5 GRC趋势:将如何治理,风险与合规发展吗?

商业世界变化的速度是惊人的。

商业风险每天演变,从第三方供应商供应链、监管问题、隐私问题,运营的挑战,网络攻击、金融忧虑,环保合规等等。

这些问题不是孤立的,它们相互关联的风险,需要全面的解决方案。需要一个意识,全面的方法治理、风险和合规(GRC)从未像现在这样组织的关键。

随着商业环境的变化,公司需要发展他们的GRC策略保持全面的观点相互关联的风险,理解这些风险的金融影响,各级作出更明智的决定。

这里有一些GRC趋势可以帮助您的组织通过积极的方法来将风险转化为一个战略优势。

1。灵活性和敏捷性的文化面临GRC的挑战

你尽管试,你不能避免所有风险。企业必须建立一个弹性的文化,因为他们考虑和准备的最紧迫的威胁。

敏捷性风险管理是指一个组织的能力,以避免崩溃。另一方面,弹性是一个组织恢复。

当您的业务准备通货膨胀,经济的不确定性,全球的风险滞胀——经济增长会急剧放缓——你必须建立弹性恢复业务影响最小的障碍。

近年来弹性了重要性。它与企业集成风险管理和跨组织的工作,提供一个全面的看法的。敏捷性和韧性是相辅相成的。

敏捷性提供了一个战略眼光的不确定性,而弹性与跨部门提供战术措施。弹性也是一种文化,因为它需要行动从所有组织的利益相关者。

GRC专家迈克尔·拉斯穆森这种文化比作人体:

而75%的组织承认,孤立的技术系统构成风险管理的挑战,只有35%的企业级采取行动来解决这个问题。

当公司利用智能技术和风险的“pan-and-glass”视图,普华永道发现他们的董事会和高管们五倍高的信心组织提供的利益相关者的能力的信任,更大的弹性,更好的业务成果。

2。CIO的职责是进化

技术领导人,像cio、超越他们的“二级”或“后端”角色的软件实现和项目管理。他们现在在公司决策的中心,成为关键决策者的核心业务功能,如市场营销、销售、产品开发、和融资。

的2022的CIO现状报告发现,首席信息官们看到他们的角色平衡业务创新和卓越运营。四分之三的IT领导希望他们的角色保持其新发现的重要性,由加速数字转换的努力,无论组织的周期性的关注问题。

超过80%的首席信息官表示他们视为改变,专注于创新。

这种急剧的转变,从传统的IT服务交付更多的战略作用释放cio专注于业务目标。作为你的技术领导人日益呈现业务案例高管,他们受益于风险量化方法实现战略目标和其他管理者提供有价值的见解。

年长的风险度量尺度,如低、中、高,红色,黄色,绿色,过于主观,利益相关者不确定如何风险决策与业务需求保持一致。通过量化风险货币而言,您的组织可以有共同的语言,显示其风险对收入的影响。

这种共同语言会导致一个共享的风险——关键商业决策,进一步提升CIO的角色。

风险量化的共同语言也便利情景规划和分析经济环境迫使企业审查他们的预算。风险缓解策略显著差异在不同成本和降低风险。风险量化使cio比较控制实现,重量适当的缓解措施,并向董事会提供反馈。

3所示。第三方风险变得更加关键,忍受更多的审查

组织越来越依赖于第三方设施管理和物理安全法律服务和技术支持。

将第三方服务可以使您的业务更有竞争力,允许您利用专业技能和专业知识又不想让自己发展的内部程序。但作为与第三方的关系和供应商联系组织扩大的方方面面,您组织的潜在的漏洞。

当你与供应商合作,他们的风险成为你的风险。更多的是什么?越来越多的第三方与第三方合作。你的第三方遭受的任何违反或失败(以及他们的第三方)将您的业务风险。除了你所面对的经济损失由于第三方的漏洞,您的组织操作弹性和声誉损失的风险。

百分之七十三的公司表示担心第三方行使太多控制不必要的客户数据与广泛的权限和授权。和近一半的组织报告数据泄露在去年,有四分之三将违反第三方有太多特权访问权限。

除了直接的商业威胁而导致的违约,客户信任的潜在损失可以有一个更直接的,比监管罚款或声誉风险量化业务影响。根据IBM,38%的成本数据泄露来自失去业务。加起来平均152万美元。

建立和维护客户信任第三方供应商,你需要一个积极的第三方风险管理方法。在不断升级的经济不确定性,需要密切关注第三方公司随着企业——供应商关键任务,哪一个是你可以消除以最少的负面影响。

随着组织拧紧螺丝的评估当前的供应商和批准新的关系,第三方风险管理中扮演着重要角色。整体的一部分GRC软件、第三方风险程序集中所有必要的信息关于你的公司的供应商,使其更容易管理性能,成本和风险。

有效的第三方风险管理包含三个组件:一个一致的供应商筛选过程,有意义的供应商优先级,和正在进行的监测。

审查过程

自第三方达到您的组织的每一个角落,每个人都需要在风险管理中发挥作用,确保了万无一失。作为一个公司,你必须同意第三方评估标准和框架来评估。您还需要确定关键绩效指标。

你可以审查合同确定供应商不能满足他们的承诺和执行管理服务水平协议(sla)更严格。正确的整体GRC软件,每个团队成员都可以访问必要的数据,执行这些评估工具和共同语言。

优先级

大多数企业数十家供应商一起工作。确保第三方风险管理的成功最好的方法是优先考虑你的重要供应商。使用这些排名,您可以开发一个评分过程和节奏,反映了供应商的重要性。

按照以下步骤开始:

