GRC の 5 つのトレンド: ガバナンス、リスク、コンプライアンスはどのように進化するのか?

ビジネスの世界の変化の速さには目を見張るものがあります。

ビジネス リスクは、サードパーティのサプライヤーからサプライ チェーン、規制の問題、プライバシーに関する懸念、運用上の課題、サイバー攻撃、財務上の懸念、環境コンプライアンスなどに至るまで、日々進化しています。

これらの問題は孤立したものではなく、包括的なソリューションを必要とする相互に関連したリスクです。 ガバナンス、リスク、およびコンプライアンス (GRC) に対する意識的で全体的なアプローチの必要性は、組織にとってこれまで以上に重要になっています。

ビジネス環境が変化するにつれて、企業は相互に関連するリスクの包括的なビューを維持し、それらのリスクの財務上の影響を理解し、あらゆるレベルでより多くの情報に基づいた意思決定を行うために、GRC 戦略を進化させる必要があります。

ここでは、組織がリスクを戦略的優位性に変換するための積極的なアプローチを取るのに役立ついくつかの GRC トレンドを紹介します。

1. GRC の課題に立ち向かうレジリエンスとアジリティの文化

すべてのリスクを回避することはできません。 企業は、最も差し迫った脅威を考慮して準備する際に、回復力の文化を開発する必要があります。

リスク管理におけるアジリティとは、クラッシュを回避する組織の能力を指します。 一方、回復力は、組織が回復する方法です。

ビジネスがインフレ、経済の不確実性、スタグフレーションの世界的なリスク (成長の急激な減速) に備える際、ビジネスへの影響を最小限に抑えながら障害から回復する回復力を構築する必要があります。

近年、回復力の重要性が増しています。 これは、企業全体のリスク管理と統合され、組織全体で機能し、何が問題になっているのかを包括的に把握できます。 敏捷性と回復力は互いに補完し合います。

俊敏性は不確実性に対する戦略的な見方を提供し、回復力は部門間で関与するための戦術的手段を提供します。 レジリエンスは、すべての組織の利害関係者によるアクションが必要なため、文化でもあります。

GRC の専門家である Michael Rasmussen は、この文化を人体と比較しています。

組織の 75% は、サイロ化されたテクノロジ システムがリスク管理の課題をもたらすことを認識していますが、この問題に対処するためにエンタープライズ レベルのアクションを実行しているのは 35% のみです。

PwC は、企業がインテリジェント テクノロジーと「万能」なリスクの見方を活用した場合、取締役会と経営幹部が、利害関係者の信頼、回復力の向上、ビジネスの成果の向上を実現する組織の能力に高い信頼を寄せる可能性が 5 倍高いことを発見しました。 .

2. CIO の役割は進化している

CIO のような技術リーダーは、ソフトウェアの実装とプロジェクト管理の「二次」または「バックエンド」の役割を超えて成長しています。 彼らは現在、企業の意思決定の中心にあり、マーケティング、販売、製品開発、財務などのコア ビジネス機能における重要な意思決定者になっています。

2022 年の State of the CIO レポートでは、CIO が自らの役割をビジネスの革新と優れた運用のバランスを取ることだと考えていることがわかりました。 IT リーダーの 4 分の 3 は、組織が周期的に IT の問題に焦点を当てているにもかかわらず、加速するデジタル トランスフォーメーションの取り組みによって、自らの役割が新たに発見された重要性を維持することを期待しています。

また、CIO の 80% 以上が、イノベーションに重点を置いたチェンジメーカーと見なされていると述べています。

従来の IT サービス提供からより戦略的な役割へのこの劇的な変化により、CIO はビジネス目標に集中することができます。 テクノロジー リーダーが経営陣にビジネス ケースを提示する機会が増えるにつれて、彼らはリスク定量化アプローチの恩恵を受け、戦略的目標を達成し、残りの経営幹部に貴重な洞察を提供します。

低、中、高、赤、黄、緑などの古いリスク測定スケールはあまりにも主観的であり、リスク決定がビジネス ニーズにどのように適合するかについて利害関係者を不確実にしました。 リスクを金銭的に定量化することで、組織は、収益創出への影響を示す共通のリスク言語を持つことができます。

