5 اتجاهات مركز الخليج للأبحاث: كيف ستتطور الحوكمة والمخاطر والامتثال؟

معدل التغيير في عالم الأعمال محير للعقل.

تتطور مخاطر الأعمال يوميًا ، من موردي الطرف الثالث إلى سلاسل التوريد ، والمسائل التنظيمية ، ومخاوف الخصوصية ، والتحديات التشغيلية ، والهجمات الإلكترونية ، والمخاوف المالية ، والامتثال البيئي ، والمزيد.

هذه المشاكل ليست معزولة - إنها مخاطر مترابطة تتطلب حلولاً شاملة. لم تكن الحاجة إلى نهج واع وشامل للحوكمة والمخاطر والامتثال (GRC) أكثر أهمية من أي وقت مضى للمنظمات.

مع تغير بيئة الأعمال ، تحتاج الشركات إلى تطوير استراتيجيات مركز الخليج للأبحاث الخاصة بها للحفاظ على رؤية شاملة للمخاطر المترابطة ، وفهم الآثار المالية لتلك المخاطر ، واتخاذ قرارات أكثر استنارة على جميع المستويات.

فيما يلي بعض اتجاهات مركز الخليج للأبحاث (GRC) لمساعدة مؤسستك على اتخاذ نهج استباقي لتحويل المخاطر إلى ميزة إستراتيجية.

1. ثقافة المرونة وخفة الحركة لمواجهة تحديات مركز الخليج للأبحاث

حاول كما يمكنك ، لا يمكنك تجنب كل المخاطر. يجب على الشركات تطوير ثقافة المرونة عند التفكير والاستعداد لمواجهة التهديدات الأكثر إلحاحًا.

السرعة في إدارة المخاطر تشير إلى قدرة المؤسسة على تجنب الانهيار. من ناحية أخرى ، المرونة هي كيف تتعافى المنظمة منها.

بينما يستعد عملك للتضخم وعدم اليقين الاقتصادي والمخاطر العالمية للركود التضخمي - تباطؤ حاد في النمو - يجب عليك بناء المرونة للتعافي من العقبات مع الحد الأدنى من التأثير على الأعمال.

اكتسبت المرونة أهمية في السنوات الأخيرة. يتكامل مع إدارة المخاطر على مستوى المؤسسة ويعمل عبر المؤسسة ، مما يوفر رؤية شاملة لما هو على المحك. المرونة والمرونة يكملان بعضهما البعض.

تقدم أجيليتي رؤية إستراتيجية لعدم اليقين ، بينما توفر المرونة تدابير تكتيكية للمشاركة عبر الإدارات. المرونة هي أيضًا ثقافة ، لأنها تتطلب اتخاذ إجراءات من جميع أصحاب المصلحة التنظيميين.

يقارن مايكل راسموسن ، خبير مركز الخليج للأبحاث ، هذه الثقافة بجسم الإنسان:

بينما تقر 75٪ من المؤسسات بأن أنظمة التكنولوجيا المنعزلة تشكل تحديًا لإدارة المخاطر ، فإن 35٪ فقط تتخذ إجراءات على مستوى المؤسسة لمعالجة هذه المشكلة.

عندما استفادت الشركات من التكنولوجيا الذكية ووجهة نظر "شاملة وزجاجية" للمخاطر ، وجدت شركة PwC أن مجالس إدارتها ومديريها التنفيذيين لديهم ثقة عالية في قدرة المؤسسة على تحقيق ثقة أصحاب المصلحة ، وزيادة المرونة ، ونتائج أعمال أفضل بخمس مرات .

2. دور رئيس قسم المعلومات آخذ في التطور

لقد تجاوز قادة التكنولوجيا ، مثل مدراء تقنية المعلومات ، أدوارهم "الثانوية" أو "الخلفية" في تنفيذ البرامج وإدارة المشاريع. إنهم الآن في مركز قرارات الشركات ، وأصبحوا من صانعي القرار المهمين في وظائف الأعمال الأساسية مثل التسويق والمبيعات وتطوير المنتجات والتمويل.

وجد تقرير حالة CIO لعام 2022 أن الرؤساء التنفيذيين يرون أن دورهم يكمن في الموازنة بين الابتكار في الأعمال والتميز التشغيلي. يتوقع ثلاثة أرباع قادة تكنولوجيا المعلومات أن يحافظ دورهم على أهميته المكتشفة حديثًا ، مدفوعًا بجهود التحول الرقمي المتسارع ، بغض النظر عن التركيز الدوري للمؤسسات على قضايا تكنولوجيا المعلومات.

وقال أكثر من 80٪ من مدراء تقنية المعلومات إنهم يُنظر إليهم على أنهم صانعو تغيير ، ويركزون على الابتكار.

هذا التحول الدراماتيكي من تقديم خدمات تكنولوجيا المعلومات التقليدية إلى دور أكثر استراتيجية يحرر مدراء المعلومات من التركيز على أهداف العمل. نظرًا لأن قادة التكنولوجيا لديك يقدمون بشكل متزايد حالات العمل إلى المديرين التنفيذيين ، فإنهم يستفيدون من نهج قياس المخاطر لتحقيق الأهداف الاستراتيجية وتقديم رؤى قيمة لبقية C-suite.

كانت المقاييس القديمة لقياس المخاطر ، مثل المنخفضة والمتوسطة والعالية والأحمر والأصفر والأخضر ، ذاتية للغاية وتركت أصحاب المصلحة غير متأكدين من كيفية توافق قرارات المخاطر مع احتياجات العمل. من خلال قياس المخاطر من الناحية النقدية ، يمكن أن يكون لمؤسستك لغة مخاطر مشتركة تُظهر تأثيرها على توليد الإيرادات.

تؤدي هذه اللغة المشتركة إلى رؤية مشتركة للمخاطر - وهو أمر بالغ الأهمية لاتخاذ قرارات الأعمال - مما يزيد من تعزيز دور رئيس قسم المعلومات.

تسهل اللغة المشتركة لتقدير المخاطر أيضًا تخطيط السيناريو وتحليله حيث تجبر الظروف الاقتصادية الشركات على مراجعة ميزانياتها. تختلف استراتيجيات تخفيف المخاطر بشكل كبير في التكلفة وتقليل المخاطر بمبالغ مختلفة. يُمكِّن تقدير حجم المخاطر مدراء تقنية المعلومات من مقارنة عمليات التنفيذ الرقابية ، وموازنة إجراءات التخفيف المناسبة ، وتقديم الملاحظات إلى مجلس الإدارة.

3. تصبح مخاطر الطرف الثالث أكثر خطورة وتتحمل المزيد من التدقيق

تعتمد المنظمات بشكل متزايد على أطراف ثالثة ، من إدارة المرافق والأمن المادي إلى الخدمات القانونية والدعم الفني.

يمكن أن يؤدي دمج خدمات الجهات الخارجية إلى جعل عملك أكثر تنافسية من خلال السماح لك بالاستفادة من المهارات المتخصصة والمعرفة المتخصصة دون تحميل نفسك أعباء تطوير البرامج الداخلية. ولكن مع توسع العلاقات مع الأطراف الثالثة والموردين الذين يمسّون كل جانب من جوانب المؤسسة ، تزداد إمكانات مؤسستك فيما يتعلق بنقاط الضعف.

عندما تعمل مع البائعين ، تصبح مخاطرهم مخاطرك. ماذا بعد؟ تعمل الأطراف الثالثة بشكل متزايد مع الأطراف الثالثة نفسها. أي خرق أو فشل يتعرض له الطرف الثالث (والأطراف الثالثة) يعرض عملك للخطر. بالإضافة إلى الخسائر المالية التي تواجهها بسبب نقاط الضعف لدى الجهات الخارجية ، فإن مؤسستك تخاطر بالمرونة التشغيلية وتضر بالسمعة.

أعربت 73 في المائة من الشركات عن قلقها من أن الأطراف الثالثة تمارس قدرًا كبيرًا من التحكم في بيانات العملاء بامتيازات وتفويضات واسعة النطاق غير ضرورية. وأبلغ ما يقرب من نصف المنظمات عن حدوث خرق للبيانات خلال العام الماضي ، حيث عزا ثلاثة أرباع هذا الانتهاك إلى طرف ثالث يتمتع بامتيازات كثيرة جدًا في حقوق الوصول.

بالإضافة إلى التهديدات التجارية المباشرة التي تنتج عن الخرق ، يمكن أن يكون للخسارة المحتملة لثقة العملاء تأثير كمي فوري على الأعمال من الغرامات التنظيمية أو مخاطر السمعة. وفقًا لشركة IBM ، فإن 38 ٪ من تكلفة خرق البيانات تأتي من الأعمال المفقودة. هذا يضيف ما يصل إلى 1.52 مليون دولار في المتوسط.

لبناء ثقة العملاء في موردي الجهات الخارجية والحفاظ عليها ، تحتاج إلى نهج استباقي لإدارة مخاطر الجهات الخارجية. وسط تصاعد عدم اليقين الاقتصادي ، تحتاج إلى النظر عن كثب إلى شركات الطرف الثالث باعتبارها شركات - أي البائعين مهمين للغاية وأيهم يمكنك التخلص منه بأقل تأثير سلبي.

بينما تقوم المنظمات بتشديد الخناق على تقييم البائعين الحاليين والموافقة على العلاقات الجديدة ، تلعب إدارة المخاطر من طرف ثالث دورًا رئيسيًا. جزء من برنامج GRC الشامل ، تعمل برامج المخاطر التابعة لجهات خارجية على مركزية جميع المعلومات الأساسية حول موردي شركتك ، مما يسهل إدارة الأداء والتكاليف والمخاطر.

تتكون الإدارة الفعالة للمخاطر من طرف ثالث من ثلاثة مكونات: عملية فرز متسقة للبائعين ، وتحديد أولويات البائعين بشكل هادف ، والمراقبة المستمرة.

عمليات المراجعة

نظرًا لأن الجهات الخارجية تصل إلى كل ركن من أركان مؤسستك ، يحتاج الجميع إلى لعب دور في إدارة المخاطر لضمان عدم وقوع أي شيء في الثغرات. كشركة ، يجب أن توافق على معايير التقييم وإطاره لتقييم الأطراف الثالثة. تحتاج أيضًا إلى اتخاذ قرار بشأن مقاييس الأداء الرئيسية.

يمكنك مراجعة العقود لتحديد البائعين الذين لا يفون بالتزاماتهم وفرض وإدارة اتفاقيات مستوى الخدمة (SLAs) بشكل أكثر صرامة. باستخدام برنامج GRC الشامل الصحيح ، يمكن لكل عضو في الفريق الوصول إلى البيانات والأدوات واللغة المشتركة اللازمة لإجراء هذه التقييمات.

تحديد الأولويات

تعمل معظم الشركات مع عشرات البائعين. أفضل طريقة لضمان نجاح إدارة مخاطر الجهات الخارجية هي إعطاء الأولوية للبائعين المهمين. باستخدام هذه التصنيفات ، يمكنك تطوير عملية تسجيل النقاط والإيقاع الذي يعكس أهمية البائع.

اتبع هذه الخطوات للبدء:

• رتب كل علاقة مع طرف ثالث بناءً على مدى أهميتها لعملياتك.
• اذكر بيانات كل مورد أو الوصول إلى الشبكة: أنظمة ومستويات الترخيص.
• لكل مورد ، قم بالتفصيل بالعمليات والوظائف التي يحتمل أن تتأثر بحادث ما.
• استخدم هذه المعلومات لتحديد التفاصيل التي تحتاجها لتقييم نقاط الضعف لدى كل بائع.

المراقبة المستمرة

تقوم معظم الشركات ببعض العناية الواجبة ، لكن العديد منها لا يراقب مخاطر الطرف الثالث بما يتجاوز قائمة المراجعة السنوية. بحلول ذلك الوقت ، قد تكون المعلومات قديمة ، والبائعين غير ممتثلين ، ويكون عملك في خطر.

من خلال المراقبة المستمرة لمخاطر الطرف الثالث الخاصة بك ، فإنك تظل على اطلاع على أسطح المخاطر المتطورة للتخفيف من نقاط الضعف وإنشاء خطط للطوارئ حسب الحاجة ، بناءً على البيانات في الوقت الفعلي بدلاً من المعلومات التي تم جمعها في بداية العلاقة.

TPRM هي رياضة جماعية

تؤثر إدارة مخاطر الطرف الثالث على الجميع بدءًا من قادة الأعمال وفرق التدقيق الداخلي إلى الأقسام القانونية والامتثال وتكنولوجيا المعلومات. باستخدام الأدوات المناسبة والتواصل الواضح ، يمكن لشركتك إدارة مخاطر البائعين لحماية نفسك وعملائك.

4. تكثيف لوائح ESG

ازداد الحديث مؤخرًا حول البيئة ، والاجتماعية ، والحوكمة (ESG) كجزء من مركز الخليج للأبحاث الشامل ، مع جهود ESG التي تقود قرارات التوظيف ، وسلوك المستهلك ، ومداولات مجلس الإدارة ، واستراتيجيات الاستثمار.

بينما في أوائل عام 2022 ، كانت شركات مثل BlackRock تتحدث بصوت عالٍ حول جعل الاستثمار المستدام أولوية ، أثارت التناقضات بين الادعاءات حول صناديق ESG وتقاريرها الفعلية اهتمام المنظمين.

قدمت لجنة الأوراق المالية والبورصات مسودتين من القواعد لتقديم إرشادات لصناديق ESG. تتطلب هذه الإرشادات من شركات الاستثمار والشركات المدرجة في أموالها إثبات مطالبات الاستدامة الخاصة بهم قبل استخدام الأسماء المتعلقة بالاستدامة.

يعتقد أكثر من 80٪ من المستهلكين أنه يجب على الشركات صياغة إرشادات ESG بفعالية ، ويعتقد جميع قادة الأعمال (91٪) تقريبًا أن مؤسستهم مسؤولة عن التعامل مع قضايا ESG. بالإضافة إلى ذلك ، يريد 86٪ من الموظفين العمل في الشركات التي تشاركهم قيمهم.

من قمع الفساد إلى الحفاظ على المساءلة عن أهداف التنوع والإنصاف والإدماج (DEI) إلى الحد من الانبعاثات ، يجب على الشركات أن تأخذ مراقبة ESG والإبلاغ على محمل الجد ، وإلا فإنها تخاطر بالتخلف عن الركب.

ترشد الأطر المختلفة العوامل البيئية والاجتماعية والمؤسسية الأكثر أهمية في صناعات محددة ، لكن الولايات المتحدة ليس لديها معيار ثابت للحوكمة البيئية والاجتماعية والمؤسسية. بينما توفر أطر العمل أهدافًا عامة لإعداد التقارير ، إلا أنها لا توفر نظرة ثاقبة لممارسات إدارة ESG المستمرة.

لتسهيل المراقبة وإعداد التقارير ، يجب على مؤسستك التعامل مع ESG كجزء من برنامج GRC الشامل الخاص بك. من خلال دمج مبادراتك الحالية وبياناتك وأهدافك في برنامج مركز الخليج للأبحاث القوي ، يمكنك اكتساب نظرة ثاقبة على مدى تقدمك في ESG ومخاطره.

ستؤتي هذه الجهود ثمارها حيث تقدم الشركات على نحو متزايد تقارير توضح أن وعودها بشأن الحوكمة البيئية والاجتماعية والمؤسسية تتماشى مع أفعالها.

5. العمل الهجين يعرض الناس لمخاطر الإنترنت

تتطلب المنظمة المرنة هياكل مرنة وقابلة للتكيف في جميع المجالات التشغيلية. بينما يوفر العمل الهجين مرونة للموظفين ، إلا أنه يزيد أيضًا من مخاطر التشغيل.

يجب على المنظمات التي تعمل على تأسيس "وضعها الطبيعي الجديد" في النماذج الهجينة أن تتبنى التغيير وخفة الحركة لحماية البيانات ، وإدارة الموظفين بشكل عادل ، وتحقيق أهداف DEI.

تحديات إدارة المواهب

تقدم نماذج العمل الهجين مخاطر جديدة للقوى العاملة حيث يتعامل المديرون مع تحديات القوى العاملة المزدوجة: إنشاء والحفاظ على علاقات متساوية مع الموظفين في الموقع والموظفين عن بعد. يتمثل أحد مخاطر نماذج العمل الهجينة في أنها تعتمد على أسلوب "الإدارة بالتجول" ، والذي قد يكون غير مواتٍ للعاملين عن بُعد.

لتجنب مثل هذا التناقض ، يجب أن تستثمر مؤسستك في القادة. قم بتزويدهم بالتدريب والتطوير لتعزيز مهارات القيادة الافتراضية ومساعدتهم على بناء اتصالات وعلاقات أفضل مع العاملين عن بُعد.

نهجك في تقييم الأداء يحتاج أيضا إلى التغيير. لا تركز على وقت الموظف "في المكتب". تستند التقييمات إلى ما إذا كان الموظفون يفيون بالتزامات العمل الخاصة بهم ، بغض النظر عن مكان عملهم.

معوقات أمام مبادرات مبادرة التنمية المستدامة

يمكن للمديرين الذين يتنقلون في بيئات العمل الهجينة إنشاء "فئتين" من الموظفين عن غير قصد: العاملون داخل المكتب الذين لديهم اتصال قوي بثقافة الشركة والعاملين عن بُعد الذين لديهم ارتباط أقل بالشركة.

تجد النساء والأشخاص الملونون إشباعًا أكبر في العمل من المنزل ومن المرجح أن يعملوا عن بُعد أكثر من نظرائهم من الذكور البيض. يمكن أن يعيق هذا التفضيل التنقل الداخلي لبعض الموظفين غير الممثلين تمثيلاً ناقصًا ويهدد تقدم أهداف DEI على مستوى الشركة.

لمكافحة هذه المخاطر ، استخدم البيانات لتحديد ما إذا كان التنقل الداخلي وتقييم الأداء ومزايا الموظفين عادلة.

بعد تحليل البيانات ، حدد المشكلات وقم بتكييف استراتيجيات مكان العمل مع مناهج أكثر إنصافًا. راجع هذه الأسئلة بانتظام لمعرفة ما إذا كانت فرقك على المسار الصحيح أو إذا ظهرت مخاوف جديدة.

تهديدات الأمن السيبراني والامتثال

تم تصنيف خروقات البيانات ، والانقطاعات الرئيسية لتكنولوجيا المعلومات ، وهجمات برامج الفدية على أنها أهم مشكلات المخاطر للشركات في جميع أنحاء العالم في عام 2022. العمل عن بُعد ، الذي يساهم في تزايد مخاطر الأمن السيبراني ، لا يذهب إلى أي مكان. قال أكثر من ثلاثة أرباع الموظفين الذين تم تمكينهم عن بُعد لمؤسسة غالوب إنهم يخططون للعمل عن بُعد أو بسعة هجينة حتى عام 2022 على الأقل.

وجد تقرير Tessian's Security Behaviors أن أكثر من نصف قادة تكنولوجيا المعلومات يعتقدون أن موظفيهم قد اختاروا عادات محفوفة بالمخاطر في مجال الأمن السيبراني منذ الانتقال بعيدًا - ويوافق أكثر من ثلث الموظفين على ذلك. عندما يعمل موظفوك من المنزل ، فإنهم يتركون الأمان النسبي للاتصالات الآمنة للمكتب.

يميل الموظفون عن بُعد إلى الوصول إلى مواد العمل على الأجهزة الشخصية. أضف موظفين يعملون من المقاهي والأماكن العامة الأخرى ، ولديك وصفة لكارثة الإنترنت.

وجدت دراسة أجرتها HP Wolf Security أن حوالي ثلث الموظفين يجدون أن السياسات الأمنية تشكل عائقاً ، بل إن العديد منهم يعملون على التحايل على الإجراءات الأمنية. وفقًا للشركة الأمنية ، تعرضت جميع فرق تقنية المعلومات تقريبًا (91٪) لضغوط للتنازل عن الأمن للحفاظ على استمرارية الأعمال ، وقد حددت 8 فرق من أصل 10 العمل عن بُعد على أنه "قنبلة موقوتة" لخرق محتمل.

تبدأ الحماية من انتهاكات البيانات وهجمات برامج الفدية بتحديث ممارسات وسياسات الأمن السيبراني لمؤسستك.

• اعتماد مصادقة متعددة العوامل.
• تأكد من أن تدريب الموظفين يعكس أحدث التطورات في حماية الأمن السيبراني.
• أخيرًا ، قم بتجهيز موظفي تكنولوجيا المعلومات لدعم الموظفين في الإبلاغ عن كل من الاتصالات المشبوهة وأخطائهم دون خوف من الانتقام.

إعطاء الأولوية لإدارة المخاطر

إدارة المخاطر هي مسؤولية الجميع. إن غرس ثقافة المرونة والسيطرة على علاقات الطرف الثالث سيحسن موقفك من المخاطر. تصبح المخاطر ميزة إستراتيجية عندما تقوم بتمكين رئيس قسم المعلومات الخاص بك كصانع تغيير وتلتزم بممارسات قوية لرصد البيئة والحوكمة البيئية والاجتماعية وإعداد التقارير.

من خلال إيلاء الاهتمام المناسب لموظفيك - أكبر الأصول والمخاطر لأي مؤسسة - فإنك تحمي تقدم DEI ، وتكافح التهديدات الإلكترونية المتطورة باستمرار ، وتضمن بقاء فرقك فعالة في البيئات المختلطة المعقدة.

يجب أن يكون تحسين ممارسات الأمن السيبراني لمؤسستك من أولوياتك. اختر تسجيل دخول واحد لجعل المصادقة أكثر أمانًا وأسهل لعملك.