ゼファーネットのロゴ

GRC とサイバーセキュリティは連携する必要があります

日付:

ガバナンス、リスク、コンプライアンス (GRC) は企業内で必要な機能ですが、企業はそれらを異なる方法で構造化し、実行する傾向があります。 たとえば、一部の企業では、GRC は XNUMX つの独立したサイロ化された機能として運営されています。 他の企業には、GRC 認定の専門家ではないにしても、GRC の専門家を含む GRC 機能があります。 

GRC が統合された組織として機能する場合でも、サイバー セキュリティ (別のリスク機能) は個別に機能する傾向があります。 その理由の XNUMX つは、GRC の機能がビジネス機能と見なされるのに対して、サイバー セキュリティは IT (テクノロジー指向) の機能と見なされるためです。 ただし、サイバー セキュリティ インシデントが示すように、リスクのフォールアウトの範囲は、複数の機能に同時に影響を与える傾向があります。

ガバナンス

ガバナンスは多くの場合、データ ガバナンスと同義だと考えられていますが、コーポレート ガバナンスにはより高いレベルの責任があります。 コーポレート ガバナンスは、さまざまな利害関係者の利益のバランスをとり、とりわけ、フレームワーク、ルール、慣行、プロセス、パフォーマンス測定を通じて、企業が戦略的目標を実現するのに役立ちます。 

データ中心のコンテキストでは、ガバナンスは、承認された関係者のみが使用したいデータにアクセスできるようにするのに役立ちます。 データの使用は法律や規制によっても管理されるため、データ ガバナンス ルールはコンプライアンスよりも優先されます。

リスク

従来のリスク機能は、財務リスクに重点を置いてきました。 通常、この機能は CFO に報告されていない場合でも、密接に連携してきました。 財務リスクには、ベンダー リスク、事業継続リスク、補償 (保険) など、いくつかの形態があります。  

従来のリスク管理は、特にイノベーションの障害と見なされる場合、他のグループと対立する場合があります。 したがって、組織のリスク許容度が何であるかを判断し、その範囲内で革新することが重要です。 たとえば、Amazon は、収益、株価、評判に対する重大なリスクを喜んで引き受けたため、目覚ましい成功と失敗を繰り返してきました。

コンプライアンス

コンプライアンスは、法律および規制のコンプライアンスに焦点を当てています。 この機能は、組織が遵守しなければならない外部ルールを理解し、それらのルールをコンプライアンスを確実にする慣行とプロセスに変換する必要があります。

コンプライアンスは、内部監査、およびクライアントの企業が準拠しているかどうかを検証するコンサルティング会社である可能性のある第三者による監査の対象となります。 あるいは、規制監査人が同じことをしている可能性があります。 企業は政府の監査人が問題を発見することを最も望んでいないため、さまざまな監査は相互に排他的な取り組みではない傾向があります。 そうなった場合、その会社は規制上の罰金の対象となる可能性が高く、公開会社の場合は、問題を株主に開示する必要があります。 違反が顧客にも損害を与えた場合 (たとえば、PII の悪用)、訴訟が発生する可能性もあります。

現在、コンプライアンスは、ガバナンスと同様に、EU の一般データ保護規則 (GDPR) とカリフォルニア州消費者プライバシー法 (CCPA) を考慮して、データと強く関連しています。 ただし、コンプライアンス関数はより広範です。 

エンタープライズリスク管理

エンタープライズ リスク管理 (ERM) は、GRC とサイバー セキュリティを組み合わせたものです。 実際、現在、さまざまなリスク部門間のコラボレーションを促進するのに役立つ ERM ツールがあります。 ツールは、機能全体の可視性も提供します。 人々の観点からは、ガバナンス、リスク、コンプライアンス、サイバーセキュリティの専門家で構成されるエンタープライズリスクチームまたは委員会が存在する可能性があります。

エンタープライズ リスク管理が拡大している理由は、リスクの範囲が特定のリスク機能に限定されない傾向があるためです。 たとえば、サプライ チェーンの問題は、財務およびサイバー セキュリティに影響を及ぼす可能性があります。 

デジタル トランスフォーメーションは、エンタープライズ リスク管理への関心も高まっています。これは、デジタル企業はアナログ企業よりもはるかに速いスピードで運営されているため、リスクをより積極的かつリアルタイムに管理する必要があることを意味します。

エンタープライズ リスク管理は、リスクを定量化するための従来の異種アプローチを正常化するのにも役立ちます。 従来の設定では、さまざまなリスク機能が個別に機能するため、データを共有する理由はありません。 それぞれがリスクの測定に異なる尺度を使用する場合があります。 また、リスクの受け入れと軽減のために、さまざまなワークフローとメカニズムが導入されている場合もあります。 その結果、同様のリスクがモデル化され、異なる方法で評価される可能性があります。 また、さまざまなリスク機能が互いに情報を共有していないため、共通のデータ モデルはありません。 

エンタープライズ リスク管理は、機能のサイロ化によって生じる従来の摩擦を取り除き、組織がリスクをより効果的に管理できるようにします。 ポイントインタイム評価は、リスクをより迅速かつ効果的に特定して軽減するのに役立つデータ駆動型システムに置き換えられます。

ただし、エンタープライズ リスク管理を実現するのはツールだけではありません。 他の変革プロセスと同様に、さまざまな利害関係者を含む変更管理プロセスが必要です。

コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典: https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite

スポット画像

最新のインテリジェンス

スポット画像