5 tendenze GRC: come si evolveranno governance, rischio e conformità?

Il tasso di cambiamento nel mondo degli affari è sbalorditivo.

I rischi aziendali si evolvono ogni giorno, dai fornitori di terze parti alle catene di approvvigionamento, problemi normativi, problemi di privacy, sfide operative, attacchi informatici, preoccupazioni finanziarie, conformità ambientale e altro ancora.

Questi problemi non sono isolati: sono rischi interconnessi che richiedono soluzioni complete. La necessità di un approccio olistico e consapevole alla governance, al rischio e alla conformità (GRC) non è mai stata così critica per le organizzazioni.

Man mano che l'ambiente aziendale cambia, le aziende devono evolvere le proprie strategie GRC per mantenere una visione completa dei rischi interconnessi, comprendere le implicazioni finanziarie di tali rischi e prendere decisioni più informate a tutti i livelli.

Ecco alcune tendenze GRC per aiutare la tua organizzazione ad adottare un approccio proattivo per trasformare il rischio in un vantaggio strategico.

1. Una cultura di resilienza e agilità per affrontare le sfide del GRC

Per quanto tu possa provare, non puoi evitare tutti i rischi. Le aziende devono sviluppare una cultura della resilienza mentre considerano e si preparano per le minacce più urgenti.

L' agilità nella gestione del rischio si riferisce alla capacità di un'organizzazione di evitare un arresto anomalo. D'altra parte, la resilienza è il modo in cui un'organizzazione si riprende.

Mentre la tua azienda si prepara all'inflazione, all'incertezza economica e al rischio globale di stagflazione, un forte rallentamento della crescita, devi creare resilienza per riprenderti dagli ostacoli con un impatto minimo sul business.

La resilienza ha acquisito importanza negli ultimi anni. Si integra con la gestione del rischio a livello aziendale e opera in tutta l'organizzazione, fornendo una visione completa della posta in gioco. Agilità e resilienza si completano a vicenda.

L'agilità offre una visione strategica dell'incertezza, mentre la resilienza offre misure tattiche per coinvolgere tutti i reparti. Anche la resilienza è una cultura, poiché richiede l'azione di tutte le parti interessate dell'organizzazione.

L'esperto di GRC Michael Rasmussen confronta questa cultura con il corpo umano:

Mentre il 75% delle organizzazioni riconosce che i sistemi tecnologici in silos rappresentano una sfida di gestione del rischio, solo il 35% intraprende azioni a livello aziendale per affrontare il problema.

Quando le aziende hanno sfruttato la tecnologia intelligente e una visione "pan-and-glass" del rischio, PwC ha scoperto che i loro consigli di amministrazione e dirigenti avevano cinque volte più probabilità di avere un'elevata fiducia nella capacità dell'organizzazione di fornire fiducia agli stakeholder, maggiore resilienza e migliori risultati aziendali .

2. Il ruolo del CIO si sta evolvendo

I leader tecnologici, come i CIO, hanno superato i loro ruoli "secondari" o "back-end" di implementazione del software e gestione dei progetti. Ora sono al centro delle decisioni aziendali, diventando decisori critici nelle funzioni aziendali principali come marketing, vendite, sviluppo prodotto e finanza.

Il rapporto 2022 State of the CIO rileva che i CIO vedono il loro ruolo nel bilanciare l'innovazione aziendale con l'eccellenza operativa. Tre quarti dei leader IT si aspettano che il loro ruolo mantenga la sua ritrovata importanza, guidato da sforzi di trasformazione digitale accelerati, indipendentemente dall'attenzione ciclica delle organizzazioni sulle questioni IT.

E oltre l'80% dei CIO ha affermato di essere visto come un decisore del cambiamento, concentrato sull'innovazione.

Questo drammatico passaggio dalla tradizionale fornitura di servizi IT a un ruolo più strategico consente ai CIO di concentrarsi sugli obiettivi di business. Poiché i leader tecnologici presentano sempre più casi aziendali ai dirigenti, traggono vantaggio da un approccio di quantificazione del rischio per raggiungere obiettivi strategici e forniscono preziose informazioni al resto della C-suite.

Le vecchie scale di misurazione del rischio, come bassa, media, alta, rossa, gialla e verde, erano troppo soggettive e lasciavano le parti interessate incerte su come le decisioni di rischio fossero allineate alle esigenze aziendali. Quantificando il rischio in termini monetari, l'organizzazione può disporre di un linguaggio comune del rischio che ne mostri l'impatto sulla generazione di entrate.

Questo linguaggio condiviso porta a una visione condivisa del rischio, fondamentale per il processo decisionale aziendale, elevando ulteriormente il ruolo del CIO.

Il linguaggio condiviso della quantificazione del rischio facilita anche la pianificazione e l'analisi degli scenari poiché le condizioni economiche costringono le aziende a rivedere i propri budget. Le strategie di mitigazione del rischio differiscono significativamente in termini di costi e riducono il rischio di importi diversi. La quantificazione del rischio consente ai CIO di confrontare le implementazioni di controllo, valutare le mitigazioni appropriate e fornire feedback al consiglio di amministrazione.

3. I rischi di terze parti diventano più critici e subiscono un controllo più accurato

Le organizzazioni si affidano sempre più a terze parti, dalla gestione delle strutture e dalla sicurezza fisica ai servizi legali e al supporto tecnico.

L'incorporazione di servizi di terze parti può rendere la tua azienda più competitiva consentendoti di sfruttare competenze specializzate e conoscenze specialistiche senza gravare te stesso con lo sviluppo di programmi interni. Ma man mano che le relazioni con terze parti e fornitori che toccano ogni aspetto di un'organizzazione si espandono, il potenziale di vulnerabilità dell'organizzazione aumenta.

Quando lavori con i fornitori, i loro rischi diventano i tuoi rischi. Cosa c'è di più? Le terze parti collaborano sempre più spesso con le terze parti stesse. Qualsiasi violazione o fallimento sperimentato dalle tue terze parti (e dalle loro terze parti) mette a rischio la tua attività. Oltre alle perdite finanziarie dovute a vulnerabilità di terze parti, la tua organizzazione rischia la resilienza operativa e danni reputazionali.

Il 73% delle aziende ha espresso preoccupazione per il fatto che terze parti esercitino un controllo eccessivo sui dati dei clienti con privilegi e autorizzazioni inutilmente estesi. E quasi la metà delle organizzazioni ha segnalato una violazione dei dati nell'ultimo anno, con tre quarti che attribuiscono la violazione a una terza parte con troppi diritti di accesso privilegiato.

Oltre alle minacce aziendali immediate che derivano da una violazione, la potenziale perdita di fiducia dei clienti può avere un impatto aziendale più immediato e quantitativo rispetto alle sanzioni normative o al rischio reputazionale. Secondo IBM, il 38% del costo di una violazione dei dati deriva dalla perdita di affari. Ciò equivale a una media di $ 1,52 milioni.

Per creare e mantenere la fiducia dei clienti nei confronti di fornitori di terze parti, è necessario un approccio proattivo alla gestione del rischio di terze parti. In mezzo all'escalation dell'incertezza economica, è necessario guardare da vicino alle aziende di terze parti come aziende: quali fornitori sono mission-critical e quali è possibile eliminare con il minimo impatto negativo.

Man mano che le organizzazioni stringono le viti nella valutazione dei fornitori attuali e nell'approvazione di nuove relazioni, la gestione del rischio di terze parti gioca un ruolo chiave. Parte di un software GRC olistico, i programmi di rischio di terze parti centralizzano tutte le informazioni essenziali sui fornitori della tua azienda, semplificando la gestione delle prestazioni, dei costi e dei rischi.

Un'efficace gestione del rischio di terze parti è costituita da tre componenti: un processo di screening dei fornitori coerente, una definizione delle priorità dei fornitori significativa e un monitoraggio continuo.

Processi di revisione

Poiché le terze parti raggiungono ogni angolo della tua organizzazione, tutti devono svolgere un ruolo nella gestione del rischio per garantire che nulla cada nel vuoto. Come azienda, devi concordare i criteri di valutazione e il quadro per valutare le terze parti. Devi anche decidere le metriche chiave delle prestazioni.

È possibile rivedere i contratti per identificare i fornitori che non rispettano i propri impegni e applicare e gestire gli accordi sul livello di servizio (SLA) in modo più rigoroso. Con il giusto software GRC olistico, ogni membro del team può accedere ai dati, agli strumenti e al linguaggio comune necessari per eseguire queste valutazioni.

Priorità

La maggior parte delle aziende lavora con dozzine di fornitori. Il modo migliore per garantire il successo della gestione del rischio di terze parti è dare la priorità ai fornitori critici. Utilizzando queste classifiche, puoi sviluppare un processo di punteggio e una cadenza che rifletta l'importanza del fornitore.

Segui questi passaggi per iniziare:

• Classifica ogni relazione di terze parti in base a quanto sia essenziale per le tue operazioni.
• Elenca i dati di ciascun fornitore o l'accesso alla rete: i sistemi ei livelli di autorizzazione.
• Per ciascun fornitore, dettaglia le operazioni e le funzioni potenzialmente interessate da un incidente.
• Utilizzare queste informazioni per decidere quali dettagli sono necessari per valutare le vulnerabilità di ciascun fornitore.

Monitoraggio continuo

La maggior parte delle aziende conduce una due diligence, ma molte non monitorano i rischi di terze parti oltre un elenco di controllo annuale. A quel punto, le informazioni potrebbero essere obsolete, i fornitori non conformi e la tua azienda a rischio.

Monitorando continuamente il rischio di terze parti, rimani al passo con l'evoluzione delle superfici di rischio per mitigare le vulnerabilità e creare piani di emergenza secondo necessità, basati su dati in tempo reale anziché sulle informazioni raccolte all'inizio della relazione.

Il TPRM è uno sport di squadra

La gestione del rischio di terze parti interessa tutti, dai leader aziendali e dai team di audit interni ai dipartimenti legali, di conformità e IT. Con gli strumenti giusti e una comunicazione chiara, la tua azienda può gestire i rischi dei fornitori per proteggere te stesso e i tuoi clienti.

4. Evoluzione delle normative ESG

La conversazione su ambiente, sociale e governance (ESG) come parte di un GRC olistico è aumentata di recente, con gli sforzi ESG che guidano le decisioni occupazionali, il comportamento dei consumatori, le deliberazioni del consiglio di amministrazione e le strategie di investimento.

Mentre all'inizio del 2022, aziende come BlackRock si sono espresse a voce alta sul fatto di rendere prioritario l'investimento sostenibile, le contraddizioni tra le affermazioni sui fondi ESG e la loro effettiva rendicontazione hanno suscitato l'interesse delle autorità di regolamentazione.

La Securities and Exchange Commission ha presentato due bozze di regole per fornire linee guida per i fondi ESG. Queste linee guida richiederebbero alle imprese di investimento e alle società incluse nei loro fondi di dimostrare le loro affermazioni sulla sostenibilità prima di utilizzare nomi legati alla sostenibilità.

Oltre l'80% dei consumatori ritiene che le aziende debbano plasmare attivamente le linee guida ESG e quasi tutti (91%) i leader aziendali ritengono che la propria organizzazione sia responsabile dell'agire su questioni ESG. Inoltre, l'86% dei dipendenti desidera lavorare per aziende che condividono i propri valori.

Dalla repressione della corruzione al mantenimento della responsabilità per gli obiettivi di diversità, equità e inclusione (DEI) alla riduzione delle emissioni, le aziende devono prendere sul serio il monitoraggio e la rendicontazione ESG, altrimenti rischiano di rimanere indietro.

Vari framework guidano quali fattori ESG sono più importanti per settori specifici, ma gli Stati Uniti non hanno standard stabiliti per ESG. Sebbene i framework forniscano obiettivi di reporting generali, non forniscono informazioni sulle pratiche di gestione ESG in corso.

Per facilitare il monitoraggio e il reporting, la tua organizzazione dovrebbe affrontare l'ESG come parte del tuo programma GRC olistico. Integrando le iniziative, i dati e gli obiettivi esistenti in un solido software GRC, ottieni una visione più approfondita dei tuoi progressi e rischi ESG.

Questi sforzi ripagheranno man mano che le aziende forniranno sempre più rapporti che dimostrano che le loro promesse ESG sono in linea con le loro azioni.

5. Il lavoro ibrido introduce rischi per le persone, rischi informatici

Un'organizzazione resiliente richiede strutture flessibili e adattabili in tutte le aree operative. Sebbene il lavoro ibrido offra flessibilità ai dipendenti, aumenta anche il rischio operativo.

Le organizzazioni che lavorano per stabilire la loro "nuova normalità" nei modelli ibridi devono abbracciare il cambiamento e l'agilità per proteggere i dati, gestire in modo equo i dipendenti e raggiungere gli obiettivi della DEI.

Sfide di gestione dei talenti

I modelli di lavoro ibridi introducono un nuovo rischio per la forza lavoro mentre i manager affrontano le sfide di una doppia forza lavoro: stabilire e mantenere relazioni paritarie con i dipendenti in loco e remoti. Un pericolo dei modelli di lavoro ibridi è che si basano su uno stile di "gestione camminando", che potrebbe essere svantaggioso per i lavoratori a distanza.

Per evitare una tale discrepanza, la tua organizzazione dovrebbe investire nei leader. Fornire loro formazione e sviluppo per promuovere le capacità di leadership virtuale e aiutarli a costruire migliori connessioni e relazioni con i lavoratori a distanza.

Anche il tuo approccio alla valutazione delle prestazioni deve cambiare. Non concentrarti sul tempo di un dipendente "in ufficio". Basare le valutazioni sul fatto che i dipendenti adempiano ai propri obblighi di lavoro, indipendentemente da dove lavorano.

Ostacoli alle iniziative del DEI

I manager che navigano in ambienti di lavoro ibridi possono inavvertitamente creare due "classi" di dipendenti: lavoratori in ufficio con una solida connessione alla cultura aziendale e lavoratori remoti con meno attaccamento all'azienda.

Le donne e le persone di colore trovano più appagamento nel lavorare da casa e hanno maggiori probabilità di lavorare da remoto rispetto ai loro colleghi maschi bianchi. Questa preferenza può ostacolare la mobilità interna di alcuni dipendenti sottorappresentati e compromettere il progresso degli obiettivi della DEI a livello aziendale.

Per combattere questo rischio, utilizzare i dati per determinare se la mobilità interna, la valutazione delle prestazioni e i benefici per i dipendenti sono equi.

Dopo aver analizzato i dati, identificare i problemi e adattare le strategie sul posto di lavoro ad approcci più equi. Rivedi queste domande regolarmente per vedere se i tuoi team stanno seguendo la rotta o se emergono nuove preoccupazioni.

Minacce alla sicurezza informatica e alla conformità

Le violazioni dei dati, le principali interruzioni dell'IT e gli attacchi ransomware sono stati classificati come i principali problemi di rischio per le aziende di tutto il mondo nel 2022. Il lavoro a distanza, contribuendo ai crescenti rischi per la sicurezza informatica, non sta andando da nessuna parte. Oltre tre quarti dei dipendenti abilitati a distanza hanno detto a Gallup che intendono lavorare da remoto o in modalità ibrida almeno fino al 2022.

Il rapporto sui comportamenti di sicurezza di Tessian ha rilevato che più della metà dei leader IT ritiene che i propri dipendenti abbiano acquisito abitudini di sicurezza informatica rischiose da quando sono passati al remoto e più di un terzo dei dipendenti è d'accordo. Quando i tuoi dipendenti lavorano da casa, lasciano la relativa sicurezza delle connessioni sicure dell'ufficio.

I dipendenti remoti sono più tentati di accedere ai materiali di lavoro sui dispositivi personali. Aggiungi i dipendenti che lavorano nelle caffetterie e in altri luoghi pubblici e hai una ricetta per il disastro informatico.

Uno studio HP Wolf Security ha rilevato che circa un terzo dei dipendenti ritiene che le politiche di sicurezza siano un ostacolo e molti addirittura lavorano per aggirare le misure di sicurezza. Secondo l'azienda di sicurezza, quasi tutti i team IT (91%) hanno subito pressioni per compromettere la sicurezza per mantenere la continuità aziendale e 8 team su 10 hanno identificato il lavoro da remoto come una "bomba a orologeria" di una potenziale violazione.

La protezione contro le violazioni dei dati e gli attacchi ransomware inizia con l'aggiornamento delle pratiche e delle politiche di sicurezza informatica dell'organizzazione.

• Adotta l'autenticazione a più fattori.
• Assicurati che la formazione dei dipendenti rifletta gli ultimi progressi nella protezione della sicurezza informatica.
• Infine, equipaggia il personale IT per supportare i dipendenti nella segnalazione di comunicazioni sospette e dei propri errori senza timore di ritorsioni.

Dai priorità alla gestione del rischio

La gestione del rischio è responsabilità di tutti. Coltivare una cultura della resilienza e assumere il controllo delle relazioni con terze parti migliorerà la tua attitudine al rischio. Il rischio diventa un vantaggio strategico quando abiliti il ​​tuo CIO a fare il cambiamento e ti impegni in solide pratiche di monitoraggio e reporting ESG.

Prestando la giusta attenzione al tuo personale, la risorsa e il rischio più grande di qualsiasi organizzazione, proteggi i progressi della DEI, combatti le minacce informatiche in continua evoluzione e garantisci che i tuoi team rimangano efficienti in complicati ambienti ibridi.

Il miglioramento delle pratiche di sicurezza informatica della tua organizzazione dovrebbe essere la tua priorità. Scegli il single sign-on per rendere l'autenticazione più sicura e semplice per la tua azienda.