栏目管理

新闻中心

南昌GRC,南昌EPS线条,南昌花瓶柱,南昌窗套

时间: 2019-02-17 08:56:09来源: 南昌百分信构件有限公司

分享到:

健全的治理,风险和合规(GRC)策略比你想象的更有价值(且更难练就)。下面来看看如何避免迫在眉睫的灾难。

治理,风险和合规(GRC)——正是这些字眼使员工和层怨声载道。他们想起了不断增大的电子表格和无休止的会议,其中包括KRI和KPI这样的首字母缩略语。人们往往认为GRC方面的演练是在浪费时间,或认为这是财务官和内部审计的事儿。

但情况并非如此。由于监管义务和对违规行为的处罚不断增加,信息官和IT在组织内推行有效的风险管理、合规性和治理。这些工作所涉及的领域与IT(例如,法律和金融)是分开的,但它们对GRC计划的有效性而言至关重要。

独立的GRC计划或没有GRC计划的时代已经一去不返。IT和业务的GRC整合到一起。否则会增加巨大的风险和不的不确定性。由于国内(《医疗保险可携性和责任法案》、《支付卡行业法案》、《家庭教育权利和隐私权法》)和国外(《通用数据保护条例》)的棘手的监管环境、人们对客户数据隐私的期望、XX即服务平台所带来的风险、网络威胁和不断变化的市场,实施公认且的GRC计划不仅能对运营表现出应有的关注,而且是降低成本、提高盈利能力和避免违反市场监管制度的主要手段。

CrowdStrike的副总裁David McKeough说:“我发现,GRC有两大缺点,即组织没有在战略上保持一致,以及没有对合规性和的风险管理给予足够的关注。”

实施了适当的GRC规定的组织是具有总体战略计划的组织,这些组织能指导行政决策。项目和计划根据业务驱动目标进行衡量和评估,风险可以得到管理和衡量,并且合规性方面的负担是已知的,而且得到了传达。

努力创建治理、风险管理和合规性策略的组织要面对10个常见陷阱,兹举例如下:

组织缺乏成熟度

组织缺乏成熟度,这扼杀了很多GRC计划。如果贵组织甚至缺乏程序、项目、资产或变革管理方面的基础知识,你就不知道自己拥有哪些资产(硬件、软件和数据),这使建立有效的GRC计划变得其困难。

这种情况是不是似曾相识?在每年召开四次的力简报会议中,你听说组织要收购几家新公司,这些公司需要大量的基础设施并且做大量的系统集成工作。顺便说一句,这笔资金直接来自IT部门的预算。

或者,更常见的情况是,IT资源不断地遭遇危机,一直处于被动状态。项目工作不是作为主业来完成的,因为IT争先恐后地包揽新的“关键”项目,这些项目对过去实施的倡议置之不理。

组织缺乏成熟度的另一个方面表现在数据实践上。是的,你也许已经认识到,数据已成为贵公司所拥有的有价值的资产之一,但如果你不知道关键数据在哪里,你又如何获得这些数据呢?

创办Data Blueprint的董事兼所有者Peter Aiken说:“如果公司不知道自身拥有什么数据,不知道数据在哪里,也不知道知识工作者在做什么,这是一个根本问题。”

建议:要提高组织成熟度,企业文化为此提供支持。关键的管理人员支持部门的问责制和透明度。不接受这种变化的利益相关者、经理和员工对新的现实情况负责。

技术和业务孤岛

IT和业务协调一致才能使GRC运作。不幸的是,对很多组织而言,情况并非如此,由于关键的软件或基础设施的实施突然减少了,但突然间要马上实施。或者计划的预算和资源分配搞砸了。或者业务似乎无法与IT沟通。

当企业层引入IT仓促实施的新目标时,业务、IT和合规性部门之间几乎没有讨论运营风险的余地。

建议:建立委员会和沟通渠道,一手抓行政,一手抓技术,行政和技术有共通的地方,以此来确保可靠性。

缺乏一致的标准、政策和程序

也许你的关键知识产权(IP)由不同的员工存储在消费级云存储中。难道公司的政策没有提到这种做法是禁止的吗?你会感到很惊讶,没有一条政策提到这一点。或者,你所并购的新组织依然没有实施适当的政策,甚至连旧政策都没有。此外,用户在这方面往往没有得到任何训练——企业政策以及其如何影响工作流程,这种情况很普遍,超乎你的想象。更别提政策往往存在于整个企业的多个文件共享和SharePoint中了,这使得这些政策很难得到遵循,因此需要人们对此负责。就GRC而言,缺乏集中化,明晰性和问责制都会带来重大风险。