この共通言語は、ビジネス上の意思決定に不可欠なリスクの共有ビューにつながり、CIO の役割をさらに高めます。

リスク定量化の共通言語は、経済状況によって企業が予算の見直しを余儀なくされている場合でも、シナリオの計画と分析を容易にします。 リスク軽減戦略は、コストが大きく異なり、リスクをさまざまな量だけ軽減します。 リスクの定量化により、CIO は制御の実装を比較し、適切な軽減策を検討し、取締役会にフィードバックを提供できます。

3. サードパーティのリスクはより重大になり、より精査に耐える

組織は、施設管理や物理的セキュリティから法務サービスや技術サポートに至るまで、ますますサードパーティに依存しています。

サードパーティのサービスを組み込むことで、社内プログラムの開発に負担をかけることなく、専門的なスキルと専門知識を活用できるようになるため、ビジネスの競争力を高めることができます。 しかし、組織のあらゆる側面に関与するサードパーティやベンダーとの関係が拡大するにつれて、組織が脆弱になる可能性が高まります。

ベンダーと協力する場合、ベンダーのリスクが自分のリスクになります。 そのうえ？ サードパーティは、ますますサードパーティ自身と協力しています。 サード パーティ (およびそのサード パーティ) が違反や障害を経験すると、ビジネスが危険にさらされます。 サードパーティの脆弱性が原因で直面する経済的損失に加えて、組織は運用上の回復力と評判の低下のリスクにさらされています。

企業の 73% は、サード パーティが不必要に広範な特権と承認を使用して顧客データを管理しすぎていることに懸念を表明しました。 また、組織のほぼ半数が過去 1 年以内にデータ侵害を報告しており、4 分の 3 は、特権アクセス権が多すぎるサード パーティによるものであると考えています。

侵害による差し迫ったビジネス上の脅威に加えて、顧客の信頼を失う可能性は、規制上の罰金や風評リスクよりも差し迫った定量的なビジネス インパクトをもたらす可能性があります。 IBM によると、データ侵害のコストの 38% はビジネスの損失によるものです。 合計すると、平均で 152 万ドルになります。

サードパーティ ベンダーに対する顧客の信頼を構築して維持するには、サードパーティのリスク管理に対する積極的なアプローチが必要です。 経済の不確実性が高まる中で、ビジネスとしてのサードパーティ企業を詳しく調べる必要があります。どのベンダーがミッション クリティカルであり、どのベンダーが最小限の悪影響で排除できるかを検討する必要があります。

組織が現在のベンダーを評価し、新しい関係を承認するというネジを締めるにつれて、サードパーティのリスク管理が重要な役割を果たします。 総合的な GRC ソフトウェアの一部であるサードパーティ リスク プログラムは、会社のサプライヤーに関するすべての重要な情報を一元化し、パフォーマンス、コスト、およびリスクの管理を容易にします。

効果的なサードパーティ リスク管理は、一貫したベンダー スクリーニング プロセス、意味のあるベンダーの優先順位付け、および継続的な監視の 3 つのコンポーネントで構成されます。

レビュープロセス

サード パーティは組織の隅々まで到達するため、全員がリスク管理で役割を果たす必要があり、見落としがないようにする必要があります。 企業として、第三者を評価するための評価基準とフレームワークに同意する必要があります。 また、主要なパフォーマンス メトリックを決定する必要があります。

契約を確認して、コミットメントを満たしていないベンダーを特定し、サービス レベル アグリーメント (SLA) をより厳密に実施および管理することができます。 適切な全体的な GRC ソフトウェアを使用すると、すべてのチーム メンバーが必要なデータ、ツール、および共通言語にアクセスして、これらの評価を実行できます。

優先順位付け

ほとんどの企業は、数十のベンダーと協力しています。 サードパーティのリスク管理を確実に成功させる最善の方法は、重要なベンダーに優先順位を付けることです。 これらのランキングを使用して、ベンダーの重要性を反映するスコアリング プロセスと頻度を開発できます。

