治理，風險和合規（GRC）——正是這些字眼使員工和領導層怨聲載道。他們想起了不斷增大的電子表格和無休止的會議，其中包括KRI和KPI這樣的首字母縮略語。人們往往認為GRC方面的演練是在浪費時間，或認為這是首席財務官和內部審計的事兒。

 

但情況并非如此。由于監管義務和對違規行為的處罰不斷增加，首席信息官和IT領導者必須在組織內推行有效的風險管理、合規性和治理。這些工作所涉及的領域與IT（例如，法律和金融）是分開的，但它們對GRC計劃的有效性而言至關重要。

 

獨立的GRC計劃或沒有GRC計劃的時代已經一去不返。IT和業務的GRC必須整合到一起。否則會增加巨大的風險和不必要的不確定性。由于國內（《醫療保險可攜性和責任法案》、《支付卡行業法案》、《家庭教育權利和隱私權法》）和國外（《通用數據保護條例》）的棘手的監管環境、人們對客戶數據隱私的期望、XX即服務平臺所帶來的風險、網絡安全威脅和不斷變化的全球市場，實施公認且高效的GRC計劃不僅能對運營表現出應有的關注，而且是降低成本、提高盈利能力和避免違反國際市場監管制度的主要手段。

 

CrowdStrike的副總裁David McKeough說：“我發現，GRC有兩大缺點，即組織沒有在戰略上保持一致，以及沒有對合規性和高效的風險管理給予足夠的關注。”

 

實施了適當的GRC規定的組織是具有總體戰略計劃的組織，這些組織能指導行政決策。項目和計劃根據業務驅動目標進行衡量和評估，風險可以得到管理和衡量，并且合規性方面的負擔是已知的，而且得到了傳達。

 

努力創建高效治理、風險管理和合規性策略的組織要面對10個常見陷阱，茲舉例如下：

 

 

組織缺乏成熟度，這扼殺了很多GRC計劃。如果貴組織甚至缺乏程序、項目、資產或變革管理方面的基礎知識，你就不知道自己擁有哪些資產（硬件、軟件和數據），這使建立有效的GRC計劃變得極其困難。

 

這種情況是不是似曾相識？在每年召開四次的領導力簡報會議中，你聽說組織要收購幾家新公司，這些公司需要大量的基礎設施并且做大量的系統集成工作。順便說一句，這筆資金直接來自IT部門的預算。

 

或者，更常見的情況是，IT資源不斷地遭遇危機，一直處于被動狀態。項目工作不是作為主業來完成的，因為IT領導爭先恐后地包攬最新的“關鍵”項目，這些項目對過去必須實施的倡議完全置之不理。

 

組織缺乏成熟度的另一個方面表現在數據實踐上。是的，你也許已經認識到，數據已成為貴公司所擁有的最有價值的資產之一，但如果你不知道關鍵數據在哪里，你又如何獲得這些數據呢？

 

創辦Data Blueprint的董事兼所有者Peter Aiken說：“如果公司不知道自身擁有什么數據，不知道數據在哪里，也不知道知識工作者在做什么，這是一個根本問題。”

 

建議：要提高組織成熟度，企業文化必須為此提供支持。關鍵的管理人員必須支持部門的問責制和透明度。不接受這種變化的利益相關者、經理和員工必須對新的現實情況負責。

 

 

IT和業務必須協調一致才能使GRC高效運作。不幸的是，對很多組織而言，情況并非如此，由于關鍵的軟件或基礎設施的實施突然減少了，但突然間要馬上實施。或者計劃的預算和資源分配完全搞砸了。或者業務似乎永遠無法與IT溝通。

 

當企業領導層引入IT必須倉促實施的新目標時，業務、IT和合規性部門之間幾乎沒有討論運營風險的余地。

 

建議：建立委員會和溝通渠道，一手抓行政，一手抓技術，行政和技術有共通的地方，以此來確保可靠性。

 

 