建议:策略简明扼要、集中化,得到沟通,并且使所有员工都可以轻松使用。文件本身简单,简洁,易于理解。企业员工也接受这方面的培训。

没有公认的风险定义

风险对企业意味着什么?奇怪的是,这样的定义很难达成一致。通常,只有对企业的适用性未经评估的经济风险或一般风险才会报告给董事会。如果贵组织内部存在不同的风险评分方法,则会使向董事会准确报告风险变得更加困难。

建议:确保所有业务职能在风险定义上达成一致。此外,企业实施风险管理计划,该计划包扩向董事会汇报的所有风险(IT和业务方面的)。

依赖无所不能的技术

企业可以使用很多GRC工具,从简单的电子表格到价值数百万美元的企业系统。但是,如果你没有健全的GRC框架,那么任何技术都无法为你管理风险。

建议:不要动不动就投资昂贵的工具。首先确立你的GRC计划并将其标准化,然后确定哪些工具符合需求。仔细考虑一下,如何使用业已实现的工具来满足环境需求。

监管方面的混乱

你真的知道哪些监管框架会对企业产生影响吗?例如,如果数据泄露事件更严格,你所在的州及其所实行的隐私法将凌驾于《医疗保险可携性和责任法案(HIPAA)》的指导原则。《多德—弗兰克》又怎么样?你是否受到《萨班斯—奥克斯利法案》、《支付卡行业数据标准(PCI-DSS)》、《医疗保险可携性和责任法案(HIPAA)》,《通用数据保护条例(GDPR)》或其它法规的保护?组织往往无法理解其赖以经验的监管环境。

建议:法务部门和合规性部门共同对监管流程负责并记录监管流程,同时与IT和业务部门建立明确的沟通渠道。

缺乏终的问责制

总该有人负责。那么谁负责GRC呢?首先高层发声。行政层对GRC负责并支持的GRC计划。在这里,对GRC的问责下放到各个地方,比如应用程序所有权、数据所有权,问题升级时向上提出诉求的途径。

建议:要使GRC倡议蓬勃发展,高管向大家表达支持。这不是一次性声明。GRC计划在高管那里得到持续推动,董事级别的人员负有终责任。从财务官那里做起,这是一个很好的出发点。

复杂性超出承受范围

左一个投资组合管理工具,右一个监管工具,另外还有电子表格和仪表盘,很快你就会被相互冲突的信息所淹没。将数百个GRC数据点规范为一个系统得花很多时间。是时候简化一下了。

建议:如果你的企业的GRC计划充斥着仪表盘和工具,是时候简化一下了。与你的GRC团队密切合作,为工作选择佳工具,然后努力减少系统臃肿。让你的业务需求推动技术投资并完成路线图所规定的工作。

缺乏计划和项目投资管理

当项目或计划在的投资没有得到理解的情况下就启动时,GRC计划就很难实施。什么样的倡议得到了批准?你知道所有职能所达到的成熟度吗?

建议:董事会要参与进来,并进行主动的管理,这对于获得支持GRC工作的资金所需的可见性至关重要。这使你可以就的投资组合和投资管理策略达成共识。

没有衡量成功的可行指标

那么你怎么知道GRC计划是否按预期那样发挥作用呢?该计划是否是降低了风险,是否达到了合规目标,是否达到了计划举措的目的?这时关键绩效指标(KPI)、关键业务问题(KBQ)和关键风险指标(KRI)就登场了。

建议:使用SMART原则(具体的,可衡量的,可实现的,具有的相关性和明确的截止期限)列出五个或十个重要的业务流程(KPI或KBQ)。确保这些流程符合业务价值并让关键决策者对此做出确认。为这些过程分配可衡量的KRI。从现在开始以编程的方式监视和跟踪数据质量。

keyword:南昌GRC

在线客服
返回顶部