開始するには、次の手順に従います。

• 業務にとってどれほど重要であるかに基づいて、各サードパーティとの関係をランク付けします。
• 各ベンダーのデータまたはネットワーク アクセスを一覧表示します。システムと承認のレベルです。
• 各ベンダーについて、インシデントによって影響を受ける可能性のある操作と機能を詳述します。
• この情報を使用して、各ベンダーの脆弱性を評価するために必要な詳細を決定してください。

継続的な監視

ほとんどの企業はある程度のデューデリジェンスを実施していますが、多くの企業は年次チェックリストを超えてサードパーティのリスクを監視していません. それまでに、情報が古くなり、ベンダーがコンプライアンスを遵守しなくなり、ビジネスが危険にさらされる可能性があります。

サードパーティのリスクを継続的に監視することで、進化するリスク サーフェスに遅れずについていき、脆弱性を軽減し、必要に応じて緊急時対応計画を作成します。これは、関係の開始時に収集された情報ではなく、リアルタイム データに基づいて行われます。

TPRMはチームスポーツです

サードパーティ リスクの管理は、ビジネス リーダーや内部監査チームから、法務、コンプライアンス、IT 部門まで、あらゆる人に影響を与えます。 適切なツールと明確なコミュニケーションがあれば、企業はベンダー リスクを管理して、自社と顧客を保護できます。

4. ESG規制の強化

包括的な GRC の一部としての環境、社会、ガバナンス (ESG) に関する会話が最近増加しており、ESG の取り組みが雇用の決定、消費者の行動、取締役会の審議、および投資戦略を促進しています。

2022 年初頭、BlackRock のような企業は持続可能な投資を優先事項とすることを表明していましたが、ESG ファンドに関する主張と実際の報告との間に矛盾があるため、規制当局の関心が高まっています。

証券取引委員会は、ESG ファンドのガイドラインを提供する 2 つの規則草案を提出しました。 これらのガイドラインでは、投資会社とそのファンドに含まれる企業が、持続可能性に関連する名前を使用する前に、持続可能性を主張することを証明する必要があります。

消費者の 80% 以上が、企業は積極的に ESG ガイドラインを作成する必要があると考えており、ほぼすべて (91%) のビジネス リーダーは、組織が ESG 問題に対処する責任があると考えています。 さらに、従業員の 86% が、価値観を共有する企業で働きたいと考えています。

汚職の取り締まりから、ダイバーシティ、エクイティ、インクルージョン (DEI) の目標に対する説明責任の維持、排出量の削減まで、企業は ESG の監視と報告を真剣に受け止めなければなりません。

特定の業界にとってどの ESG 要因が最も重要であるかについては、さまざまなフレームワークが指針を示していますが、米国には ESG に関する確立された基準がありません。 フレームワークは一般的な報告目標を提供しますが、進行中の ESG 管理慣行についての洞察は提供しません。

監視と報告を容易にするために、組織は全体的な GRC プログラムの一部として ESG に対処する必要があります。 既存のイニシアチブ、データ、および目標を堅牢な GRC ソフトウェアに統合することで、ESG の進捗状況とリスクについてより深い洞察を得ることができます。

これらの取り組みは、企業が ESG の約束が行動に沿っていることを示すレポートをますます提供するようになるにつれて、報われるでしょう。

5. ハイブリッド ワークは人的リスク、サイバー リスクをもたらす

回復力のある組織には、すべての運用領域で柔軟で適応可能な構造が必要です。 ハイブリッド ワークは従業員に柔軟性をもたらしますが、運用上のリスクも増大させます。

ハイブリッド モデルで「ニューノーマル」を確立しようとしている組織は、データを保護し、従業員を公正に管理し、DEI の目標を達成するために、変化と俊敏性を受け入れる必要があります。

タレントマネジメントの課題

ハイブリッド ワーク モデルは、マネージャーがデュアル ワークフォースの課題に対応する際に、新たなワークフォース リスクをもたらします。つまり、オンサイトおよびリモートの従業員と対等な関係を確立して維持します。 ハイブリッド ワーキング モデルの危険性の 1 つは、「歩き回って管理する」スタイルに依存していることです。これは、リモート ワーカーにとって不利になる可能性があります。

