5 trendów GRC: Jak będą ewoluować zarządzanie, ryzyko i zgodność?

Opublikowany: 2022-07-25

Tempo zmian w świecie biznesu jest oszałamiające.

Ryzyka biznesowe zmieniają się codziennie, od dostawców zewnętrznych po łańcuchy dostaw, kwestie regulacyjne, obawy dotyczące prywatności, wyzwania operacyjne, cyberataki, problemy finansowe, zgodność z przepisami dotyczącymi ochrony środowiska i nie tylko.

Te problemy nie są odosobnione – są to powiązane ze sobą ryzyka, które wymagają kompleksowych rozwiązań. Potrzeba świadomego, holistycznego podejścia do zarządzania, ryzyka i zgodności (GRC) nigdy nie była bardziej krytyczna dla organizacji.

W miarę zmian otoczenia biznesowego firmy muszą rozwijać swoje strategie GRC, aby zachować kompleksowy obraz powiązanych ze sobą zagrożeń, zrozumieć finansowe konsekwencje tych zagrożeń i podejmować bardziej świadome decyzje na wszystkich poziomach.

Oto kilka trendów GRC, które pomogą Twojej organizacji przyjąć proaktywne podejście do przekształcania ryzyka w strategiczną przewagę.

1. Kultura odporności i zwinności, aby stawić czoła wyzwaniom GRC

Staraj się, jak możesz, nie możesz uniknąć wszelkiego ryzyka. Firmy muszą rozwijać kulturę odporności, rozważając i przygotowując się na najpilniejsze zagrożenia.

Sprawność w zarządzaniu ryzykiem odnosi się do zdolności organizacji do uniknięcia awarii. Z drugiej strony, odporność to sposób, w jaki organizacja się z niej odzyskuje.

Gdy Twoja firma przygotowuje się na inflację, niepewność gospodarczą i globalne ryzyko stagflacji – gwałtowne spowolnienie wzrostu – musisz zbudować odporność, aby wyjść z przeszkód przy minimalnym wpływie na biznes.

Odporność zyskała na znaczeniu w ostatnich latach. Integruje się z zarządzaniem ryzykiem w całym przedsiębiorstwie i działa w całej organizacji, zapewniając kompleksowy wgląd w to, o co toczy się gra. Zwinność i odporność wzajemnie się uzupełniają.

Agility oferuje strategiczne spojrzenie na niepewność, podczas gdy odporność oferuje taktyczne środki angażujące różne działy. Odporność jest również kulturą, ponieważ wymaga działania wszystkich interesariuszy organizacji.

Ekspert GRC Michael Rasmussen porównuje tę kulturę do ludzkiego ciała:

„Departamenty funkcjonują jako systemy narządów, które działają niezależnie i jednocześnie w celu osiągnięcia tych samych celów. Organizacje muszą wyjść poza izolację systemów, aby rozbić silosy i spojrzeć na ryzyko holistycznie, aby stworzyć silną kulturę odporności”.

Chociaż 75% organizacji przyznaje, że systemy technologii silosowych stanowią wyzwanie w zakresie zarządzania ryzykiem, tylko 35% podejmuje działania na poziomie przedsiębiorstwa, aby rozwiązać ten problem.

Kiedy firmy wykorzystywały inteligentną technologię i „pan-and-glass” spojrzenie na ryzyko, PwC stwierdziło, że ich zarządy i kadra kierownicza były pięć razy bardziej skłonne mieć duże zaufanie do zdolności organizacji do zapewniania zaufania interesariuszy, większej odporności i lepszych wyników biznesowych .

2. Rola CIO ewoluuje

Liderzy technologiczni, tacy jak CIO, przerosli swoje „drugorzędne” lub „zaplecza” role związane z wdrażaniem oprogramowania i zarządzaniem projektami. Są teraz w centrum decyzji korporacyjnych, stając się kluczowymi decydentami w podstawowych funkcjach biznesowych, takich jak marketing, sprzedaż, rozwój produktów i finanse.

Raport o stanie CIO z 2022 r. stwierdza, że ​​CIO postrzegają swoją rolę jako równoważenie innowacji biznesowych z doskonałością operacyjną. Trzy czwarte liderów IT oczekuje, że ich rola utrzyma swoje nowo odkryte znaczenie dzięki przyspieszonym wysiłkom w zakresie transformacji cyfrowej, niezależnie od cyklicznego skupiania się organizacji na kwestiach IT.

