Governance, Risk e Compliance (GRC) sono funzioni necessarie all'interno delle imprese, ma le aziende tendono a strutturarle e gestirle in modo diverso. Ad esempio, in alcune aziende, GRC opera come tre funzioni separate in silos. Altre aziende hanno una funzione GRC che include specialisti GRC se non professionisti certificati GRC.
Anche quando GRC opera come un'organizzazione combinata, la sicurezza informatica, un'altra funzione di rischio, tende a operare separatamente. Uno dei motivi è che le funzioni GRC sono viste come funzioni aziendali mentre la sicurezza informatica è vista più come una funzione IT (orientata alla tecnologia). Tuttavia, come dimostra qualsiasi incidente di sicurezza informatica, la portata della ricaduta del rischio tende a colpire più di una funzione contemporaneamente.
Governance LPI
La governance è spesso considerata sinonimo di governance dei dati, ma la governance aziendale ha una responsabilità di livello superiore. La corporate governance bilancia gli interessi dei vari stakeholder e aiuta l'azienda a realizzare i suoi obiettivi strategici attraverso quadri, regole, pratiche, processi e misurazione delle prestazioni, tra le altre cose.
In un contesto incentrato sui dati, la governance aiuta a garantire che solo le parti autorizzate abbiano accesso ai dati che desiderano utilizzare. Le regole di governance dei dati eclissano la conformità perché anche l'uso dei dati è disciplinato da leggi e regolamenti.
Rischio
Le funzioni di rischio tradizionali si sono concentrate sui rischi finanziari. In genere, questa funzione ha lavorato a stretto contatto, se non segnalata, al CFO. I rischi finanziari assumono diverse forme, inclusi i rischi del fornitore, i rischi di continuità operativa e l'indennizzo (assicurazione).
La gestione del rischio tradizionale a volte può essere in contrasto con altri gruppi, in particolare quando è vista come un ostacolo all'innovazione. È quindi importante determinare quale sia la propensione al rischio di un'organizzazione e innovare nell'ambito di essa. Ad esempio, Amazon ha avuto alcuni successi e fallimenti spettacolari perché era disposta ad assumersi rischi significativi per i suoi profitti, il prezzo delle azioni e la reputazione.
Conformità
La conformità si concentra sulla conformità legale e normativa. Questa funzione deve comprendere a quali regole esterne l'organizzazione deve attenersi e tradurre tali regole in pratiche e processi che garantiscano la conformità.
La conformità è soggetta a verifiche interne e da parte di terzi che possono essere società di consulenza che verificano se le aziende dei loro clienti sono conformi. In alternativa, un revisore legale può fare lo stesso. I vari audit tendono a non essere impegni che si escludono a vicenda poiché l'ultima cosa che un'azienda desidera è che un revisore dei conti del governo scopra un problema. Se ciò accade, la società sarà probabilmente soggetta a sanzioni regolamentari e, se si tratta di una società pubblica, dovrà rivelare la questione agli azionisti. Se la violazione ha danneggiato anche i clienti (ad es. uso improprio delle PII), potrebbero verificarsi anche azioni legali.
Modernamente, la conformità, come la governance, è stata fortemente associata ai dati in base al Regolamento generale sulla protezione dei dati (GDPR) dell'UE e al California Consumer Privacy Act (CCPA). Tuttavia, la funzione di conformità è più ampia.
Gestione del rischio di impresa
La gestione del rischio aziendale (ERM) combina GRC e sicurezza informatica. In effetti, ora esistono strumenti ERM che aiutano a facilitare la collaborazione tra le varie funzioni di rischio. Gli strumenti forniscono anche visibilità tra le funzioni. Dal punto di vista delle persone, potrebbe esserci un team o un comitato di rischio aziendale composto da professionisti della governance, del rischio, della conformità e della sicurezza informatica.
La ragione per cui la gestione del rischio d'impresa sta crescendo è perché l'ambito di qualsiasi rischio tende a non rimanere limitato a una particolare funzione di rischio. Ad esempio, un problema della catena di approvvigionamento potrebbe avere conseguenze finanziarie e di sicurezza informatica.
La trasformazione digitale sta anche suscitando interesse nella gestione del rischio aziendale perché le aziende digitali operano a una velocità molto più elevata rispetto alle loro controparti analogiche, il che significa che i rischi devono essere gestiti in modo più proattivo e in tempo reale.
La gestione del rischio aziendale aiuta anche a normalizzare gli approcci tradizionalmente disparati alla quantificazione dei rischi. In un ambiente tradizionale, le varie funzioni di rischio operano separatamente, quindi non c'è motivo di condividere i dati. Ciascuno può utilizzare una scala diversa per misurare i rischi. Possono anche disporre di flussi di lavoro e meccanismi diversi per l'accettazione e la mitigazione dei rischi. Il risultato è che rischi simili possono essere modellati e valutati in modo diverso. E, poiché le varie funzioni di rischio non condividono le informazioni tra loro, non esiste un modello di dati comune.
La gestione del rischio aziendale aiuta a rimuovere il tradizionale attrito creato dalle funzioni in silos in modo che l'organizzazione possa gestire i rischi in modo più efficace. Le valutazioni point-in-time vengono sostituite da sistemi basati sui dati che aiutano a identificare e mitigare i rischi in modo più rapido ed efficace.
Tuttavia, realizzare la gestione del rischio aziendale non riguarda solo gli strumenti. Richiede un processo di gestione del cambiamento che includa i vari stakeholder come qualsiasi altro processo di trasformazione.
Coinsmart. La migliore borsa Bitcoin in Europa
Fonte: https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite
