0%
 

如何管理和预防 EUC 风险

如何管理和预防 EUC 风险

课程导航提示

通过“菜单”按钮可访问各个部分。

通过每个部分末尾的“主页”按钮可回到课程开头。

“资源”按钮提供有用链接的列表。

“切换语言”按钮可以切换到不同的语言。

“关闭”按钮将结束您的培训课程并关闭课程窗口。

如果您通过个人设备直接从互联网(Citi 网络外部)访问课程,则某些链接到 Citi 网络的内容可能无法正常显示。这种情况不会影响您完成本课程。

如何管理和预防 EUC 风险

本课程旨在提高对日常业务活动中使用 End User Computing (EUC) 工具所涉及的风险的意识。

课程介绍了 Citi 为降低这些风险所做的努力,即向 Citi 员工提供识别 EUC 的知识,以及通过提供经批准的 IT-enabled Smart Solution (ITeSS) 等替代技术解决方案,帮助员工减少对 EUC 的依赖。

完成本次培训大约需要 10 分钟。

向下滚动以继续浏览。

Citi's Enterprise Risk Management Training Program

Enterprise Risk Management Training Program 风控政策知识 常见的风控技能 专业风控技能

为什么要这样?

本课程是 Citi 的 Enterprise Risk Management Training Program (ERMTP) 的一部分,该计划包含一系列课程,旨在帮助您理解自己的风控责任。

为什么是现在?

Enterprise Risk Management Framework (ERMF) 是 Citi 的风险管理标准。作为 Citi 的 Enterprise Risk Management Framework (ERMF) 支持能力的一部分,我们致力于为所有 Citi 员工提供知识和培训,以履行日常风控责任。

为什么是我们?

在 Citi,管理风险是每位员工的职责。我们都是风险管理者。风险是 Citi 业务固有的,无法规避。每位员工都必须保持警惕,在风险管理方面保持一致而且有责任心,包括遵守适用的法律法规。

有什么益处?

认识并一致理解风控政策知识以及整个防线的职责。

ERMF 介绍


ERMF 为整个公司范围的风险管理制定了全面、综合的一致性方法。

如下图所述,ERMF 有四大支柱。

请注意:为了更好地理解 Citi 如何管理某些风险,本次培训特别重点介绍 ERMF 中支柱 3(风险管理)部分的控制措施。其余的支柱会在其他 ERMTP 培训计划中进行介绍。

Citi 的 ERM 框架的四个支柱。
支柱 1:文化包括价值观、行为以及领导原则和绩效管理
支柱 2:治理包括董事会和管理层、董事会监督、授权、行政管理部、委员会和上报、防线,以及政策、标准和程序。
支柱 3:风险管理涵盖风险管理生命周期(识别、衡量、监控、报告)、财务风险(信用、市场(交易)、市场(非交易)、流动性),以及非财务风险(运营、合规、战略、声誉)。
支柱 4:企业计划涵盖企业风险识别、风险偏好和限制、压力测试、战略规划和新活动批准。
支持能力为:人才、绩效管理和薪酬;沟通与培训;技术和数据;以及模型和分析。

课程学习目标

完成本课程后,您将能够:

  • 识别在日常活动中开发的 End User Computing (EUC) 工具
  • 回想一下使用 EUC 有哪些风险
  • 说明您在识别 EUC 风险方面承担的责任
  • 描述您在预防 EUC 风险方面承担的责任
  • 确定降低与 EUC 相关风险的解决方案

完成标准

本课程包含最终评估。您必须在评估中获得 80% 或更高的分数,才能获得本次培训的学分。

本课程还包括一个可选测试。如果您通过该测试,可以跳过课程内容和最终评估,并获得课程结业学分。

您可以跳过测试,直接进入课程内容学习。

什么是 End User Computing (EUC)?

什么是 End User Computing (EUC)?

在本部分,我们将探讨 End User Computing (EUC) 工具出现的时机以及这些工具所带来的风险。

向下滚动以继续浏览。

Jared 的创新理念

我们来设想一个日常活动可能会带来或导致 End User Computing (EUC) 相关风险的场景。

Jared 是服务业务部门的高级分析师,他需要为经理编制一份月度财务报告。

现有系统没有提供简便的方法来收集和分析来自不同来源的数据。

为了简化工作流程,Jared 创建了一个含有公式、函数和其他逻辑的定制 Excel 电子表格,用于自动进行数据整理、计算和生成报告。

Jared 的创新理念是否带来了 EUC 风险?

之后,该电子表格的结果可能会手动上传到 Citi 系统,并在服务部门的月度财务报告中展示。

Jared 是否带来了 EUC 风险?

