組織業(yè)務(wù)的關(guān)聯(lián)性要求對(duì)于面臨風(fēng)險(xiǎn)采取全面的方法。當(dāng)組織的治理、風(fēng)險(xiǎn)、合規(guī)性(GRC)和安全功能被孤立時(shí),很難有效地處理其可能損害企業(yè)、客戶和合作伙伴的總體范圍和潛在的連鎖效應(yīng)。隨著業(yè)務(wù)步伐的加快和運(yùn)營(yíng)變得越來(lái)越數(shù)字化,越來(lái)越多的組織正在組建企業(yè)風(fēng)險(xiǎn)管理(ERM)小組或委員會(huì)。毫不奇怪,新的平臺(tái)有助于推動(dòng)這一轉(zhuǎn)變。
調(diào)研機(jī)構(gòu)Forrester Research公司分析師Alla Valente說(shuō):“數(shù)字化轉(zhuǎn)型需要所有這些功能之間的緊密協(xié)調(diào)。我們看到了企業(yè)風(fēng)險(xiǎn)管理職能的增長(zhǎng),他們正在承擔(dān)運(yùn)營(yíng)風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、合規(guī)性風(fēng)驗(yàn),以及業(yè)務(wù)連續(xù)性的責(zé)任。”
為什么將各種風(fēng)險(xiǎn)職能分散化
組織的結(jié)構(gòu)往往根據(jù)其經(jīng)營(yíng)所在的行業(yè)、規(guī)模和經(jīng)營(yíng)理念而有所不同。在過(guò)去的幾十年中,許多組織都增加了其高級(jí)主管的職位,其中包括首席安全官(CSO)、首席信息安全官(CISO)、首席隱私官(CPO)、首席風(fēng)險(xiǎn)官(CRO)的某種組合。
這些高管的報(bào)告對(duì)象也各不相同。例如,首席隱私官(CPO)可以向首席法律官(CLO)或首席安全官(CSO)和首席信息安全官(CISO)報(bào)告。首席安全官(CSO)和首席信息安全官(CISO)可以向首席信息官(CIO)、首席營(yíng)銷官(COO)或首席執(zhí)行官(CEO)報(bào)告。
專業(yè)服務(wù)機(jī)構(gòu)畢馬威(KPMG)公司內(nèi)部審計(jì)與企業(yè)風(fēng)險(xiǎn)合伙人Kreg Weigand表示:“許多這樣的職位是根據(jù)企業(yè)的組織結(jié)構(gòu)設(shè)立的。這方面的問(wèn)題是業(yè)務(wù)一直在發(fā)生變化。”
許多應(yīng)對(duì)風(fēng)險(xiǎn)的職能機(jī)構(gòu)是為了應(yīng)對(duì)2008年金融危機(jī)等重大事件或薩班斯-奧克斯利法案(SOX)或GDPR等法規(guī)而設(shè)立的。同樣,計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)絡(luò)安全也是技術(shù)性威脅的結(jié)果。現(xiàn)在,沒(méi)有建立企業(yè)風(fēng)險(xiǎn)管理小組或委員會(huì)的公司正感受到技術(shù)孤立的影響。具體來(lái)說(shuō),當(dāng)各部門面臨風(fēng)險(xiǎn)時(shí),每個(gè)風(fēng)險(xiǎn)相關(guān)職能部門都在使用自己的合規(guī)性(GRC)系統(tǒng)。例如,當(dāng)黑客竊取數(shù)據(jù)時(shí),安全團(tuán)隊(duì)可能不是唯一受到影響的團(tuán)隊(duì),其他團(tuán)隊(duì)還可能包括合規(guī)、治理、法律和傳統(tǒng)風(fēng)險(xiǎn)管理(財(cái)務(wù)風(fēng)險(xiǎn))。
全球?qū)徲?jì)機(jī)構(gòu)普華永道網(wǎng)絡(luò)安全和隱私負(fù)責(zé)人Joe Nocera表示:“合規(guī)性、隱私和安全之間的關(guān)系非常明確,有時(shí)存在一個(gè)基本的假設(shè),即某個(gè)特定領(lǐng)域正在被其他領(lǐng)域覆蓋,有時(shí)我們會(huì)發(fā)現(xiàn)事情正在不斷發(fā)展,傾向于使用不同的風(fēng)險(xiǎn)度量標(biāo)準(zhǔn),并且傾向于使用不同的工作流和機(jī)制進(jìn)行風(fēng)險(xiǎn)接受和緩解活動(dòng)。”
為什么企業(yè)風(fēng)險(xiǎn)管理至關(guān)重要
很多組織組建了企業(yè)風(fēng)險(xiǎn)管理小組或委員會(huì),以便他們可以全面地管理風(fēng)險(xiǎn)。盡管很多組織傾向于設(shè)置一個(gè)負(fù)責(zé)監(jiān)督組織風(fēng)險(xiǎn)的委員會(huì),但對(duì)于高管而言,最有效的措施是“監(jiān)督”,而其他人執(zhí)行。當(dāng)跨風(fēng)險(xiǎn)相關(guān)職能之間存在一層連續(xù)性和協(xié)作性時(shí),監(jiān)督和執(zhí)行會(huì)更加有效。企業(yè)風(fēng)險(xiǎn)管理小組或委員會(huì)將補(bǔ)充由專業(yè)團(tuán)隊(duì)進(jìn)行的風(fēng)險(xiǎn)管理,他們的觀點(diǎn)也使董事會(huì)委員會(huì)受益。