也許你的關鍵知識產權（IP）由不同的員工存儲在消費級云存儲中。難道公司的政策沒有提到這種做法是禁止的嗎？你會感到很驚訝，沒有一條政策提到這一點。或者，你所并購的新組織依然沒有實施適當的政策，甚至連舊政策都沒有。此外，用戶在這方面往往沒有得到任何訓練——企業政策以及其如何影響工作流程，這種情況很普遍，超乎你的想象。更別提政策往往存在于整個企業的多個文件共享和SharePoint中了，這使得這些政策很難得到遵循，因此需要人們對此負責。就GRC而言，缺乏集中化，明晰性和問責制都會帶來重大風險。

 

建議：策略必須簡明扼要、集中化，得到溝通，并且使所有員工都可以輕松使用。文件本身必須簡單，簡潔，易于理解。企業員工也必須接受這方面的培訓。

 

 

風險對企業意味著什么？奇怪的是，這樣的定義很難達成一致。通常，只有對企業的適用性未經評估的經濟風險或一般風險才會報告給董事會。如果貴組織內部存在不同的風險評分方法，則會使向董事會準確報告風險變得更加困難。

 

建議：確保所有業務職能在風險定義上達成一致。此外，企業必須實施風險管理計劃，該計劃包擴向董事會匯報的所有風險（IT和業務方面的）。

 

 

企業可以使用很多GRC工具，從簡單的電子表格到價值數百萬美元的企業系統。但是，如果你沒有健全的GRC框架，那么任何技術都無法為你管理風險。

 

建議：不要動不動就投資昂貴的工具。首先確立你的GRC計劃并將其標準化，然后確定哪些工具符合需求。仔細考慮一下，如何使用業已實現的工具來滿足環境需求。

 

 

你真的知道哪些監管框架會對企業產生影響嗎？例如，如果數據泄露事件更嚴格，你所在的州及其所實行的隱私法將凌駕于《醫療保險可攜性和責任法案（HIPAA）》的指導原則。《多德—弗蘭克》又怎么樣？你是否受到《薩班斯—奧克斯利法案》、《支付卡行業數據安全標準（PCI-DSS）》、《醫療保險可攜性和責任法案（HIPAA）》，《通用數據保護條例（GDPR）》或其它法規的保護？組織往往無法完全理解其賴以經驗的監管環境。

 

建議：法務部門和合規性部門必須共同對監管流程負責并記錄監管流程，同時與IT和業務部門建立明確的溝通渠道。

 

 

總該有人負責。那么誰負責GRC呢？首先高層必須發聲。行政領導層必須對GRC負責并支持高效的GRC計劃。在這里，對GRC的問責必須下放到各個地方，比如應用程序所有權、數據所有權，問題升級時向上提出訴求的途徑。

 

建議：要使GRC倡議蓬勃發展，高管必須向大家表達支持。這不是一次性聲明。GRC計劃必須在高管那里得到持續推動，董事級別的人員負有最終責任。從首席財務官那里做起，這是一個很好的出發點。

 

 

左一個投資組合管理工具，右一個監管工具，另外還有電子表格和儀表盤，很快你就會被相互沖突的信息所淹沒。將數百個GRC數據點規范為一個系統得花很多時間。是時候簡化一下了。

 

建議：如果你的企業的GRC計劃充斥著儀表盤和工具，是時候簡化一下了。與你的GRC團隊密切合作，為工作選擇最佳工具，然后努力減少系統臃腫。讓你的業務需求推動技術投資并完成路線圖所規定的工作。

 

 

當項目或計劃在必要的投資沒有得到理解的情況下就啟動時，GRC計劃就很難實施。什么樣的倡議得到了批準？你知道所有職能所達到的成熟度嗎？

 

建議：董事會要參與進來，并進行主動的管理，這對于獲得支持GRC工作的資金所需的可見性至關重要。這使你可以就高效的投資組合和投資管理策略達成共識。

 

 

那么你怎么知道GRC計劃是否按預期那樣發揮作用呢？該計劃是否是降低了風險，是否達到了合規目標，是否達到了計劃舉措的目的？這時關鍵績效指標（KPI）、關鍵業務問題（KBQ）和關鍵風險指標（KRI）就登場了。

 

建議：使用SMART原則（具體的，可衡量的，可實現的，具有一定的相關性和明確的截止期限）列出五個或十個最重要的業務流程（KPI或KBQ）。確保這些流程符合業務價值并讓關鍵決策者對此做出確認。為這些過程分配可衡量的KRI。從現在開始以編程的方式監視和跟蹤數據質量。