从三个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

End User Computing 概述

EUC 是指符合下列所有标准的工具:

  • 由终端用户(任何员工)开发或管理;
  • 受 Information Technology 批准流程(例如,Citi Solution Delivery Life Cycle Standard (CSDLC))控制;
  • 包含任何逻辑
  • 作为业务流程的一部分定期且重复使用;
  • 用于监管、管理和治理委员会报告、上传至授权数据(System of Record (SoR) 或 Authorized Redistributor (AR)),或者为 Manager’s Control Assessment (MCA) 中的业务流程提供支持。

为何创建 EUC 工具?

在经批准的 IT 解决方案(例如,核心 IT 系统)无法在规定时间内增强,或者没有替代技术解决方案的情况下,就会创建 EUC 工具。

EUC 工具的示例包括在以下工具中使用编程或脚本语言:

  • 电子表格(例如,MS Excel)
  • 数据库(例如,MS Access)
  • 商业智能工具

哪些不是 EUC?

将 EUC 与 Information Technology (IT) 部门管理的工具区分开来非常重要。

由 IT 部门开发并集中管控的工具(例如 Workday 或 Citi Travel & Expense)属于 EUC。

同样,用于完成一次性任务或不包含自动执行活动的逻辑的工具也属于 EUC。

不符合 EUC 标准的其他工具示例包括:

  • 从 Citi Market Place 下载、用于批量上传请求的模板
  • 用于将参考数据保存为报告输入、且其中不含数据处理或计算的 MS Excel 文件
  • 用于整合描述结果的数据以编写无需计算或数据透视的叙述的 MS PowerPoint 或 Excel 电子表格

现在,我们已经区分 EUC 和非 EUC,接下来我们将探讨它们的使用会给 Citi 带来哪些风险。

EUC 如何带来风险?

EUC 工具会给组织带来风险。

尽管 EUC 可以提高效率,但如果管理不当,它们也可能会带来风险。在像 Jared 遇到的情况中,Citi 员工可能会在没有 Citi 批准的技术解决方案时自己创建 EUC。

如果没有适当的控制措施,EUC 可能会使 Citi 面临数据泄露、丢失或损坏的风险,这可能会对我们公司或我们的客户造成损害。

要继续,请选择每个按钮,以查看这些风险的影响。

数据完整性

数据完整性

EUC 可能包含不准确或过时的数据,进而影响财务和监管报告或关键的 Citi 应用程序。
业务流程中断

业务流程中断

EUC 中的错误可能导致交易审批或关键运营流程中断。
合规问题

合规问题

EUC 可能不完全符合 Citi 的 IT 安全标准,包括但不限于技术、网络安全、数据隐私和跨境等关键政策,从而增加了数据泄露的潜在风险。

接下来

接下来,您将了解到在遇到 EUC 时应如何处理。

如何降低 EUC 风险

如何降低 EUC 风险

在本部分中,我们将探讨如何减少对 EUC 的依赖。

我们还将探讨在遇到 EUC 时应如何处理。

向下滚动以继续浏览。

减少对 EUC 的依赖

作为风险管理者,Citi 员工有责任减少 Citi 业务流程中对 EUC 的依赖。在创建新的 EUC 或继续使用现有 EUC 之前,请考虑重组流程或采用 IT 部门批准的替代方案,以消除或降低风险。

IT 部门批准的替代解决方案示例包括 IT-enabled Smart Solution (ITeSS) 或 Citi 核心 IT 系统技术。

要继续,请选择每个可能的替代方案以了解更多信息。

业务重组/
流程再造
核心 IT 系统
IT-enabled Smart
Solution (ITeSS)

业务重组/流程再造

导致 EUC 消除的业务流程变更或修改。

转到“下一步”按钮

核心 IT 系统

检查现有的 Citi 系统是否已经提供您需要的功能,或者系统是否可以增强。

转到“下一步”按钮

IT-enabled Smart Solution (ITeSS)

ITeSS 由终端用户与业务部和职能部门 IT 团队合作,使用经批准的 ITeSS 软件在符合 ITeSS 标准的 Citigroup Systems Inventory (CSI) 登记平台上进行开发。

ITeSS 具有更高级别的 IT 控制和监督,因此可更安全地替代 EUC。

EUC 生命周期

如果您遇到 EUC,或者正在考虑创建 EUC,则应遵循 EUC 生命周期。请向以下人员寻求指导:

  • 经理;
  • 业务部门/职能部门 EUC Champion;和/或
  • Information Technology 伙伴。

在此处访问 EUC Champion List。

要继续,请选择每个步骤以了解有关 EUC 生命周期的更多信息。

 