畢馬威公司的Weigand說(shuō),“當(dāng)我們與企業(yè)董事會(huì)成員進(jìn)行溝通時(shí),他們會(huì)問(wèn),‘為什么當(dāng)合規(guī)部門進(jìn)行網(wǎng)絡(luò)談話、內(nèi)部審計(jì)和風(fēng)險(xiǎn)管理時(shí)都有不同的最高風(fēng)險(xiǎn)?為什么不一起協(xié)調(diào)以確保董事會(huì)成員收到報(bào)告?’我知道組織真正面臨的風(fēng)險(xiǎn)是什么,而不僅僅是在孤島內(nèi),而且需要仔細(xì)了解這個(gè)問(wèn)題。”
從幾種特定于功能的治理、風(fēng)險(xiǎn)和合規(guī)性(GRC)系統(tǒng)到通用系統(tǒng)的技術(shù)整合也反映了企業(yè)風(fēng)險(xiǎn)管理的趨勢(shì)。實(shí)際上,在過(guò)去的兩年中,調(diào)研機(jī)構(gòu)Gartner公司一直在預(yù)測(cè)合規(guī)性(GRC)系統(tǒng)即將消亡,而傾向于集成風(fēng)險(xiǎn)管理(IRM)系統(tǒng)。
但是,集成風(fēng)險(xiǎn)管理(IRM)系統(tǒng)不是企業(yè)風(fēng)險(xiǎn)管理策略。企業(yè)風(fēng)險(xiǎn)管理策略考慮人員、流程和技術(shù)。
InfoTech研究集團(tuán)首席研究顧問(wèn)Christine Coz表示:“即使在IT領(lǐng)域,也存在項(xiàng)目風(fēng)險(xiǎn)、開(kāi)發(fā)風(fēng)險(xiǎn)、與審計(jì)和合規(guī)相關(guān)的風(fēng)險(xiǎn),但這些風(fēng)險(xiǎn)并沒(méi)有得到全面的處理。關(guān)鍵是在這些對(duì)話中,組織高管需要為此提供支持,其目標(biāo)是作為組織董事會(huì)的一部分,從監(jiān)督的角度確保對(duì)控制措施的管理到位,風(fēng)險(xiǎn)接受度符合組織的容忍度,而且在組織中的風(fēng)險(xiǎn)容忍度和接受度都是一致的。”
所有事物的數(shù)字化都需要企業(yè)風(fēng)險(xiǎn)管理(ERM),這不僅是因?yàn)閿?shù)字業(yè)務(wù)比模擬業(yè)務(wù)快得多,而且因?yàn)轱L(fēng)險(xiǎn)管理是一個(gè)品牌問(wèn)題。
Forrester公司的Valente說(shuō),“在競(jìng)爭(zhēng)激烈的行業(yè)中,企業(yè)的每種產(chǎn)品和服務(wù)都可能改變,例如汽車保險(xiǎn)、抵押貸款、電信運(yùn)營(yíng)商,甚至食品。在企業(yè)沒(méi)有保護(hù)用戶數(shù)據(jù)的那一刻,就可能侵犯了用戶的隱私,所有這些事情都可能出錯(cuò),現(xiàn)在突然之間,風(fēng)險(xiǎn)管理變得與眾不同。”
人工智能和機(jī)器學(xué)習(xí)將有所幫助
通過(guò)包括人工智能、機(jī)器學(xué)習(xí)和機(jī)器人流程自動(dòng)化(RPA)在內(nèi)的智能技術(shù)可以增強(qiáng)企業(yè)風(fēng)險(xiǎn)管理(ERM)的各個(gè)方面。目前,合規(guī)性(GRC)系統(tǒng)和集成風(fēng)險(xiǎn)管理(IRM)系統(tǒng)之間的最大區(qū)別在于分代。根據(jù)Gartner公司的說(shuō)法,合規(guī)性(GRC)系統(tǒng)具有過(guò)去的特征(例如,封閉且針對(duì)技術(shù)受眾),而集成風(fēng)險(xiǎn)管理(IRM)系統(tǒng)具有現(xiàn)代的特征(開(kāi)放且針對(duì)企業(yè)領(lǐng)導(dǎo)者)。
畢馬威公司網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人Rik Parker表示:“我們已經(jīng)有了持續(xù)的監(jiān)控控制措施,現(xiàn)在正在監(jiān)控環(huán)境采用重要工具監(jiān)控風(fēng)險(xiǎn)。我認(rèn)為在未來(lái)三年中,將會(huì)有更多的機(jī)器學(xué)習(xí)和人工智能幫助人們使用機(jī)器人流程來(lái)識(shí)別和警告風(fēng)險(xiǎn)和風(fēng)險(xiǎn)閾值,并幫助實(shí)現(xiàn)某些決策的自動(dòng)化。它將具有基于決策、基于性能、基于環(huán)境中發(fā)生的關(guān)鍵事件的信息,在這種環(huán)境中發(fā)送的警報(bào)可以變得更加智能,并有助于發(fā)現(xiàn)問(wèn)題。”
結(jié)語(yǔ)
現(xiàn)代的商業(yè)模式需要一種更加全面的方法來(lái)管理不斷擴(kuò)大的范圍和更快的風(fēng)險(xiǎn)影響。如今,除了專業(yè)的安全和合規(guī)性(GRC)職能外,組織還需要一個(gè)跨職能的企業(yè)風(fēng)險(xiǎn)管理(ERM)小組或委員會(huì),以更有效地評(píng)估、識(shí)別、監(jiān)控和管理風(fēng)險(xiǎn)。新一代的合規(guī)性(GRC)系統(tǒng)將越來(lái)越自動(dòng)化和智能化,從而促進(jìn)和優(yōu)化這些不斷發(fā)展的風(fēng)險(xiǎn)管理能力。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。