Управление, риски и соблюдение нормативных требований (GRC) являются необходимыми функциями внутри предприятий, но предприятия имеют тенденцию структурировать и управлять ими по-другому. Например, в некоторых компаниях GRC работает как три отдельные разрозненные функции. У других компаний есть функция GRC, которая включает в себя специалистов по GRC, если не сертифицированных специалистов по GRC.
Даже когда GRC работает как объединенная организация, кибербезопасность - еще одна функция риска - имеет тенденцию действовать отдельно. Одна из причин этого заключается в том, что функции GRC рассматриваются как бизнес-функции, в то время как кибербезопасность рассматривается как функция ИТ (ориентированная на технологии). Однако, как демонстрирует любой инцидент кибербезопасности, объем последствий риска имеет тенденцию влиять на более чем одну функцию одновременно.
Управление
Управление часто считается синонимом управления данными, но корпоративное управление несет ответственность более высокого уровня. Корпоративное управление уравновешивает интересы различных заинтересованных сторон и помогает компании реализовать свои стратегические цели с помощью рамок, правил, практик, процессов и измерения результатов, среди прочего.
В контексте, ориентированном на данные, управление помогает гарантировать, что только авторизованные стороны имеют доступ к данным, которые они хотят использовать. Правила управления данными затмевают соблюдение, поскольку использование данных также регулируется законами и нормативными актами.
Снижение
Традиционные функции управления рисками сосредоточены на финансовых рисках. Обычно эта функция работает в тесном сотрудничестве с финансовым директором, если не подчиняется ему. Финансовые риски принимают несколько форм, включая риски поставщиков, риски непрерывности бизнеса и компенсацию (страхование).
Традиционное управление рисками иногда может противоречить другим группам, особенно когда оно рассматривается как препятствие для инноваций. Поэтому важно определить, какова склонность организации к риску, и внедрять инновации в ее рамках. Например, у Amazon были впечатляющие успехи и неудачи, потому что она была готова взять на себя значительный риск для своей прибыли, курса акций и репутации.
Комплаенс
Комплаенс фокусируется на соблюдении правовых и нормативных требований. Эта функция должна понимать, каких внешних правил должна придерживаться организация, и преобразовывать эти правила в практики и процессы, обеспечивающие соблюдение.
Соблюдение нормативных требований подлежит внутреннему аудиту и сторонним аудитам, которые могут быть консалтинговыми фирмами, которые проверяют, соблюдают ли компании их клиентов. В качестве альтернативы регулирующий аудитор может делать то же самое. Различные аудиты, как правило, не являются взаимоисключающими обязательствами, поскольку меньше всего компания хочет, чтобы государственный аудитор обнаружил проблему. Если это произойдет, то компания, скорее всего, будет подвергнута штрафам со стороны регулирующих органов, а если это публичная компания, им придется сообщить о проблеме акционерам. Если нарушение также нанесло ущерб клиентам (например, неправильное использование PII), также могут возникнуть судебные иски.
В настоящее время соответствие, как и управление, прочно связано с данными в соответствии с Общим регламентом ЕС по защите данных (GDPR) и Законом о конфиденциальности потребителей Калифорнии (CCPA). Однако функция комплаенс шире.
Управление рисками
Управление рисками предприятия (ERM) сочетает в себе GRC и кибербезопасность. Фактически, теперь есть инструменты ERM, которые помогают облегчить сотрудничество между различными функциями управления рисками. Инструменты также обеспечивают обзор функций. С точки зрения людей, может существовать группа или комитет по управлению рисками предприятия, состоящий из профессионалов в области управления, рисков, соблюдения нормативных требований и кибербезопасности.
Причина, по которой управление рисками предприятия растет, заключается в том, что объем любого риска, как правило, не ограничивается конкретной функцией управления рисками. Например, проблема с цепочкой поставок может иметь последствия для финансовой и кибербезопасности.
Цифровая трансформация также вызывает интерес к управлению рисками предприятия, поскольку цифровые компании работают намного быстрее, чем их аналоговые аналоги, а это означает, что рисками необходимо управлять более активно и в режиме реального времени.
Управление рисками предприятия также помогает нормализовать традиционно несопоставимые подходы к количественной оценке рисков. В традиционных условиях различные функции управления рисками работают отдельно, поэтому нет причин обмениваться данными. Каждый может использовать разные шкалы для измерения рисков. У них также могут быть разные рабочие процессы и механизмы для принятия и снижения рисков. В результате аналогичные риски можно моделировать и оценивать по-разному. А поскольку различные функции управления рисками не обмениваются информацией друг с другом, нет общей модели данных.
Управление рисками предприятия помогает устранить традиционные трения, создаваемые разрозненными функциями, чтобы организация могла более эффективно управлять рисками. Оценка на определенный момент времени заменяется системами на основе данных, которые помогают быстрее и эффективнее выявлять и снижать риски.
Однако понимание управления рисками предприятия - это не только инструменты. Это требует процесса управления изменениями, который включает в себя различных заинтересованных сторон, как и любой другой процесс трансформации.
Coinsmart. Beste Bitcoin-Börse в Европе
Источник: https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite
