5 Tren GRC: Bagaimana Tata Kelola, Risiko, dan Kepatuhan Berkembang?

Tingkat perubahan dalam dunia bisnis sangat mencengangkan.

Risiko bisnis berkembang setiap hari, dari pemasok pihak ketiga hingga rantai pasokan, masalah peraturan, masalah privasi, tantangan operasional, serangan dunia maya, kekhawatiran keuangan, kepatuhan lingkungan, dan banyak lagi.

Masalah-masalah ini tidak terisolasi – mereka adalah risiko yang saling berhubungan yang membutuhkan solusi komprehensif. Kebutuhan akan pendekatan yang sadar dan holistik terhadap tata kelola, risiko, dan kepatuhan (GRC) tidak pernah sepenting ini bagi organisasi.

Seiring perubahan lingkungan bisnis, perusahaan perlu mengembangkan strategi GRC mereka untuk mempertahankan pandangan komprehensif tentang risiko yang saling berhubungan, memahami implikasi keuangan dari risiko tersebut, dan membuat keputusan yang lebih tepat di semua tingkatan.

Berikut adalah beberapa tren GRC untuk membantu organisasi Anda mengambil pendekatan proaktif untuk mengubah risiko menjadi keuntungan strategis.

1. Budaya ketangguhan dan ketangkasan menghadapi tantangan GRC

Berusahalah semaksimal mungkin, Anda tidak dapat menghindari semua risiko. Bisnis harus mengembangkan budaya ketahanan saat mereka mempertimbangkan dan bersiap menghadapi ancaman yang paling mendesak.

Kelincahan dalam manajemen risiko mengacu pada kemampuan organisasi untuk menghindari kecelakaan. Di sisi lain, ketahanan adalah bagaimana sebuah organisasi pulih darinya.

Saat bisnis Anda bersiap menghadapi inflasi, ketidakpastian ekonomi, dan risiko global stagflasi – perlambatan pertumbuhan yang tajam – Anda harus membangun ketahanan untuk pulih dari hambatan dengan dampak bisnis yang minimal.

Ketahanan menjadi penting dalam beberapa tahun terakhir. Ini terintegrasi dengan manajemen risiko di seluruh perusahaan dan bekerja di seluruh organisasi, memberikan pandangan komprehensif tentang apa yang dipertaruhkan. Kelincahan dan ketangguhan saling melengkapi.

Kelincahan menawarkan pandangan strategis tentang ketidakpastian, sementara ketahanan menawarkan langkah-langkah taktis untuk terlibat di seluruh departemen. Ketahanan juga merupakan budaya, karena membutuhkan tindakan dari semua pemangku kepentingan organisasi.

Pakar GRC Michael Rasmussen membandingkan budaya ini dengan tubuh manusia:

Sementara 75% organisasi mengakui bahwa sistem teknologi tersembunyi menimbulkan tantangan manajemen risiko, hanya 35% yang mengambil tindakan tingkat perusahaan untuk mengatasi masalah tersebut.

Ketika perusahaan memanfaatkan teknologi cerdas dan pandangan risiko "pan-and-glass", PwC menemukan bahwa dewan dan eksekutif mereka lima kali lebih mungkin memiliki keyakinan tinggi pada kemampuan organisasi untuk memberikan kepercayaan pemangku kepentingan, ketahanan yang lebih besar, dan hasil bisnis yang lebih baik. .

2. Peran CIO berkembang

Pemimpin teknologi, seperti CIO, telah melampaui peran "sekunder" atau "back-end" mereka dalam implementasi perangkat lunak dan manajemen proyek. Mereka sekarang berada di pusat keputusan perusahaan, menjadi pengambil keputusan penting dalam fungsi bisnis inti seperti pemasaran, penjualan, pengembangan produk, dan keuangan.

Laporan State of the CIO 2022 menemukan bahwa CIO melihat peran mereka sebagai penyeimbang inovasi bisnis dengan keunggulan operasional. Tiga perempat pemimpin TI mengharapkan peran mereka untuk mempertahankan kepentingannya yang baru ditemukan, didorong oleh upaya transformasi digital yang dipercepat, terlepas dari fokus siklus organisasi pada masalah TI.

Dan lebih dari 80% CIO mengatakan bahwa mereka dipandang sebagai pembuat perubahan, yang berfokus pada inovasi.

Pergeseran dramatis dari penyampaian layanan TI tradisional ke peran yang lebih strategis ini membebaskan CIO untuk fokus pada tujuan bisnis. Saat para pemimpin teknologi Anda semakin menyajikan kasus bisnis kepada para eksekutif, mereka mendapat manfaat dari pendekatan kuantifikasi risiko untuk mencapai tujuan strategis dan memberikan wawasan berharga ke seluruh C-suite.

Skala pengukuran risiko yang lebih lama, seperti rendah, sedang, tinggi, merah, kuning, dan hijau, terlalu subjektif dan membuat pemangku kepentingan tidak yakin tentang bagaimana keputusan risiko selaras dengan kebutuhan bisnis. Dengan mengukur risiko dalam istilah moneter, organisasi Anda dapat memiliki bahasa risiko umum yang menunjukkan dampaknya terhadap perolehan pendapatan.

Bahasa bersama ini mengarah pada pandangan bersama tentang risiko – penting untuk pengambilan keputusan bisnis – semakin meningkatkan peran CIO.

Bahasa bersama kuantifikasi risiko juga memfasilitasi perencanaan dan analisis skenario karena kondisi ekonomi memaksa perusahaan untuk meninjau anggaran mereka. Strategi mitigasi risiko berbeda secara signifikan dalam biaya dan mengurangi risiko dengan jumlah yang berbeda. Kuantifikasi risiko memungkinkan CIO untuk membandingkan implementasi kontrol, menimbang mitigasi yang sesuai, dan memberikan umpan balik kepada dewan.

3. Risiko pihak ketiga menjadi lebih kritis dan lebih tahan terhadap pengawasan

Organisasi semakin bergantung pada pihak ketiga, mulai dari manajemen fasilitas dan keamanan fisik hingga layanan hukum dan dukungan teknis.

Memasukkan layanan pihak ketiga dapat membuat bisnis Anda lebih kompetitif dengan memungkinkan Anda memanfaatkan keterampilan khusus dan pengetahuan ahli tanpa membebani diri Anda dengan mengembangkan program internal. Namun seiring dengan berkembangnya hubungan dengan pihak ketiga dan vendor yang menyentuh setiap aspek organisasi, potensi kerentanan organisasi Anda akan meningkat.

Ketika Anda bekerja dengan vendor, risiko mereka menjadi risiko Anda. Apalagi? Pihak ketiga semakin banyak bekerja dengan pihak ketiga itu sendiri. Setiap pelanggaran atau kegagalan yang dialami oleh pihak ketiga Anda (dan pihak ketiga mereka) menempatkan bisnis Anda dalam risiko. Selain kerugian finansial yang Anda hadapi karena kerentanan pihak ketiga, organisasi Anda berisiko mengalami ketahanan operasional dan kerusakan reputasi.

Tujuh puluh tiga persen perusahaan menyatakan keprihatinan bahwa pihak ketiga melakukan terlalu banyak kontrol atas data pelanggan dengan hak istimewa dan otorisasi yang tidak perlu. Dan hampir setengah dari organisasi telah melaporkan pelanggaran data dalam setahun terakhir, dengan tiga perempat menghubungkan pelanggaran tersebut ke pihak ketiga dengan terlalu banyak hak akses istimewa.

Selain ancaman bisnis langsung yang dihasilkan dari pelanggaran, potensi hilangnya kepercayaan pelanggan dapat memiliki dampak bisnis kuantitatif yang lebih cepat daripada denda peraturan atau risiko reputasi. Menurut IBM, 38% dari biaya pelanggaran data berasal dari bisnis yang hilang. Itu menambahkan hingga rata-rata $ 1,52 juta.

Untuk membangun dan mempertahankan kepercayaan pelanggan pada vendor pihak ketiga, Anda memerlukan pendekatan proaktif terhadap manajemen risiko pihak ketiga. Di tengah meningkatnya ketidakpastian ekonomi, Anda perlu mencermati perusahaan pihak ketiga sebagai bisnis – vendor mana yang sangat penting dan mana yang dapat Anda hilangkan dengan dampak negatif yang minimal.

Ketika organisasi memperketat sekrup mengevaluasi vendor saat ini dan menyetujui hubungan baru, manajemen risiko pihak ketiga memainkan peran kunci. Sebagai bagian dari perangkat lunak GRC holistik, program risiko pihak ketiga memusatkan semua informasi penting tentang pemasok perusahaan Anda, membuatnya lebih mudah untuk mengelola kinerja, biaya, dan risiko.

Manajemen risiko pihak ketiga yang efektif terdiri dari tiga komponen: proses penyaringan vendor yang konsisten, prioritas vendor yang berarti, dan pemantauan berkelanjutan.

Tinjau proses

Karena pihak ketiga menjangkau setiap sudut organisasi Anda, setiap orang perlu berperan dalam manajemen risiko untuk memastikan tidak ada yang gagal. Sebagai perusahaan, Anda harus menyetujui kriteria dan kerangka evaluasi untuk mengevaluasi pihak ketiga. Anda juga perlu memutuskan metrik kinerja utama.

Anda dapat meninjau kontrak untuk mengidentifikasi vendor yang tidak memenuhi komitmen mereka dan menegakkan serta mengelola perjanjian tingkat layanan (SLA) dengan lebih ketat. Dengan perangkat lunak GRC holistik yang tepat, setiap anggota tim dapat mengakses data, alat, dan bahasa umum yang diperlukan untuk melakukan evaluasi ini.

Prioritas

Sebagian besar bisnis bekerja dengan lusinan vendor. Cara terbaik untuk memastikan keberhasilan manajemen risiko pihak ketiga adalah dengan memprioritaskan vendor penting Anda. Dengan menggunakan peringkat ini, Anda dapat mengembangkan proses penilaian dan irama yang mencerminkan pentingnya vendor.

Ikuti langkah-langkah ini untuk memulai:

• Beri peringkat setiap hubungan pihak ketiga berdasarkan seberapa penting hubungan tersebut untuk operasi Anda.
• Daftar data masing-masing vendor atau akses jaringan: sistem dan tingkat otorisasi.
• Untuk setiap vendor, perinci operasi dan fungsi yang berpotensi terkena dampak insiden.
• Gunakan informasi ini untuk memutuskan detail apa yang Anda perlukan untuk mengevaluasi kerentanan setiap vendor.

Pemantauan terus menerus

Sebagian besar perusahaan melakukan uji tuntas, tetapi banyak yang tidak memantau risiko pihak ketiga di luar daftar periksa tahunan. Pada saat itu, informasi dapat menjadi usang, vendor tidak patuh, dan bisnis Anda berisiko.

Dengan terus memantau risiko pihak ketiga Anda, Anda tetap mengikuti perkembangan permukaan risiko untuk mengurangi kerentanan dan membuat rencana darurat sesuai kebutuhan, berdasarkan data waktu nyata dan bukan informasi yang dikumpulkan di awal hubungan.

TPRM adalah olahraga tim

Mengelola risiko pihak ketiga memengaruhi semua orang mulai dari pemimpin bisnis dan tim audit internal hingga departemen hukum, kepatuhan, dan TI. Dengan alat yang tepat dan komunikasi yang jelas, bisnis Anda dapat mengelola risiko vendor untuk melindungi diri Anda dan pelanggan Anda.

4. Peningkatan regulasi LST

Percakapan tentang lingkungan, sosial, dan tata kelola (ESG) sebagai bagian dari GRC holistik telah meningkat baru-baru ini, dengan upaya LST mendorong keputusan ketenagakerjaan, perilaku konsumen, pertimbangan dewan, dan strategi investasi.

Sementara di awal tahun 2022, perusahaan seperti BlackRock telah vokal tentang menjadikan investasi berkelanjutan sebagai prioritas, kontradiksi antara klaim tentang dana ESG dan pelaporan aktual mereka telah memicu minat regulator.

Komisi Sekuritas dan Bursa mengajukan dua rancangan aturan untuk memberikan pedoman bagi dana LST. Pedoman ini akan mengharuskan perusahaan investasi dan perusahaan yang dimasukkan dalam dana mereka untuk menunjukkan klaim keberlanjutan mereka sebelum menggunakan nama yang terkait dengan keberlanjutan.

Lebih dari 80% konsumen percaya bahwa perusahaan harus secara aktif membentuk pedoman LST, dan hampir semua (91%) pemimpin bisnis percaya bahwa organisasi mereka bertanggung jawab untuk bertindak atas masalah LST. Selain itu, 86% karyawan ingin bekerja untuk bisnis yang memiliki nilai yang sama.

Mulai dari memberantas korupsi hingga mempertahankan tujuan akuntabilitas untuk keragaman, kesetaraan, dan inklusi (DEI) hingga pengurangan emisi, perusahaan harus melakukan pemantauan dan pelaporan LST dengan serius, atau mereka berisiko tertinggal.

Berbagai kerangka kerja memandu faktor LST mana yang paling penting bagi industri tertentu, tetapi AS tidak memiliki standar yang ditetapkan untuk LST. Meskipun kerangka kerja memberikan tujuan pelaporan umum, kerangka tersebut tidak memberikan wawasan tentang praktik pengelolaan LST yang sedang berlangsung.

Untuk memfasilitasi pemantauan dan pelaporan, organisasi Anda harus menangani LST sebagai bagian dari program GRC holistik Anda. Dengan mengintegrasikan inisiatif, data, dan tujuan Anda yang ada ke dalam perangkat lunak GRC yang kuat, Anda mendapatkan wawasan yang lebih luas tentang kemajuan dan risiko LST Anda.

Upaya ini akan membuahkan hasil karena perusahaan semakin banyak memberikan laporan yang menunjukkan bahwa janji LST mereka selaras dengan tindakan mereka.

5. Pekerjaan hibrida memperkenalkan risiko orang, risiko dunia maya

Organisasi yang tangguh membutuhkan struktur yang fleksibel dan mudah beradaptasi di semua area operasional. Sementara pekerjaan hybrid menawarkan fleksibilitas karyawan, itu juga meningkatkan risiko operasional.

Organisasi yang bekerja untuk membangun "normal baru" mereka dalam model hibrida harus merangkul perubahan dan kelincahan untuk melindungi data, mengelola karyawan secara adil, dan memenuhi tujuan DEI.

Tantangan manajemen bakat

Model kerja hibrida memperkenalkan risiko tenaga kerja baru saat manajer menavigasi tantangan tenaga kerja ganda: membangun dan memelihara hubungan yang setara dengan karyawan di lokasi dan jarak jauh. Salah satu bahaya model kerja hibrida adalah mereka mengandalkan gaya "manajemen dengan berjalan-jalan", yang dapat merugikan pekerja jarak jauh.

Untuk menghindari perbedaan seperti itu, organisasi Anda harus berinvestasi pada pemimpin. Beri mereka pelatihan dan pengembangan untuk mendorong keterampilan kepemimpinan virtual dan membantu mereka membangun koneksi dan hubungan yang lebih baik dengan pekerja jarak jauh.

Pendekatan Anda terhadap evaluasi kinerja juga perlu diubah. Jangan fokus pada waktu karyawan "di kantor". Dasar evaluasi apakah karyawan memenuhi kewajiban kerja mereka, di mana pun mereka bekerja.

Hambatan untuk inisiatif DEI

Manajer yang menavigasi lingkungan kerja hibrida dapat secara tidak sengaja menciptakan dua "kelas" karyawan: pekerja di kantor dengan koneksi yang kuat dengan budaya perusahaan dan pekerja jarak jauh dengan lebih sedikit keterikatan pada perusahaan.

Wanita dan orang kulit berwarna menemukan kepuasan lebih dalam bekerja dari rumah dan lebih cenderung bekerja dari jarak jauh daripada rekan pria kulit putih mereka. Preferensi ini dapat menghambat mobilitas internal untuk beberapa karyawan yang kurang terwakili dan membahayakan kemajuan tujuan DEI di seluruh perusahaan.

Untuk memerangi risiko ini, gunakan data untuk menentukan apakah mobilitas internal, evaluasi kinerja, dan tunjangan karyawan adil.

Setelah menganalisis data, identifikasi masalah dan sesuaikan strategi tempat kerja dengan pendekatan yang lebih adil. Tinjau pertanyaan-pertanyaan ini secara teratur untuk melihat apakah tim Anda tetap pada jalurnya atau jika ada masalah baru.

Ancaman keamanan siber dan kepatuhan

Pelanggaran data, pemadaman TI besar, dan serangan ransomware telah diperingkatkan sebagai masalah risiko teratas untuk bisnis di seluruh dunia pada tahun 2022. Pekerjaan jarak jauh, yang berkontribusi pada meningkatnya risiko keamanan siber, tidak akan menghasilkan apa-apa. Lebih dari tiga perempat karyawan yang mendukung jarak jauh memberi tahu Gallup bahwa mereka berencana untuk bekerja dari jarak jauh atau dalam kapasitas hibrida setidaknya hingga 2022.

Laporan Perilaku Keamanan Tessian menemukan bahwa lebih dari separuh pemimpin TI percaya bahwa karyawan mereka telah mengambil kebiasaan keamanan siber yang berisiko sejak pergi jauh – dan lebih dari sepertiga karyawan setuju. Ketika karyawan Anda bekerja dari rumah, mereka meninggalkan koneksi aman kantor yang relatif aman.

Karyawan jarak jauh lebih tergoda untuk mengakses materi kerja di perangkat pribadi. Tambahkan karyawan yang bekerja dari kedai kopi dan lokasi umum lainnya, dan Anda memiliki resep untuk bencana dunia maya.

Sebuah studi HP Wolf Security menemukan bahwa sekitar sepertiga karyawan menganggap kebijakan keamanan sebagai hambatan, dan banyak yang bahkan bekerja untuk menghindari tindakan keamanan. Menurut perusahaan keamanan, hampir semua tim TI (91%) berada di bawah tekanan untuk membahayakan keamanan untuk menjaga kelangsungan bisnis, dan 8 dari 10 tim mengidentifikasi pekerjaan jarak jauh sebagai "bom waktu" dari potensi pelanggaran.

Melindungi dari pelanggaran data dan serangan ransomware dimulai dengan memperbarui praktik dan kebijakan keamanan siber organisasi Anda.

• Mengadopsi otentikasi multi-faktor.
• Pastikan pelatihan karyawan mencerminkan kemajuan terbaru dalam perlindungan keamanan siber.
• Terakhir, lengkapi staf TI untuk mendukung karyawan dalam melaporkan komunikasi yang mencurigakan dan kesalahan mereka sendiri tanpa takut akan pembalasan.

Prioritaskan manajemen risiko

Manajemen risiko adalah tanggung jawab semua orang. Menumbuhkan budaya ketahanan dan mengendalikan hubungan pihak ketiga akan meningkatkan sikap risiko Anda. Risiko menjadi keuntungan strategis ketika Anda memberdayakan CIO Anda sebagai pembuat perubahan dan berkomitmen pada praktik pemantauan dan pelaporan LST yang kuat.

Dengan memberikan perhatian yang tepat kepada orang-orang Anda – aset dan risiko terbesar organisasi mana pun – Anda melindungi kemajuan DEI, memerangi ancaman dunia maya yang terus berkembang, dan memastikan tim Anda tetap efisien dalam lingkungan hibrid yang rumit.

Meningkatkan praktik keamanan siber organisasi Anda harus menjadi prioritas Anda. Pilih sistem masuk tunggal untuk membuat autentikasi lebih aman dan mudah bagi bisnis Anda.