大多数现代商业运作依赖于面向互联网的计算. 澳门赌场官方下载计算设备暴露在互联网上, 尤其是云服务, 意味着网络风险不可避免. 网络风险是操作风险的一个子集,它会对组织的回报和盈利能力产生不利影响, 如果管理不当. 高级管理层对网络风险的有效管理需要风险和审计委员会以及全体董事会的积极支持. 因为董事会负责制定组织的战略和方向, 董事会必须积极主动地确保管理层有必要的预算来制定和实施适当的控制措施,以减轻网络风险. 董事会负责定义组织的战略计划和风险水平,组织打算通过定义良好且易于遵循的澳门赌场官方下载风险偏好来实现其战略目标. 第二道防线, 在首席风险官(CRO)的帮助下, 然后可能会发展出一种反映澳门赌场官方下载风险偏好的网络风险偏好. 网络风险偏好也必须得到董事会的批准.
如果第一道防线发展控制, 然后是板子, 通过风险委员会, 授权CRO团队独立质疑建议控制措施的有效性和适当性. 同样的道理, 审计委员会应授权审计长小组独立地测试和验证建议的控制. 风险和审计团队的所有这些活动都应该生成报告,以满足信息需求,并透明地向董事会传达组织在既定网络风险偏好范围内运作所需的信息. 董事会不能在真空中做决定, 这就是为什么他们需要带有指标的报告,显示高级管理层是否使用了预算和可用资源来有效管理网络风险.
由风险委员会成员组成的敏锐的董事会清楚地了解网络风险的性质,可以根据向董事会提交的报告轻松挑战高级管理层, 有效地对高级管理层负责. 在过去, 媒体报道了许多代价高昂的网络入侵事件,很明显,董事会成员参与其中只是为了遏制因声誉和法律损害而引起的批评. 董事会的参与不应该是被动的,只有在网络风险意识到的时候才会做出反应. 有频繁和充分的报告, 董事会可以将这些报告作为侦查控制措施,以评估高级管理层是否遵循了保护组织运营免受重大网络风险影响的最佳做法.
至少,高级管理层必须向董事会通报所有重大风险.e., 可能对组织运作产生不利影响的风险, 利润和声誉,减少对法律和法规要求的遵守). 高级管理层必须对董事会保持透明,这样他们才能有效地对自己管理网络风险的方式负责. 风险和审计委员会必须由具有广泛金融知识的人员组成, 会计, 技术和网络安全,辨别高级管理层在制定技术和网络安全计划议程和预算时所做的潜在假设. 他们应该能够用关键绩效指标和关键风险指标来解释指标,这样他们就可以与董事会合作,加强和扩大控制. 关键风险指标具有前瞻性,可以对即将发生的风险发出警告,帮助管理层迅速采取行动以减轻风险.
同样重要的是要认识到,董事会必须紧跟不断发展的技术趋势, 通过定期接受有关这些问题的培训来了解威胁形势和监管问题. 除了, 董事会成员还需要不断了解利益相关者的需求, 监管变化和受托责任. 董事会必须通过自省和自我评估来评估监管方面可能存在的弱点,从而树立谦逊的榜样. 如果董事会之前没有达到关键的监督期望,导致未能向管理层问责,那么他们也可以利用吸取的教训.
董事会成员在没有充分理解和充分质疑高管提出的基本假设的情况下,简单地在高级管理层的报告上盖章的日子已经一去不复返了. 在这个信息时代, 董事会应该能够轻松地访问他们需要的信息,以挑战管理层并引导他们的组织实现其使命和目标. 所有这些理想的目标都依赖于适当的董事会组成.e., (董事会成员表现出充分参与和好奇的董事的特征和属性). 委员在履行受托责任的同时,应有足够的时间出席委员会会议和审阅文件. 董事会成员必须能够通过倾听彼此的意见来播下信任和欣赏的种子, 包括不同意见, 这只会增强他们将组织带到新高度的决心. 董事会在制定战略计划和设定相关议程时,还必须建立清晰的流程, 解释这些如何与既定的风险偏好一致. 指导董事会委员会的董事会章程必须根据政策要求经常更新. 具有明确授权的董事会委员会章程可以帮助评估董事会委员会在管理和提供监督时的表现. 如果董事会成员提供的服务不合格,那么他们应该被淘汰.
编者按: 想要进一步了解这个话题,请阅读Allen Ari Dziwa最近在《澳门赌场官方下载》上发表的文章, “全球化信息环境下的有效治理和董事会监督” , ISACA杂志,第4卷,2023年.