思想 实践

美国CFO:应牢记风险管理8步骤

 2015-04-29

 

 美国公司首席财务官(CFO)如何做才能使风险回报处于一种平衡状态,继而引起公司首席执行官(CEO)对信息风险管理的高度重视呢?信不信由你!据我所知,CFO要想在加强信息风险管理问题上从公司取得充足的资金是非常困难的。如果作为CFO的你把这件事跟公司CEO谈的话,CEO只会瞟上你一眼,而后耸耸肩、报以善意的微笑。其潜台词是:信息风险管理可以搞,但增加这方面的资金投入没门。

 
  据普华永道会计师事务所今年年初对美国103家上市公司的CEO对于网络安全问题展开的调查显示,在上述受访公司中,只有不到45%的公司高度重视网络安全。这些公司的CEO在接受调查时坦言,为了确保公司业务处于良好的运转状态,公司对提高抵御风险袭击的软硬件投入多少都在所不惜。
 
  调查结果进一步显示,很多受访公司的CEO想把钱投在改善公司产品以及提高公司与客户关系上,而对于数据安全保护方面的投资,他们总认为是小事一桩。
 
  其实,作为CFO与公司的合规团队,他们有必要就此问题向公司管理层建言,并能够得到CEO的大力支持。然而,CFO的建言要言之有物,不能笼统地对数据风险进行简单的描述,应该站在专业角度拿出令公司董事会信服的证据来。
 
  CFO应按以下8个步骤为数据风险防控争取资金支持。
 
  第一,CFO要确定自己试图保护的、含有所有资产内容或者含有上述内容的公开信息。这些信息或许是个人识别信息、受保护的医疗信息、支付卡信息,又或者是其他涉及重要业务的专有、敏感信息。这些信息资产不仅包括应用程序,还包括像服务器、备份磁盘、台式电脑、笔记本电脑以及闪存在内的含有应用程序在内的媒介。
 
  第二,CFO要对这些资产构成威胁的危险因素进行排查。这些危险因素通常情况下又细分为4种,它们分别是:环境因素如洪水、火灾等,结构性因素如基础设施的毁坏或者软件故障等,故障性因素如粗心用户造成的损失等以及对抗性因素如黑客与心怀叵测的内部工作人员的破坏活动等。
 
  第三,CFO要确认这些资产所存在的薄弱环节。例如,没有数据备份、没有数据加密、密码设置级别较低、没有远端清除功能、没有过载保护功能、没有经过培训的合格人员、没有访问管理设置功能、没有防火墙、没有商业应急方案。
 
  第四,CFO必须进一步确定每一个能够利用的薄弱环节变成危险因素的可能性有多大。一般来说,CFO应该按照百分比确认这种可能性,而通过百分比,管理层就可以一目了然地知道危险因素呈现的程度。
 
  第五,CFO应有忧患意识。即最严重的后果一旦发生,这种负面因素带给公司的直接影响究竟有多大。CFO可以通过美国国际标准协会网站提供的免费模型来对此进行评估。最严重的后果包括:违约受罚、违约被起诉所产生的法律成本以及商誉成本。这些成本通常可以通过量化进行评估。
 
  第六,CFO应该根据风险因素的大小进行风险等级排列。高风险因素与低风险因素分别位于表格的上下位置,而一般风险因素则居中排列。
 
  第七,CFO应该找到解决方案。CFO还需要确定为防止风险发生公司所应担负的成本到底有多大,而公司为抵御风险所支付的成本费用不能超过公司的承受能力。
 
  第八,CFO应制定具体抵御风险的举措。例如,公司一台没有加密的笔记本电脑一旦丢失后,公司可能就要承担美国卫生与公共服务部网站所公布的20%的医保违规风险。这个例子为所有CFO敲响了警钟,他们应该及早制定抵御风险来袭的具体举措。