このような不一致を避けるために、組織はリーダーに投資する必要があります。 トレーニングと開発を提供して、仮想リーダーシップ スキルを育成し、リモート ワーカーとのより良いつながりと関係を構築できるようにします。

パフォーマンス評価へのアプローチも変更する必要があります。 「オフィスにいる」従業員の時間に集中しないでください。 従業員が勤務する場所に関係なく、従業員が職務を遂行しているかどうかに基づいて評価します。

DEI イニシアチブの障害

ハイブリッド ワーク環境をナビゲートするマネージャーは、従業員の 2 つの「クラス」をうっかり作成してしまう可能性があります。会社の文化とのつながりが強いオフィス ワーカーと、会社への愛着が少ないリモート ワーカーです。

女性と有色人種は、白人男性よりも自宅で仕事をすることに充実感を感じており、リモートで仕事をする傾向があります。 この選好は、過小評価されている一部の従業員の社内異動を妨げ、全社的な DEI 目標の進捗を危うくする可能性があります。

このリスクに対抗するには、データを使用して、社内異動、業績評価、従業員福利厚生が公平かどうかを判断します。

データを分析した後、問題を特定し、職場の戦略をより公平なアプローチに適応させます。 これらの質問を定期的に確認して、チームが順調に進んでいるかどうか、または新たな懸念が生じていないかを確認してください。

サイバーセキュリティとコンプライアンスの脅威

データ侵害、大規模な IT 障害、およびランサムウェア攻撃は、2022 年に世界中の企業にとって最大のリスク問題としてランク付けされています。サイバーセキュリティ リスクの増大に寄与するリモート ワークはどこにも行きません。 リモート対応の従業員の 4 分の 3 以上が、少なくとも 2022 年まではリモートまたはハイブリッド キャパシティで働く予定であるとギャラップに語っています。

Tessian の Security Behaviors Report によると、IT リーダーの半数以上が、リモートに移行してから従業員が危険なサイバーセキュリティの習慣を身につけたと考えており、従業員の 3 分の 1 以上が同意しています。 従業員が自宅で仕事をする場合、比較的安全なオフィスの安全な接続から離れます。

リモートの従業員は、個人のデバイスで仕事用資料にアクセスする傾向があります。 コーヒー ショップやその他の公共の場所で働く従業員を加えると、サイバー災害のレシピができあがります。

HP Wolf Security の調査では、従業員の約 3 分の 1 がセキュリティ ポリシーが障害になっていると感じており、その多くがセキュリティ対策を回避しようとさえしていることがわかりました。 セキュリティ会社によると、ほぼすべての IT チーム (91%) が、ビジネスの継続性を維持するためにセキュリティを侵害するというプレッシャーにさらされており、10 チーム中 8 チームがリモート ワークを潜在的な侵害の「刻々と変化する時限爆弾」であると認識しています。

データ侵害やランサムウェア攻撃からの保護は、組織のサイバーセキュリティの慣行とポリシーを更新することから始まります。

• 多要素認証を採用。
• 従業員のトレーニングがサイバーセキュリティ保護の最新の進歩を反映していることを確認してください。
• 最後に、報復を恐れずに疑わしい通信と自分のエラーの両方を従業員が報告できるように、IT スタッフをサポートします。

リスク管理を優先する

リスク管理は全員の責任です。 回復力の文化を育み、サードパーティとの関係を管理することで、リスクに対する態度が改善されます。 チェンジメーカーとして CIO に力を与え、堅牢な ESG の監視と報告の慣行にコミットするとき、リスクは戦略的な優位性になります。

あらゆる組織の最大の資産でありリスクでもある従業員に適切な注意を払うことで、DEI の進歩を保護し、進化し続けるサイバー脅威と戦い、複雑なハイブリッド環境でチームの効率を維持できるようにします。

組織のサイバーセキュリティ対策を改善することが最優先事項です。 シングル サインオンを選択して、ビジネスの認証をより安全かつ簡単にします。