• 排名基于每个第三方关系是多么重要你的操作。
• 列出每个供应商的数据或网络访问:系统和级别的授权。
• 对于每个供应商,详细的操作和功能可能受到事件的影响。
• 使用这些信息来决定哪些细节需要评估每个供应商的漏洞。

持续的监控

大多数公司进行尽职调查,但许多不监控第三方风险超出年度检查表。到那时,信息可能是过时的,供应商不合规的,您的业务风险。

通过持续的监控第三方风险,你保持同步发展风险的表面减少漏洞和创建所需要的应急计划,基于实时数据而不是信息聚集在关系的开始。

TPRM是一项团队运动

管理第三方风险影响每个人从商界领袖和内部审计团队法律、合规和IT部门。使用正确的工具和清晰的沟通,您的业务可以管理供应商风险保护你自己和你的客户。

4所示。环境、社会和治理制度过渡

谈话对环境、社会和治理(ESG)作为整体的一部分,GRC最近有所增加,与环境、社会和治理工作推动就业决策,消费者行为,董事会审议,和投资策略。

而在2022年初,公司贝莱德对可持续投资优先,声乐矛盾关于环境、社会和治理基金及其实际报告引发了监管机构的利益。

美国证券交易委员会(sec)提交了两个草案对环境、社会和治理资金的提供指导。这些指导方针要求投资公司和公司包括在他们的基金使用sustainability-related名称前展示他们的可持续发展要求。

超过80%的消费者认为企业应该积极塑造环境、社会和治理方针,和几乎所有人(91%)商业领袖相信他们的组织负责对环境、社会和治理问题。此外,86%的员工希望在企业工作,分享他们的价值观。

从打击腐败保持多样性,问责制股权,和包容(一些)为减少温室气体排放的目标,公司必须重视环境、社会和治理监测和报告,或者他们落后的风险。

各种框架指导具体行业环境、社会和治理因素最重要,但美国没有建立环境、社会和治理标准。而框架提供通用的报告目标,他们不提供洞察持续的环境、社会和治理管理实践。

为了便于监测和报告,组织应该解决环境、社会和治理作为整体的一部分GRC程序。通过整合现有的计划、数据和目标变成健壮的GRC软件,你获得更大的洞察环境、社会和治理进展和风险。

这些努力将偿还公司越来越多地提供报告证明他们的环境、社会和治理承诺与行动一致。

5。混合工作介绍了人们风险,网络风险

一个弹性的组织需要灵活和适应性强的结构在所有业务领域。混合工作提供了员工的灵活性的同时,也增加了运营风险。

组织工作在混合模型建立他们的“新常态”必须拥抱变化和敏捷性保护数据,相当管理员工,实现一些目标。

人才管理的挑战

混合工作模式,引入新的劳动力风险经理导航的挑战双重劳动力:建立和维护与现场和远程员工平等的关系。混合工作模式的危险之一是,他们依靠“走动式管理”的“风格,这可能是不利的对于远程工作者。

为了避免这种差异,组织应该投资于领导人。为他们提供培训和发展促进虚拟领导技能,帮助他们建立更好的联系和关系与远程工作者。伟德游戏

你的绩效评价方法也需要改变。不关注员工的时间在办公室里。”Base evaluations on whether employees meet their work obligations, regardless of where they work.

阻碍一些倡议

经理在混合工作环境可以无意中创建两个“类”的员工:办公室人员与企业文化紧密联系,和远程员工对公司用更少的附件。

妇女和有色人种找到更多实现在家工作和更有可能比白人男性同行远程工作。这种偏好会妨碍内部流动对一些弱势员工和危害的进步全公司范围内的一些目标。

应对这种风险,使用数据,以确定内部流动,绩效评估,员工福利是公平的。

在分析数据,识别问题和工作策略适应更公平的方法。定期回顾这些问题,看看你的团队保持正轨或者是否会产生新的问题。

网络安全与合规的威胁

数据泄露、重大停机,ransomware攻击已经排名高级风险问题在2022年全球企业。远程工作,导致越来越多的网络安全风险,哪里也不去。超过四分之三的remote-enabled员工盖洛普告诉他们计划远程工作或在混合能力至少到2022年。

Tessian的安全行为报告发现,一半以上的领导人相信员工有拿起危险的网络安全习惯自从远程,超过三分之一的员工同意。当你的员工在家工作,他们离开办公室的相对安全的安全连接。

远程员工更想访问材料在个人设备上工作。添加员工从咖啡店和其他公共地点,和你有一个秘方网络灾难。

一个惠普狼安全研究发现,大约有三分之一的员工找到安全策略一个障碍,甚至许多工作要绕过安全措施。根据安全公司,几乎所有的IT团队(91%)一直在妥协的压力安全维护业务连续性和8的团队发现远程工作的“定时炸弹”潜在的漏洞。

防止数据泄露ransomware攻击开始更新您的组织的网络安全实践和政策。

• 采用多因素身份验证。
• 确保员工培训反映网络安全保护的最新进展。
• 最后,让IT人员支持员工报告可疑通信和自己的错误,而不必担心报复。

优先考虑风险管理

风险管理是每个人的责任。培养一种弹性的文化风险和控制第三方关系会改善你的态度。风险成为一个战略优势当你授权CIO改革者和健壮的环境、社会和治理监测和报告的做法。

通过适当的关注你的人——任何组织最重要的资产和风险——保护一些进步,应对不断变化的网络威胁,并确保你的团队保持高效的复杂的混合环境中。

提高你的组织的网络安全实践应该是你的优先级。选择单点登录使身份验证更安全、更容易为你的业务。