تعتبر الحوكمة والمخاطر والامتثال (GRC) من الوظائف الضرورية داخل المؤسسات ، لكن الشركات تميل إلى هيكلتها وإدارتها بشكل مختلف. على سبيل المثال ، في بعض الشركات ، يعمل مركز الخليج للأبحاث كثلاث وظائف منفصلة ومنفصلة. الشركات الأخرى لديها وظيفة مركز الخليج للأبحاث والتي تشمل متخصصين في مركز الخليج للأبحاث إن لم يكونوا محترفين معتمدين من مركز الخليج للأبحاث.
حتى عندما يعمل مركز الخليج للأبحاث كمنظمة مشتركة ، يميل الأمن السيبراني - وظيفة مخاطر أخرى - إلى العمل بشكل منفصل. أحد أسباب ذلك هو أنه يُنظر إلى وظائف مركز الخليج للأبحاث على أنها وظائف تجارية بينما يُنظر إلى الأمن السيبراني على أنه أكثر من وظيفة تكنولوجيا المعلومات (الموجهة نحو التكنولوجيا). ومع ذلك ، كما يتضح من أي حادث للأمن السيبراني ، فإن نطاق تداعيات المخاطر يميل إلى التأثير على أكثر من وظيفة واحدة في وقت واحد.
الحكم
غالبًا ما يُنظر إلى الحوكمة على أنها مرادف لحوكمة البيانات ، لكن حوكمة الشركات تتحمل مسؤولية عالية المستوى. تعمل حوكمة الشركات على موازنة مصالح مختلف أصحاب المصلحة وتساعد الشركة على تحقيق أهدافها الاستراتيجية من خلال الأطر والقواعد والممارسات والعمليات وقياس الأداء ، من بين أمور أخرى.
في سياق يركز على البيانات ، تساعد الحوكمة في ضمان وصول الأطراف المصرح لها فقط إلى البيانات التي يرغبون في استخدامها. قواعد حوكمة البيانات الامتثال الكسوف لأن استخدام البيانات تحكمه أيضًا القوانين واللوائح.
المخاطرة
ركزت وظائف المخاطر التقليدية على المخاطر المالية. عادة ، تعمل هذه الوظيفة بشكل وثيق مع المدير المالي ، إن لم يتم إبلاغه. تأخذ المخاطر المالية عدة أشكال بما في ذلك مخاطر البائعين ومخاطر استمرارية الأعمال والتعويض (التأمين).
قد تكون إدارة المخاطر التقليدية في بعض الأحيان على خلاف مع مجموعات أخرى ، لا سيما عندما يُنظر إليها على أنها عقبة أمام الابتكار. لذلك من المهم تحديد مدى قابلية المؤسسة للمخاطرة والابتكار في نطاقها. على سبيل المثال ، حققت أمازون بعض النجاحات والإخفاقات المذهلة لأنها كانت على استعداد لتحمل مخاطر كبيرة على أرباحها النهائية وسعر سهمها وسمعتها.
الامتثال
يركز الامتثال على الامتثال القانوني والتنظيمي. يجب أن تفهم هذه الوظيفة القواعد الخارجية التي يجب على المنظمة الالتزام بها وترجمتها إلى ممارسات وعمليات تضمن الامتثال.
يخضع الامتثال لعمليات التدقيق داخليًا ومن قِبل أطراف ثالثة قد تكون شركات استشارية تتحقق مما إذا كانت شركات عملائها متوافقة. بدلاً من ذلك ، قد يقوم المدقق التنظيمي بنفس الشيء. لا تميل عمليات التدقيق المختلفة إلى أن تكون تعهدات حصرية للطرفين لأن آخر شيء تريده الشركة هو أن يكتشف المدقق الحكومي مشكلة. إذا حدث ذلك ، فمن المحتمل أن تخضع الشركة لغرامات تنظيمية وإذا كانت شركة عامة ، فسيتعين عليها الكشف عن المشكلة للمساهمين. إذا كان الانتهاك قد أضر أيضًا بالعملاء (على سبيل المثال ، إساءة استخدام معلومات تحديد الهوية الشخصية) ، فقد ينتج عن ذلك أيضًا دعاوى قضائية.
في العصر الحديث ، ارتبط الامتثال ، مثل الحوكمة ، ارتباطًا وثيقًا بالبيانات نظرًا للائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي وقانون خصوصية المستهلك في كاليفورنيا (CCPA). ومع ذلك ، فإن وظيفة الامتثال أوسع.
إدارة مخاطر المؤسسة
تجمع إدارة مخاطر المؤسسات (ERM) بين مركز الخليج للأبحاث والأمن السيبراني. في الواقع ، توجد الآن أدوات إدارة المخاطر المؤسسية التي تساعد على تسهيل التعاون بين وظائف المخاطر المختلفة. توفر الأدوات أيضًا رؤية عبر الوظائف. من وجهة نظر الناس ، قد يكون هناك فريق أو لجنة معنية بالمخاطر المؤسسية تتألف من متخصصين في الحوكمة والمخاطر والامتثال والأمن السيبراني.
السبب في نمو إدارة مخاطر المؤسسة هو أن نطاق أي مخاطر لا يميل إلى البقاء محصوراً بوظيفة مخاطر معينة. على سبيل المثال ، يمكن أن يكون لقضية سلسلة التوريد تداعيات مالية وأمن إلكتروني.
يعمل التحول الرقمي أيضًا على إثارة الاهتمام بإدارة مخاطر المؤسسة لأن الشركات الرقمية تعمل بسرعة أكبر بكثير من نظيراتها التناظرية مما يعني أن المخاطر بحاجة إلى أن تُدار بشكل استباقي وفي الوقت الفعلي.
تساعد إدارة مخاطر المؤسسة أيضًا في تطبيع المناهج المتباينة تقليديًا لتقدير المخاطر. في الإعداد التقليدي ، تعمل وظائف المخاطر المختلفة بشكل منفصل لذلك لا يوجد سبب لمشاركة البيانات. قد يستخدم كل منها مقياسًا مختلفًا لقياس المخاطر. قد يكون لديهم أيضًا تدفقات عمل وآليات مختلفة في مكانها لقبول المخاطر والتخفيف من حدتها. والنتيجة هي أن مخاطر مماثلة يمكن أن تصاغ بشكل مختلف. ونظرًا لأن وظائف المخاطر المختلفة لا تشارك المعلومات مع بعضها البعض ، فلا يوجد نموذج بيانات مشترك.
تساعد إدارة مخاطر المؤسسة على إزالة الاحتكاك التقليدي الناتج عن الوظائف المنعزلة حتى تتمكن المؤسسة من إدارة المخاطر بشكل أكثر فعالية. يتم استبدال التقييمات في الوقت المناسب بأنظمة تعمل بالبيانات تساعد في تحديد المخاطر وتخفيفها بشكل أسرع وأكثر فعالية.
ومع ذلك ، فإن إدراك إدارة مخاطر المؤسسة لا يتعلق فقط بالأدوات. يتطلب عملية إدارة التغيير التي تشمل مختلف أصحاب المصلحة مثل أي عملية تحول أخرى.
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite
