和风网标志

GRC 和网络安全必须联合起来

日期:

治理、风险和合规 (GRC) 是企业内部的必要职能,但企业往往以不同的方式构建和运行它们。 例如,在一些公司中,GRC 作为三个独立的、孤立的职能部门运作。 其他公司具有 GRC 职能,如果不是 GRC 认证的专业人员,则包括 GRC 专家。 

即使 GRC 作为一个联合组织运作,网络安全——另一个风险职能——往往会单独运作。 原因之一是 GRC 功能被视为业务功能,而网络安全更多地被视为 IT(面向技术)功能。 然而,正如任何网络安全事件所表明的那样,风险后果的范围往往会同时影响多个功能。

企业治理

治理通常被认为是数据治理的同义词,但公司治理具有更高级别的责任。 公司治理平衡各个利益相关者的利益,并通过框架、规则、实践、流程和绩效衡量等帮助公司实现其战略目标。 

在以数据为中心的环境中,治理有助于确保只有授权方才能访问他们希望使用的数据。 数据治理规则使合规性黯然失色,因为数据的使用也受法律法规的约束。

风险

传统的风险职能侧重于金融风险。 通常,该职能与首席财务官密切合作(如果未向其报告)。 财务风险有多种形式,包括供应商风险、业务连续性风险和赔偿(保险)。  

传统的风险管理有时可能与其他团队不一致,尤其是当它被视为创新的障碍时。 因此,确定组织的风险偏好并在其范围内进行创新非常重要。 例如,亚马逊有一些惊人的成功和失败,因为它愿意承担其底线、股价和声誉的重大风险。

合规和监管支持

合规性侧重于法律和监管合规性。 该职能必须了解组织必须遵守哪些外部规则,并将这些规则转化为确保合规性的实践和流程。

合规性受内部审计和第三方审计,第三方可能是咨询公司,这些公司正在核实其客户的公司是否合规。 或者,监管审计师可能也在做同样的事情。 各种审计往往不是相互排斥的任务,因为公司最不希望政府审计员发现问题。 如果发生这种情况,那么该公司可能会受到监管罚款,如果它是一家上市公司,他们将不得不向股东披露该问题。 如果违规行为还损害了客户(例如,PII 滥用),也可能导致诉讼。

现代,鉴于欧盟的通用数据保护条例 (GDPR) 和加州消费者隐私法案 (CCPA),合规性与治理一样与数据密切相关。 但是,合规职能范围更广。 

企业风险管理

企业风险管理 (ERM) 结合了 GRC 和网络安全。 事实上,现在有 ERM 工具可以帮助促进各种风险职能之间的协作。 这些工具还提供跨职能的可见性。 从人员的角度来看,可能有一个由治理、风险、合规和网络安全专业人员组成的企业风险团队或委员会。

企业风险管理增长的原因是任何风险的范围往往不限于特定的风险职能。 例如,供应链问题可能会对财务和网络安全产生影响。 

数字化转型也引发了对企业风险管理的兴趣,因为数字化公司的运营速度比模拟公司快得多,这意味着需要更加主动和实时地管理风险。

企业风险管理还有助于规范传统上不同的风险量化方法。 在传统环境中,各种风险功能单独运行,因此没有理由共享数据。 每个人都可以使用不同的尺度来衡量风险。 他们也可能有不同的工作流程和机制来接受和减轻风险。 结果是相似的风险可能被不同地建模和评分。 而且,由于各种风险职能不相互共享信息,因此没有通用的数据模型。 

企业风险管理有助于消除由孤立职能造成的传统摩擦,从而使组织能够更有效地管理风险。 时间点评估被数据驱动的系统所取代,这些系统有助于更快、更有效地识别和减轻风险。

然而,实现企业风险管理不仅仅是工具。 它需要一个包含各种利益相关者的变更管理流程,就像任何其他转型流程一样。

Coinsmart。 欧罗巴的BesteBitcoin-Börse
资料来源:https://www.cshub.com/executive-decisions/articles/grc-and-cyber-security-must-unite

现货图片

最新情报

现货图片