Ponad 80% CIO stwierdziło, że są postrzegani jako twórcy zmian, skupieni na innowacjach.

Ta dramatyczna zmiana z tradycyjnego świadczenia usług IT na bardziej strategiczną rolę pozwala dyrektorom IT skupić się na celach biznesowych. W miarę jak liderzy technologiczni coraz częściej prezentują menedżerom przypadki biznesowe, czerpią oni korzyści z podejścia do kwantyfikacji ryzyka, aby osiągnąć cele strategiczne i dostarczyć cenne informacje reszcie kadry kierowniczej.

Starsze skale pomiaru ryzyka, takie jak niska, średnia, wysoka, czerwona, żółta i zielona, ​​były zbyt subiektywne i pozostawiały interesariuszy niepewnych, w jaki sposób decyzje dotyczące ryzyka są zgodne z potrzebami biznesowymi. Ilościowo określając ryzyko w kategoriach pieniężnych, Twoja organizacja może mieć wspólny język ryzyka, który pokazuje jego wpływ na generowanie przychodów.

Ten wspólny język prowadzi do wspólnego spojrzenia na ryzyko – krytyczne dla podejmowania decyzji biznesowych – jeszcze bardziej podnosząc rolę CIO.

Wspólny język kwantyfikacji ryzyka ułatwia również planowanie i analizę scenariuszy, ponieważ warunki ekonomiczne zmuszają firmy do przeglądu swoich budżetów. Strategie ograniczania ryzyka różnią się znacznie kosztami i zmniejszają ryzyko o różne kwoty. Kwantyfikacja ryzyka umożliwia dyrektorom ds. informatyki porównywanie wdrożeń kontroli, rozważanie odpowiednich środków łagodzących i przekazywanie zarządowi informacji zwrotnych.

3. Ryzyko osób trzecich staje się bardziej krytyczne i wymaga większej kontroli

Organizacje w coraz większym stopniu polegają na podmiotach zewnętrznych, od zarządzania obiektami i ochrony fizycznej po usługi prawne i wsparcie techniczne.

Włączenie usług stron trzecich może zwiększyć konkurencyjność Twojej firmy, umożliwiając wykorzystanie specjalistycznych umiejętności i wiedzy eksperckiej bez obciążania się opracowywaniem programów wewnętrznych. Jednak wraz z rozwojem relacji z podmiotami zewnętrznymi i dostawcami, które dotyczą każdego aspektu organizacji, rośnie potencjał Twojej organizacji w zakresie luk w zabezpieczeniach.

Kiedy współpracujesz z dostawcami, ich ryzyko staje się Twoim ryzykiem. Co więcej? Strony trzecie coraz częściej współpracują z samymi stronami trzecimi. Wszelkie naruszenia lub awarie, których doświadczyły Twoje strony trzecie (i ich strony trzecie), narażają Twoją firmę na ryzyko. Oprócz strat finansowych, które ponosisz z powodu podatności stron trzecich, Twoja organizacja ryzykuje odporność operacyjną i utratę reputacji.

Siedemdziesiąt trzy procent firm wyraziło obawę, że strony trzecie sprawują zbyt dużą kontrolę nad danymi klientów z niepotrzebnie rozbudowanymi uprawnieniami i autoryzacjami. Prawie połowa organizacji zgłosiła naruszenie danych w ciągu ostatniego roku, przy czym trzy czwarte przypisuje naruszenie osobie trzeciej, która ma zbyt wiele uprzywilejowanych praw dostępu.

Poza bezpośrednimi zagrożeniami biznesowymi wynikającymi z naruszenia, potencjalna utrata zaufania klientów może mieć bardziej bezpośrednie, ilościowe skutki biznesowe niż kary regulacyjne lub ryzyko utraty reputacji. Według IBM, 38% kosztów naruszenia danych pochodzi z utraconych firm. To daje średnio 1,52 miliona dolarów.

Aby zbudować i utrzymać zaufanie klientów do dostawców zewnętrznych, potrzebne jest proaktywne podejście do zarządzania ryzykiem stron trzecich. W obliczu narastającej niepewności ekonomicznej należy uważnie przyjrzeć się firmom zewnętrznym jako firmom – którzy dostawcy mają kluczowe znaczenie dla misji, a których można wyeliminować przy minimalnym negatywnym wpływie.

W miarę jak organizacje dokręcają śruby oceny obecnych dostawców i zatwierdzania nowych relacji, kluczową rolę odgrywa zarządzanie ryzykiem stron trzecich. Będące częścią całościowego oprogramowania GRC, programy zarządzania ryzykiem innych firm centralizują wszystkie istotne informacje o dostawcach Twojej firmy, ułatwiając zarządzanie wydajnością, kosztami i ryzykiem.

Skuteczne zarządzanie ryzykiem stron trzecich składa się z trzech elementów: spójnego procesu sprawdzania dostawców, znaczącego ustalania priorytetów dostawców i ciągłego monitorowania.

Przejrzyj procesy

Ponieważ strony trzecie docierają do każdego zakątka Twojej organizacji, każdy musi odgrywać rolę w zarządzaniu ryzykiem, aby zapewnić, że nic nie przebije się przez pęknięcia. Jako firma musisz uzgodnić kryteria i ramy oceny stron trzecich. Musisz także zdecydować o kluczowych wskaźnikach wydajności.

Możesz przeglądać umowy w celu zidentyfikowania dostawców, którzy nie spełniają swoich zobowiązań oraz bardziej rygorystycznie egzekwować i zarządzać umowami dotyczącymi poziomu usług (SLA). Dzięki odpowiedniemu holistycznemu oprogramowaniu GRC każdy członek zespołu może uzyskać dostęp do niezbędnych danych, narzędzi i wspólnego języka do przeprowadzania tych ocen.

Priorytetyzacja

Większość firm współpracuje z dziesiątkami dostawców. Najlepszym sposobem na zapewnienie sukcesu w zarządzaniu ryzykiem przez firmy zewnętrzne jest nadanie priorytetu dostawcom o kluczowym znaczeniu. Korzystając z tych rankingów, możesz opracować proces punktacji i rytm, który odzwierciedla znaczenie dostawcy.

Aby rozpocząć, wykonaj następujące czynności:

  • Oceń każdą relację ze stroną trzecią na podstawie tego, jak ważna jest dla Twojej działalności.
  • Wymień dane każdego dostawcy lub dostęp do sieci: systemy i poziomy autoryzacji.
  • W przypadku każdego dostawcy należy szczegółowo opisać operacje i funkcje, na które potencjalnie może mieć wpływ incydent.
  • Użyj tych informacji, aby zdecydować, jakie szczegóły są potrzebne do oceny luk w zabezpieczeniach każdego dostawcy.

Ciągłe monitorowanie

Większość firm przeprowadza pewną należytą staranność, ale wiele z nich nie monitoruje ryzyka stron trzecich poza coroczną listą kontrolną. Do tego czasu informacje mogą być nieaktualne, dostawcy nie spełniający wymagań, a Twoja firma może być zagrożona.

Dzięki ciągłemu monitorowaniu ryzyka ze strony osób trzecich, jesteś na bieżąco z ewoluującymi powierzchniami ryzyka, aby łagodzić podatności i tworzyć plany awaryjne w razie potrzeby, w oparciu o dane w czasie rzeczywistym, a nie informacje zebrane na początku współpracy.

TPRM to sport zespołowy

Zarządzanie ryzykiem stron trzecich dotyczy wszystkich, od liderów biznesowych i zespołów audytu wewnętrznego po działy prawne, zgodności i IT. Dzięki odpowiednim narzędziom i przejrzystej komunikacji Twoja firma może zarządzać ryzykiem dostawcy, aby chronić siebie i swoich klientów.

4. Rozwój przepisów ESG

Rozmowy na temat środowiska, społeczeństwa i zarządzania (ESG) jako części holistycznego GRC ostatnio się nasiliły, a wysiłki ESG napędzają decyzje dotyczące zatrudnienia, zachowania konsumentów, obrady zarządu i strategie inwestycyjne.

Podczas gdy na początku 2022 r. firmy takie jak BlackRock głośno mówiły o uczynieniu zrównoważonego inwestowania priorytetem, sprzeczności między twierdzeniami o funduszach ESG a ich faktycznym raportowaniem wzbudziły zainteresowanie organów regulacyjnych.

Komisja Papierów Wartościowych i Giełd przedstawiła dwa projekty regulaminów, które mają stanowić wytyczne dla funduszy ESG. Wytyczne te wymagałyby od firm inwestycyjnych i firm objętych ich funduszami wykazania swoich twierdzeń dotyczących zrównoważonego rozwoju przed użyciem nazw związanych ze zrównoważonym rozwojem.

Ponad 80% konsumentów uważa, że ​​firmy powinny aktywnie kształtować wytyczne ESG, a prawie wszyscy (91%) liderzy biznesu uważają, że ich organizacja jest odpowiedzialna za działanie w kwestiach ESG. Dodatkowo 86% pracowników chce pracować dla firm, które podzielają ich wartości.

Od walki z korupcją przez utrzymanie odpowiedzialności za cele związane z różnorodnością, równością i integracją (DEI) po redukcję emisji, firmy muszą poważnie traktować monitorowanie i raportowanie ESG, w przeciwnym razie ryzykują pozostanie w tyle.

Różne ramy określają, które czynniki ESG są najważniejsze dla określonych branż, ale Stany Zjednoczone nie mają ustalonego standardu ESG. Chociaż ramy zapewniają ogólne cele raportowania, nie zapewniają wglądu w bieżące praktyki zarządzania ESG.

Aby ułatwić monitorowanie i raportowanie, Twoja organizacja powinna zająć się ESG w ramach całościowego programu GRC. Integrując istniejące inicjatywy, dane i cele z solidnym oprogramowaniem GRC, zyskujesz lepszy wgląd w postępy i ryzyko ESG.

Wysiłki te zaprocentują, ponieważ firmy coraz częściej dostarczają raporty wykazujące, że ich obietnice ESG są zgodne z ich działaniami.

5. Praca hybrydowa wprowadza zagrożenia dla ludzi, zagrożenia cybernetyczne

Odporna organizacja wymaga elastycznych i elastycznych struktur we wszystkich obszarach operacyjnych. Praca hybrydowa zapewnia pracownikom elastyczność, ale zwiększa również ryzyko operacyjne.

Organizacje pracujące nad ustanowieniem swojej „nowej normy” w modelach hybrydowych muszą przyjąć zmiany i elastyczność, aby chronić dane, sprawiedliwie zarządzać pracownikami i realizować cele DEI.

Wyzwania związane z zarządzaniem talentami

Hybrydowe modele pracy wprowadzają nowe ryzyko dotyczące siły roboczej, ponieważ menedżerowie mierzą się z wyzwaniami podwójnej siły roboczej: nawiązywania i utrzymywania równych relacji z pracownikami na miejscu i pracownikami zdalnymi. Jednym z zagrożeń hybrydowych modeli pracy jest to, że opierają się na stylu „zarządzania przez chodzenie”, co może być niekorzystne dla pracowników zdalnych.

Aby uniknąć takiej rozbieżności, Twoja organizacja powinna inwestować w liderów. Zapewnij im szkolenia i rozwój, aby rozwijać umiejętności wirtualnego przywództwa i pomóc im budować lepsze relacje i relacje z pracownikami zdalnymi.

Twoje podejście do oceny wyników również musi się zmienić. Nie skupiaj się na czasie pracownika „w biurze”. Opieraj oceny na tym, czy pracownicy wywiązują się ze swoich obowiązków zawodowych, niezależnie od miejsca pracy.

Przeszkody w inicjatywach DEI

Menedżerowie poruszający się po hybrydowych środowiskach pracy mogą nieumyślnie stworzyć dwie „klasy” pracowników: pracowników biurowych z solidnym połączeniem z kulturą firmy oraz pracowników zdalnych z mniejszym przywiązaniem do firmy.

Kobiety i osoby kolorowe znajdują więcej spełnienia w pracy z domu i częściej pracują zdalnie niż ich biali mężczyźni. Ta preferencja może utrudnić wewnętrzną mobilność niektórych niedostatecznie reprezentowanych pracowników i zagrozić realizacji celów DEI w całej firmie.

Aby zwalczyć to ryzyko, użyj danych, aby określić, czy mobilność wewnętrzna, ocena wyników i świadczenia pracownicze są sprawiedliwe.

Odpowiedz na te pytania jako podstawę do zrozumienia, w jaki sposób praca hybrydowa może opóźnić Twoje wysiłki DEI:

  • Kto spędza więcej czasu w biurze? Czy dane pokazują trendy demograficzne?
  • Jak dużą kontrolę mają różne role nad swoim czasem w biurze?
  • Czy czas spędzony w biurze koreluje z prawdopodobieństwem awansu lub podwyżki płac?
  • Czy taktyki zdalnego zarządzania, takie jak monitorowanie cyfrowe, są konsekwentnie stosowane w różnych grupach demograficznych, czy też niektóre grupy są poddawane większemu nadzorowi niż inne?
  • Jaki jest związek między preferowanym środowiskiem pracy a utrzymaniem i zaangażowaniem pracowników?

Po przeanalizowaniu danych zidentyfikuj problemy i dostosuj strategie w miejscu pracy do bardziej sprawiedliwych podejść. Regularnie przeglądaj te pytania, aby sprawdzić, czy Twoje zespoły są na dobrej drodze lub czy pojawiają się nowe obawy.

Cyberbezpieczeństwo i zagrożenia zgodności

Naruszenia danych, poważne awarie IT i ataki ransomware zostały uznane za największe zagrożenia dla firm na całym świecie w 2022 roku. Praca zdalna, przyczyniająca się do rosnących zagrożeń cyberbezpieczeństwa, prowadzi donikąd. Ponad trzy czwarte pracowników obsługujących zdalnie powiedziało Gallupowi, że planują pracować zdalnie lub w trybie hybrydowym co najmniej do 2022 roku.

Raport dotyczący zachowań bezpieczeństwa firmy Tessian wykazał, że ponad połowa liderów IT uważa, że ​​ich pracownicy nabrali ryzykownych nawyków związanych z cyberbezpieczeństwem od czasu odejścia na odległość — z czym zgadza się ponad jedna trzecia pracowników. Kiedy Twoi pracownicy pracują w domu, pozostawiają względne bezpieczeństwo bezpiecznych połączeń w biurze.

Pracownicy zdalni są bardziej skłonni do dostępu do materiałów roboczych na urządzeniach osobistych. Dodaj do tego pracowników pracujących w kawiarniach i innych miejscach publicznych, a otrzymasz przepis na cyberkatastrofę.

Badanie HP Wolf Security wykazało, że około jedna trzecia pracowników uważa zasady bezpieczeństwa za przeszkodę, a wielu z nich pracuje nawet w celu obejścia zabezpieczeń. Według firmy zajmującej się bezpieczeństwem prawie wszystkie zespoły IT (91%) są pod presją, aby naruszyć zabezpieczenia w celu utrzymania ciągłości biznesowej, a 8 na 10 zespołów określiło pracę zdalną jako „tykającą bombę” potencjalnego naruszenia.

Ochrona przed naruszeniami danych i atakami ransomware zaczyna się od aktualizacji praktyk i zasad cyberbezpieczeństwa w Twojej organizacji.

  • Zastosuj uwierzytelnianie wieloskładnikowe.
  • Upewnij się, że szkolenie pracowników odzwierciedla najnowsze postępy w ochronie cyberbezpieczeństwa.
  • Na koniec wyposaż personel IT, aby wspierał pracowników w zgłaszaniu zarówno podejrzanej komunikacji, jak i własnych błędów bez obawy przed odwetem.

Priorytetyzacja zarządzania ryzykiem

Zarządzanie ryzykiem jest obowiązkiem każdego. Kultywowanie kultury odporności i przejmowanie kontroli nad relacjami z osobami trzecimi poprawi Twoje nastawienie do ryzyka. Ryzyko staje się strategiczną przewagą, gdy wzmocnisz pozycję swojego dyrektora ds. IT jako twórcę zmian i zobowiążesz się do solidnych praktyk monitorowania i raportowania ESG.

Zwracając należytą uwagę na swoich ludzi – największy atut i ryzyko każdej organizacji – chronisz postęp DEI, zwalczasz stale ewoluujące zagrożenia cybernetyczne i zapewniasz, że zespoły pozostają wydajne w skomplikowanych środowiskach hybrydowych.

Poprawa praktyk cyberbezpieczeństwa w Twojej organizacji powinna być Twoim priorytetem. Wybierz logowanie jednokrotne, aby uwierzytelnianie było bezpieczniejsze i łatwiejsze dla Twojej firmy.