治理、風險、合規性和安全性:合在一起還是分開?
組織業務的關聯性要求對于面臨風險采取全面的方法。當組織的治理、風險、合規性(GRC)和安全功能被孤立時,很難有效地處理其可能損害企業、客戶和合作伙伴的總體范圍和潛在的連鎖效應。隨著業務步伐的加快和運營變得越來越數字化,越來越多的組織正在組建企業風險管理(ERM)小組或委員會。毫不奇怪,新的平臺有助于推動這一轉變。
調研機構Forrester Research公司分析師Alla Valente說:“數字化轉型需要所有這些功能之間的緊密協調。我們看到了企業風險管理職能的增長,他們正在承擔運營風險、財務風險、合規性風驗,以及業務連續性的責任。”
為什么將各種風險職能分散化
組織的結構往往根據其經營所在的行業、規模和經營理念而有所不同。在過去的幾十年中,許多組織都增加了其高級主管的職位,其中包括首席安全官(CSO)、首席信息安全官(CISO)、首席隱私官(CPO)、首席風險官(CRO)的某種組合。
這些高管的報告對象也各不相同。例如,首席隱私官(CPO)可以向首席法律官(CLO)或首席安全官(CSO)和首席信息安全官(CISO)報告。首席安全官(CSO)和首席信息安全官(CISO)可以向首席信息官(CIO)、首席營銷官(COO)或首席執行官(CEO)報告。
專業服務機構畢馬威(KPMG)公司內部審計與企業風險合伙人Kreg Weigand表示:“許多這樣的職位是根據企業的組織結構設立的。這方面的問題是業務一直在發生變化。”
許多應對風險的職能機構是為了應對2008年金融危機等重大事件或薩班斯-奧克斯利法案(SOX)或GDPR等法規而設立的。同樣,計算機、網絡和網絡安全也是技術性威脅的結果。現在,沒有建立企業風險管理小組或委員會的公司正感受到技術孤立的影響。具體來說,當各部門面臨風險時,每個風險相關職能部門都在使用自己的合規性(GRC)系統。例如,當黑客竊取數據時,安全團隊可能不是唯一受到影響的團隊,其他團隊還可能包括合規、治理、法律和傳統風險管理(財務風險)。
全球審計機構普華永道網絡安全和隱私負責人Joe Nocera表示:“合規性、隱私和安全之間的關系非常明確,有時存在一個基本的假設,即某個特定領域正在被其他領域覆蓋,有時我們會發現事情正在不斷發展,傾向于使用不同的風險度量標準,并且傾向于使用不同的工作流和機制進行風險接受和緩解活動。”
為什么企業風險管理至關重要
很多組織組建了企業風險管理小組或委員會,以便他們可以全面地管理風險。盡管很多組織傾向于設置一個負責監督組織風險的委員會,但對于高管而言,最有效的措施是“監督”,而其他人執行。當跨風險相關職能之間存在一層連續性和協作性時,監督和執行會更加有效。企業風險管理小組或委員會將補充由專業團隊進行的風險管理,他們的觀點也使董事會委員會受益。
畢馬威公司的Weigand說,“當我們與企業董事會成員進行溝通時,他們會問,‘為什么當合規部門進行網絡談話、內部審計和風險管理時都有不同的最高風險?為什么不一起協調以確保董事會成員收到報告?’我知道組織真正面臨的風險是什么,而不僅僅是在孤島內,而且需要仔細了解這個問題。”
從幾種特定于功能的治理、風險和合規性(GRC)系統到通用系統的技術整合也反映了企業風險管理的趨勢。實際上,在過去的兩年中,調研機構Gartner公司一直在預測合規性(GRC)系統即將消亡,而傾向于集成風險管理(IRM)系統。
但是,集成風險管理(IRM)系統不是企業風險管理策略。企業風險管理策略考慮人員、流程和技術。
InfoTech研究集團首席研究顧問Christine Coz表示:“即使在IT領域,也存在項目風險、開發風險、與審計和合規相關的風險,但這些風險并沒有得到全面的處理。關鍵是在這些對話中,組織高管需要為此提供支持,其目標是作為組織董事會的一部分,從監督的角度確保對控制措施的管理到位,風險接受度符合組織的容忍度,而且在組織中的風險容忍度和接受度都是一致的。”
所有事物的數字化都需要企業風險管理(ERM),這不僅是因為數字業務比模擬業務快得多,而且因為風險管理是一個品牌問題。
Forrester公司的Valente說,“在競爭激烈的行業中,企業的每種產品和服務都可能改變,例如汽車保險、抵押貸款、電信運營商,甚至食品。在企業沒有保護用戶數據的那一刻,就可能侵犯了用戶的隱私,所有這些事情都可能出錯,現在突然之間,風險管理變得與眾不同。”
人工智能和機器學習將有所幫助
通過包括人工智能、機器學習和機器人流程自動化(RPA)在內的智能技術可以增強企業風險管理(ERM)的各個方面。目前,合規性(GRC)系統和集成風險管理(IRM)系統之間的比較大的區別在于分代。根據Gartner公司的說法,合規性(GRC)系統具有過去的特征(例如,封閉且針對技術受眾),而集成風險管理(IRM)系統具有現代的特征(開放且針對企業領導者)。
畢馬威公司網絡安全服務負責人Rik Parker表示:“我們已經有了持續的監控控制措施,現在正在監控環境采用重要工具監控風險。我認為在未來三年中,將會有更多的機器學習和人工智能幫助人們使用機器人流程來識別和警告風險和風險閾值,并幫助實現某些決策的自動化。它將具有基于決策、基于性能、基于環境中發生的關鍵事件的信息,在這種環境中發送的警報可以變得更加智能,并有助于發現問題。”
結語
現代的商業模式需要一種更加全面的方法來管理不斷擴大的范圍和更快的風險影響。如今,除了專業的安全和合規性(GRC)職能外,組織還需要一個跨職能的企業風險管理(ERM)小組或委員會,以更有效地評估、識別、監控和管理風險。新一代的合規性(GRC)系統將越來越自動化和智能化,從而促進和優化這些不斷發展的風險管理能力。
