最适合您组织的治理、风险和合规性 (GRC) 平台取决于您的战略、行业等因素。
译自 Choosing a GRC Tool: A 4-Step Roadmap,作者 Manas Chowdhury。
随着几乎所有组织都以数字化方式运营,公司面临的风险类型也在不断演变,法律的数量也在不断演变,这些法律适用于从小型企业到企业级企业。组织必须遵守的数百项法律增加了开展业务的复杂性。因此,在合规性方面偷工减料或使用过时的策略来管理风险可能会使企业面临重大漏洞。
2023 年 IBM 报告指出,违反法规是造成数据泄露成本的近 219,000 美元的原因。违规行为不仅可能使组织损失惨重,而且在普华永道的一项研究中,35% 的高管提到监管风险和合规性是阻碍组织发展的主要因素。
鉴于违反法规会造成重大的财务影响,因此实施有效的治理、风险和合规性 (GRC) 措施对于业务稳定性而言是不可协商的。
根据来源、行业和用例,GRC 平台有多种定义,但都包含将业务目标与完整性和可持续性相一致的概念。
拥有 GRC 平台对于保护公司的声誉、员工和未来至关重要。相反,如果没有一个强大的 GRC 解决方案,您就会面临多种风险。
首先,如果没有强大的 GRC 解决方案,您对风险的可见性就会受到限制,从而导致威胁和漏洞被忽视。这种缺乏监督可能会导致代价高昂的法律或监管行动,正如 Navex 对19%的风险和合规专业人士进行的调查结果一样。此外,违规行为可能会导致严重的财务损失,每次违规行为平均会给组织造成445 万美元的损失。
如果没有集成的 GRC 平台,企业将难以管理和预测风险,这会阻碍他们保持竞争力和合规性的能力。这种混乱会影响决策、运营效率和公司的战略目标。
投资于先进技术和自动化解决方案的竞争对手将占据上风,因为他们将更好地管理法规要求和风险。这将使他们更可靠、更安全,帮助他们吸引那些优先考虑合规性和风险管理的客户和合作伙伴。
现在是 2024 年。仅仅通过将风险和合规性问题分类为高、中、低风险来应对这些问题的企业将被淘汰。这种方法阻碍了风险分析与业务决策的一致性。
这就是为什么企业正在从让一个人或一个团队负责转变为采用协作文化,让所有部门共同承担责任。
这些责任通常从上到下,遍及整个组织,确保每个人都为管理风险和保持合规性做出贡献。
在与大约 50 家组织交谈后,我发现了以下 GRC 责任的总体分配:
- 董事会:监督和批准政策和战略决策。
- 首席执行官:确保 GRC 工作有充足的资源,并提供领导。
- 首席风险官:领导风险管理并向董事会报告风险。
- 首席合规官:监督合规性、培训和沟通。
- 首席信息安全官 (CISO):管理整体安全策略,并确保将安全措施纳入 GRC 框架。这包括监督物理安全、网络安全和事件响应。
- 首席信息官/首席技术官:管理技术风险、合规性和安全性。
- 首席财务官:处理财务合规性和风险管理。
- 法务:确保遵守法律要求并管理法律风险。
- 人力资源 (HR):实施与人力资源相关的 GRC 政策。
- IT:保护数据并执行 IT 政策和控制。
- 部门主管:管理其领域内的 GRC 流程并识别特定风险。
- 内部审计:提供独立的评估和建议。
- 员工:遵守政策并报告观察到的风险。
- 跨职能团队:结合来自各个部门的专业知识,开展特定的 GRC 计划。
虽然 GRC 职责分散在整个组织中,但 C 级高管负有具体的责任。CISO 负责监督安全策略并将其整合到 GRC 中,而 CEO 则负责制定战略并使 GRC 与公司目标保持一致。
在寻找最佳工具和技术的过程中,许多企业最终选择了多个程序。
然而,研究表明,使用标准化系统而非多种工具可以使流程更顺畅,提高效率并避免集成问题。根据 MetricStream 2021 年合规状况报告,44% 的公司 由于采取了多项举措,在合规评估和控制测试方面遇到了困难。在 Thomson Reuters 的风险与合规调查中,49% 的专业人士 同意,拥有一个标准化框架可以降低复杂性和成本。
GRC 计划的成功取决于基于如下路线图的整体策略,而不仅仅是选择和部署工具。
每个组织都应使其 GRC 要求与其使命、愿景和目标保持一致。正如 ISACA 伦敦分会董事会副主席 Ameet Jugnauth 所说:
“要建立 GRC,请了解您的业务和环境(内部和外部),评估您的风险偏好并符合政府的期望。”
要设定明确的 GRC 要求,请问:
- 我们的核心业务目标是什么?它们如何塑造我们的 GRC 需求?
- 哪些内部和外部因素会影响我们的合规性和风险管理?
- 我们的风险偏好如何与我们的 GRC 政策和程序相匹配?
- 我们必须遵守哪些法规或行业标准?
- 我们环境中的关键风险是什么?我们应该如何管理这些风险?
- 我们如何衡量 GRC 的有效性并进行改进?
选择合适的 GRC 技术至关重要,但这可能既耗时又昂贵。
首先确定哪些技术可以帮助您实现业务目标。确定需要自动化的任务或存在安全和合规性差距的领域始终是值得的。
我将在下一节详细讨论如何为您的企业选择合适的 GRC 软件。现在,让我们继续讨论路线图的步骤。
选择软件后,下一步是将其与现有政策和流程集成。大多数 GRC 软件提供商都提供咨询和演示,以支持顺利集成。为了使流程更加简单,您可以聘请技术人员或工程师来协助设置和实施。
实施后,分配内部角色和职责,以帮助确保有效使用软件。使用定义的指标持续监控 GRC 系统的性能。定期评估风险、更新控制措施并调整政策,以始终符合不断变化的法规和行业标准。
我在 Google 搜索中输入了“GRC 解决方案或软件”,实际上每个结果都是声称具有卓越功能的不同软件。
但是,我可以向您保证,几乎没有一个软件可以帮助您的组织维护 GRC。
为什么?因为并非所有 GRC 工具都旨在满足您的组织需求。每个工具都有不同的目标受众。
例如,专为医疗保健行业量身定制的 GRC 工具非常注重 HIPAA 合规性,提供患者数据加密等功能。同时,针对金融服务的解决方案可能会优先考虑 SOX 合规性,强调审计跟踪和财务报告。
如果您在没有事先研究的情况下集成该软件,则可能会损害组织的合规性。您最终可能会得到与您的特定监管要求不符的功能,从而导致效率低下和潜在的合规性差距。
这就是为什么在选择合规性服务提供商以进行有效的风险管理和合规性时必须格外小心。以下是为您的组织选择合适的 GRC 软件时需要考虑的因素。
深入研究该工具的复杂性,并分析它是否适合您公司的规模、行业和运营。
如果您的组织属于医疗保健行业,则需要复杂的工具来实现合规性。另一方面,规模较小的零售企业则需要更简单的工具。
根据复杂性缩小列表范围后,请选择本地解决方案或云解决方案。本地解决方案在您自己的服务器和硬件上运行 GRC 系统。
云解决方案由第三方提供商托管,并通过互联网访问。它们提供了灵活性和可扩展性,前期成本较低,但需要支付持续的订阅费。
如果您来自金融行业,本地安全解决方案 是更好的选择。这使您可以完全控制敏感的财务数据,这对于满足严格的安全法规至关重要。
对于初创公司来说,像 AccuKnox 这样的云解决方案通常更好。它们有助于节省昂贵的硬件和 IT 人员成本。初创公司可以随着业务增长快速扩展其服务,只需为他们需要的付费。
寻找具有成熟 GRC 专业知识的供应商。检查他们的行业重点和客户成功案例。如果他们帮助过类似的公司,则表明他们可以为您提供帮助。
尽早让来自不同部门的关键用户参与进来。强调节省时间和降低风险等好处。例如,展示 IT 和 HR 如何使用强大的 GRC 工具更有效地协作。
拥有一个 GRC 平台是必要的,但这并不容易。要达到 100% 符合要求可能需要数年时间,尤其是当您手动执行每个合规性检查时。这不仅耗时,而且手动操作还可能导致潜在错误。它还可能产生不完整的结果,因为手动方法会导致许多组织只审查一小部分活动,从而忽略了一些风险。
因此,我一直说:尽可能地自动化流程。