事件报告在加强组织正常运作所需的内部控制方面起着至关重要的作用. 事件被定义为“导致服务中断或服务质量下降的非标准操作”.”1 For an organization to remain competitive, 它必须及时处理事件,以避免对客户和合作伙伴造成任何负面影响. This ranges from reputational risk (e.g., 客户投诉)到由于系统宕机时无法提供服务而造成的收入损失. 澳门赌场官方下载还必须积极主动地降低风险,尽量减少事故可能造成的损失.
员工必须确保一旦发现不良事件,他们就采取相应的行动来处理. 未能及时解决客户的疑问或投诉可能会导致严重的声誉损害. 应进行风险意识培训,以便员工接受培训并精通事件报告流程, including its importance and how to detect incidents. 培训可能包括告知员工他们在事件管理方面的角色和责任. 尤其重要的是,对第一道防线进行全面的报告培训, 因为他们是负责检测异常事件的主要群体.
In addition, 应通知所有相关利益相关者有关事件,以便更好和更快地响应事件. To encourage good communication regarding incidents, departments should refrain from working in silos. 如果不能及时处理事件,可能会导致澳门赌场官方下载收入损失和/或运营中断. 澳门赌场官方下载必须确保一旦发现事件就立即报告, 进行根本原因分析,以找到主要原因,并采取补救措施,以尽量减少今后发生类似性质的事件. Incident reports should be time-bound, 各方都应该为未能报告事件负责.
In response to the COVID-19 pandemic, 许多组织选择允许员工在家工作(WFH)。. 员工正在远程访问组织的数据, 哪一点强调了立即报告事件的重要性, 在组织因事件而面临风险之前(例如.g., 文件服务器无法访问或数据泄露给外部方, mail server unavailability, system power failure). 这样的机制即使失败10分钟也会对业务产生不利影响. 组织本应在系统停机期间产生的收入可能会损失,并且由于不满意的客户被拒绝提供他们所寻求的服务,可能会造成声誉损失.
For incident reporting to be effective, 组织必须确保有明确的事件报告流程, 明确界定不同利益相关者的角色. For each incident reported, 报告者必须持续跟进负责处理风险的人,以确保关键问题得到优先处理. 当向相关部门或利益相关者提交事件时, 报告者还应将事件通知风险团队,并确保风险团队提供有关事件解决进展的最新信息. Reciprocally, 风险专家还必须与记者保持联系,以跟踪事件的结束和, 如果他们发现问题没有得到及时解决, bring those to the reporter’s attention. 报告人员和风险团队都有责任正确地记录和归档报告的事件. 适当的报告归档是至关重要的,因为它可以确保在最坏的事件损害组织之前得到解决,并避免类似的事件在未来发生. 适当的报告归档还可以确保没有任何事件不被注意到而留下未解决的问题.
澳门赌场官方下载永远无法确定事件何时会发生. To minimize the chance of an incident occurring, 组织必须确保部门控制和风险所有者实现预期功能的控制. 这些控制的范围可以从监视报告到对报告采取行动,因为这些报告是由于对控制进行评估而产生的,以发现和弥补任何差距. Efficiently reviewing risk registers, 在登记册中记录新出现的风险并实施适当的控制有助于确保风险得到处理, 而且该组织受到了很好的保护,免受威胁.
Endnotes
1 ISACA®, IT Risk Fundamentals Online Course
Editor’s Note
想了解更多作者对这个话题的看法,请收听“Incident Report and Continuous Control Monitoring” episode of the ISACA® Podcast.
Relebohile Kobeli
Is the ebanking risk officer at Lesotho Postbank. 她负责监督电子银行部门的操作风险, 重点关注手机和网上银行可能产生的风险. Kobeli在风险管理方面有超过3年的经验.