十大GRC错误——以及如何避免这些错误

百家 作者:企业网D1net 2018-09-20 07:30:03

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!





由于监管义务和对违规行为的处罚不断增加,首席信息官和IT领导者必须在组织内推行有效的风险管理、合规性和治理。这些工作所涉及的领域与IT(例如,法律和金融)是分开的,但它们对GRC计划的有效性而言至关重要。


健全的治理,风险和合规(GRC)策略比你想象的更有价值(且更难练就)。下面来看看如何避免迫在眉睫的灾难。


治理,风险和合规(GRC)——正是这些字眼使员工和领导层怨声载道。他们想起了不断增大的电子表格和无休止的会议,其中包括KRI和KPI这样的首字母缩略语。人们往往认为GRC方面的演练是在浪费时间,或认为这是首席财务官和内部审计的事儿。


但情况并非如此。由于监管义务和对违规行为的处罚不断增加,首席信息官和IT领导者必须在组织内推行有效的风险管理、合规性和治理。这些工作所涉及的领域与IT(例如,法律和金融)是分开的,但它们对GRC计划的有效性而言至关重要。


独立的GRC计划或没有GRC计划的时代已经一去不返。IT和业务的GRC必须整合到一起。否则会增加巨大的风险和不必要的不确定性。由于国内(《医疗保险可携性和责任法案》、《支付卡行业法案》、《家庭教育权利和隐私权法》)和国外(《通用数据保护条例》)的棘手的监管环境、人们对客户数据隐私的期望、XX即服务平台所带来的风险、网络安全威胁和不断变化的全球市场,实施公认且高效的GRC计划不仅能对运营表现出应有的关注,而且是降低成本、提高盈利能力和避免违反国际市场监管制度的主要手段。


CrowdStrike的副总裁David McKeough说:“我发现,GRC有两大缺点,即组织没有在战略上保持一致,以及没有对合规性和高效的风险管理给予足够的关注。”


实施了适当的GRC规定的组织是具有总体战略计划的组织,这些组织能指导行政决策。项目和计划根据业务驱动目标进行衡量和评估,风险可以得到管理和衡量,并且合规性方面的负担是已知的,而且得到了传达。


努力创建高效治理、风险管理和合规性策略的组织要面对10个常见陷阱,兹举例如下:


组织缺乏成熟度


组织缺乏成熟度,这扼杀了很多GRC计划。如果贵组织甚至缺乏程序、项目、资产或变革管理方面的基础知识,你就不知道自己拥有哪些资产(硬件、软件和数据),这使建立有效的GRC计划变得极其困难。


这种情况是不是似曾相识?在每年召开四次的领导力简报会议中,你听说组织要收购几家新公司,这些公司需要大量的基础设施并且做大量的系统集成工作。顺便说一句,这笔资金直接来自IT部门的预算。


或者,更常见的情况是,IT资源不断地遭遇危机,一直处于被动状态。项目工作不是作为主业来完成的,因为IT领导争先恐后地包揽最新的“关键”项目,这些项目对过去必须实施的倡议完全置之不理。


组织缺乏成熟度的另一个方面表现在数据实践上。是的,你也许已经认识到,数据已成为贵公司所拥有的最有价值的资产之一,但如果你不知道关键数据在哪里,你又如何获得这些数据呢?


创办Data Blueprint的董事兼所有者Peter Aiken说:“如果公司不知道自身拥有什么数据,不知道数据在哪里,也不知道知识工作者在做什么,这是一个根本问题。”


建议:要提高组织成熟度,企业文化必须为此提供支持。关键的管理人员必须支持部门的问责制和透明度。不接受这种变化的利益相关者、经理和员工必须对新的现实情况负责。


技术和业务孤岛


IT和业务必须协调一致才能使GRC高效运作。不幸的是,对很多组织而言,情况并非如此,由于关键的软件或基础设施的实施突然减少了,但突然间要马上实施。或者计划的预算和资源分配完全搞砸了。或者业务似乎永远无法与IT沟通。


当企业领导层引入IT必须仓促实施的新目标时,业务、IT和合规性部门之间几乎没有讨论运营风险的余地。


建议:建立委员会和沟通渠道,一手抓行政,一手抓技术,行政和技术有共通的地方,以此来确保可靠性。


缺乏一致的标准、政策和程序


也许你的关键知识产权(IP)由不同的员工存储在消费级云存储中。难道公司的政策没有提到这种做法是禁止的吗?你会感到很惊讶,没有一条政策提到这一点。或者,你所并购的新组织依然没有实施适当的政策,甚至连旧政策都没有。此外,用户在这方面往往没有得到任何训练——企业政策以及其如何影响工作流程,这种情况很普遍,超乎你的想象。更别提政策往往存在于整个企业的多个文件共享和SharePoint中了,这使得这些政策很难得到遵循,因此需要人们对此负责。就GRC而言,缺乏集中化,明晰性和问责制都会带来重大风险。


建议:策略必须简明扼要、集中化,得到沟通,并且使所有员工都可以轻松使用。文件本身必须简单,简洁,易于理解。企业员工也必须接受这方面的培训。


没有公认的风险定义


风险对企业意味着什么?奇怪的是,这样的定义很难达成一致。通常,只有对企业的适用性未经评估的经济风险或一般风险才会报告给董事会。如果贵组织内部存在不同的风险评分方法,则会使向董事会准确报告风险变得更加困难。


建议:确保所有业务职能在风险定义上达成一致。此外,企业必须实施风险管理计划,该计划包扩向董事会汇报的所有风险(IT和业务方面的)。


依赖无所不能的技术


企业可以使用很多GRC工具,从简单的电子表格到价值数百万美元的企业系统。但是,如果你没有健全的GRC框架,那么任何技术都无法为你管理风险。


建议:不要动不动就投资昂贵的工具。首先确立你的GRC计划并将其标准化,然后确定哪些工具符合需求。仔细考虑一下,如何使用业已实现的工具来满足环境需求。


监管方面的混乱


你真的知道哪些监管框架会对企业产生影响吗?例如,如果数据泄露事件更严格,你所在的州及其所实行的隐私法将凌驾于《医疗保险可携性和责任法案(HIPAA)》的指导原则。《多德—弗兰克》又怎么样?你是否受到《萨班斯—奥克斯利法案》、《支付卡行业数据安全标准(PCI-DSS)》、《医疗保险可携性和责任法案(HIPAA)》,《通用数据保护条例(GDPR)》或其它法规的保护?组织往往无法完全理解其赖以经验的监管环境。


建议:法务部门和合规性部门必须共同对监管流程负责并记录监管流程,同时与IT和业务部门建立明确的沟通渠道。


缺乏最终的问责制


总该有人负责。那么谁负责GRC呢?首先高层必须发声。行政领导层必须对GRC负责并支持高效的GRC计划。在这里,对GRC的问责必须下放到各个地方,比如应用程序所有权、数据所有权,问题升级时向上提出诉求的途径。


建议:要使GRC倡议蓬勃发展,高管必须向大家表达支持。这不是一次性声明。GRC计划必须在高管那里得到持续推动,董事级别的人员负有最终责任。从首席财务官那里做起,这是一个很好的出发点。


复杂性超出承受范围


左一个投资组合管理工具,右一个监管工具,另外还有电子表格和仪表盘,很快你就会被相互冲突的信息所淹没。将数百个GRC数据点规范为一个系统得花很多时间。是时候简化一下了。


建议:如果你的企业的GRC计划充斥着仪表盘和工具,是时候简化一下了。与你的GRC团队密切合作,为工作选择最佳工具,然后努力减少系统臃肿。让你的业务需求推动技术投资并完成路线图所规定的工作。


缺乏计划和项目投资管理


当项目或计划在必要的投资没有得到理解的情况下就启动时,GRC计划就很难实施。什么样的倡议得到了批准?你知道所有职能所达到的成熟度吗?


建议:董事会要参与进来,并进行主动的管理,这对于获得支持GRC工作的资金所需的可见性至关重要。这使你可以就高效的投资组合和投资管理策略达成共识。


没有衡量成功的可行指标


那么你怎么知道GRC计划是否按预期那样发挥作用呢?该计划是否是降低了风险,是否达到了合规目标,是否达到了计划举措的目的?这时关键绩效指标(KPI)、关键业务问题(KBQ)和关键风险指标(KRI)就登场了。


建议:使用SMART原则(具体的,可衡量的,可实现的,具有一定的相关性和明确的截止期限)列出五个或十个最重要的业务流程(KPI或KBQ)。确保这些流程符合业务价值并让关键决策者对此做出确认。为这些过程分配可衡量的KRI。从现在开始以编程的方式监视和跟踪数据质量。


(来源:企业网D1Net)


如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿 投稿邮箱:editor@d1net.com



点击蓝色字体关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO, 企业通信 ,企业应用软件,网络数通,信息安全,服务器,存储,AI人工智能,物联网智慧城市等)的子公众号。

企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。
扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接