识别和创建前尽职调查

识别

使用 EUC 和 ITeSS 决策树来确定工具是否属于 EUC。

该工具将引导您完成一系列问题,以便准确地对相关工具进行分类。

注意:决策树还可以识别工具是否属于 ITeSS。

在本培训中,我们将使用 EUC 和 ITeSS 决策树来识别 EUC。您可以通过 EUC & ITeSS Decision Tree and Quick Reference Guide访问决策树工具。

创建前尽职调查

在创建新的 EUC 之前,请进行充分的创建前尽职调查。

登记

如果工具被确定为属于 EUC,请在 EUC Inventory Tool中登记它。

这有助于 Citi 跟踪和管理整个组织内与 EUC 相关的潜在风险。

风险评估

评估与 EUC 相关的风险。风险评估分类将 EUC 风险分为严重、高、中和低四个级别。

控制措施实施

确保 EUC 具有适当的控制措施,以减轻对数据、流程和合规性可能产生的负面影响,例如访问和权限控制、数据完整性以及版本控制。

风险降低

考虑 IT 部门批准的 EUC 替代方案,这些替代方案有助于消除或降低风险,详情请参阅“减少对 EUC 的依赖”部分。

Jared 如何使用决策树来降低 EUC 风险?

Jared 联系了服务业务部门 EUC Champion 的 Priya,寻求帮助来处理他的新电子表格。

Priya 建议 Jared 使用 EUC 和 ITeSS 决策树来确定他创建的新电子表格是否符合 EUC 的标准。

查看 Jared 对决策树问题的回答。

进行风险评估

Jared 根据 EUC 与 ITeSS 决策树标准评估的结果表明,该电子表格属于 EUC

作为一种 EUC,该电子表格不符合 EUC 政策和标准,因此,如果 Jared 继续使用该电子表格,可能会给公司带来潜在风险敞口

既然 Jared 已经确认他使用的是一种 EUC 工具,接下来他在 EUC 清单工具中登记该 EUC 工具,进行风险评估,并实施适当的控制措施

下一步,Jared 决定与 Priya 合作,探讨用 IT 部门批准的替代解决方案来取代该电子表格。

这有助于减少对 End User Computing (EUC) 工具的依赖,并利用更高级别的控制措施来降低 EUC 风险,从而支持公司的安全与稳健运营。

接下来

接下来,总结本次培训的内容要点。

要点

要点

在本部分,我们将回顾您在本课程中所学的内容。

向下滚动以继续浏览。

学习内容回顾

  • End User Computing (EUC) 工具是指 Citi 员工为自动执行常规且重复的流程而创建的解决方案,其不受 Citi Information Technology 部门批准的流程控制。
  • Citi 员工应知晓与 EUC 相关的风险。
  • EUC 和 ITeSS 决策树应用来确定某个工具是属于 EUC 还是 ITeSS。
  • 请记住,您有责任识别现有的 EUC 和/或考虑 IT 批准的替代方案,以防止使用 EUC

如需进一步指导,请联系您所在业务部门/职能部门的 EUC Champion,以获取有关 EUC 和 ITeSS 决策树的帮助,并/或探讨将 ITeSS 和其他解决方案作为 EUC 的替代方案。

接下来

现在请完成一个简短评估,检查您对内容的理解。

Jared 开发了一个电子表格,其中包含用于处理月度报告的逻辑(不受 Information Technology 部门批准的流程控制),然后将其上传到 Citi 系统。

这会被视为哪种工具?

从四个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

以下哪些是降低与 EUC 相关的风险的解决方案?

从四个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

以下哪项不是与 End User Computing (EUC) 工具相关的风险?

从四个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

哪些资源可帮助您确定您是否有 EUC?

从四个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

当发现 EUC 风险时,首先要履行的前三大责任是:识别、登记和评估风险。接下来有哪些责任?

从四个选项中选择最佳答案,然后选择“提交”。

请仅在使用键盘选择单选选项时才使用 Space 键。不完全支持 Enter 键。如果已使用 Enter 键选择单选选项,则请使用 Escape 键。这样您就能够再次使用 Space 键来选择单选选项。

提交

Copyright © Citi 和/或其附属机构。保留所有权利。

可随时选择“主页”按钮返回到此菜单。

欢迎

什么是 End User Computing (EUC)?

如何降低 EUC 风险

要点

评估

主页
如何管理和预防 EUC 风险
什么是 End User Computing (EUC)?
如何降低 EUC 风险
要点
评估

转到“关闭菜单”按钮

 

转到“关闭”按钮