 職員使用 EUC 整合資料,以製作與銀行監管機構共享的報告。監管機構的要求有一項改變,將導致需要修改報告結構和提交方式。

強化核心 IT 系統不但耗時,且無法符合業務特定要求。

業務和職能 IT 為職員提供一項建立在核准 ITeSS 平台上的替代技術解決方案,可自動化手動流程,進而排除對 EUC 的需求。

此案例中所述的是何種類型的風險降低方法?

選取正確答案,然後選取「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

接下來

在您接受評估之前,接下來的主題將為您提供課程重點總結。

摘要

課程摘要

複習本課程的關鍵重點。

請向下捲動以繼續課程。

EUC 和 ITeSS 主題課程摘要


您在本課程中學習到:

  • 不當管理 EUC 等終端使用者開發的應用程式或工具,會對 Citi 的營運帶來固有風險。

  • 使用決策樹有助於以一貫依據,判定和驗證終端使用者所開發的工具是 EUC 或 ITeSS。

  • 在建立新的 EUC 之前,Citi 職員應先檢查有無替代技術解決方案。

  • 辨識所有未註冊的 EUC,將其註冊,然後判定其風險層級。

  • 排除關鍵風險和高風險 EUC 是公司的最終目標,而有三種風險降低方法可減少我們對 EUC 的依賴。

  • 辨識 EUC 需要使用 EUC 盤點工具對 EUC 進行註冊和風險評估,在 EUC 使用期間以及 EUC 風險降低計畫擬定期間,實行控管措施以降低風險曝險程度。

接下來

在下一個主題中,是時候藉由完成一個簡短的評估來檢查您對內容的理解程度了。

評估

評估簡介

此陳述說明下列哪一個選項:

是一系列用於判定工具是 EUC 或 ITeSS 的問題和準則。

選取最恰當的答案,然後選取「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

根據決策樹,哪些準則有助於正確定義終端使用者運算或 IT 智慧解決方案?

請點選所有適用項目,然後選擇「提交」。

提交

哪些初始步驟可降低 EUC 風險曝險程度,並限制公司對 EUC 的整體依賴?

請點選所有適用項目,然後選擇「提交」。

提交

下列哪些例子是 EUC 等終端使用者開發的工具所形成的固有風險?

請點選所有適用項目,然後選擇「提交」。

提交

所有 Citi 職員在建立新的 EUC 之前,應先做什麼?

選擇最佳選項,然後選擇「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

一旦判定您用於支援業務流程的工具是 EUC,應採取的第一個行動是什麼?

選擇最佳選項,然後選擇「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

EUC 標準規定使用哪幾種風險降低方法,以減少對 EUC 的依賴?

請點選所有適用項目,然後選擇「提交」。

提交

不同於 EUC,ITeSS 為降低終端使用者開發工具對 Citi 造成的風險,提供了解決之道。

下列哪一項關於 ITeSS 的陳述為正確?

選擇最佳選項,然後選擇「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

EUC 如果涉及直接的資料輸入、資料修正、Citigroup 的報告製作和/或 CBNA BCBS 239 報告,則屬於哪一個風險層級分類?

選擇最佳選項,然後選擇「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

下列哪些陳述正確描述 ITeSS?

選擇最佳選項,然後選擇「提交」。

請只在用鍵盤選取選項按鈕時,才使用空白鍵。未完全支援 Enter 鍵。如果是用 Enter 鍵來選取選項按鈕,請用 Escape 鍵還原後,改用空白鍵進行選取。

提交

評估結果

Citi © 及其關係企業版權所有。保留所有權利。

本課程概述終端使用者運算 (EUC),以及 Citi 為降低風險和對 EUC 的依賴所做出的努力,考量了包括核准 IT 智慧解決方案 (ITeSS) 在內的替代技術解決方案。

完成本培訓約需 20 分鐘時間。

向下捲動以查看主題清單,接著選取「簡介」主題即可開始。您可隨時點選「首頁」回到本功能表。

本課程分為四個主題和課程結束評估。完成培訓內容後,您在評估中的得分,必須達到或高於 80% 才能取得本課程的學分。

點選「資源」 可隨時查看實用連結清單。

如果您是使用個人裝置直接透過網際網路(Citi 之外的網路)上課,如果內容附掛於 Citi 內部網路,那麼可能無法使用某些連結。這並不會影響您完成本課程的能力。

專題

簡介

終端使用者運算和 IT 智慧解決方案

防止建立 EUC 和風險降低

課程摘要

評估

首頁
終端使用者運算 (EUC) 和 IT 智慧解決方案 (ITeSS) 準則簡介
簡介
終端使用者運算和 IT 智慧解決方案
防止建立 EUC 和風險降低
課程摘要
評估

移至「關閉功能表」按鈕

 

移至「關閉」按鈕