5 Tendințe GRC: Cum vor evolua guvernanța, riscul și conformitatea?

Rata schimbării în lumea afacerilor este uluitoare.

Riscurile de afaceri evoluează zilnic, de la furnizori terți la lanțuri de aprovizionare, probleme de reglementare, preocupări legate de confidențialitate, provocări operaționale, atacuri cibernetice, îngrijorări financiare, conformitatea cu mediul și multe altele.

Aceste probleme nu sunt izolate – sunt riscuri interconectate care necesită soluții cuprinzătoare. Necesitatea unei abordări conștiente, holistică a guvernanței, riscului și conformității (GRC) nu a fost niciodată mai critică pentru organizații.

Pe măsură ce mediul de afaceri se schimbă, companiile trebuie să-și evolueze strategiile GRC pentru a menține o viziune cuprinzătoare asupra riscurilor interconectate, a înțelege implicațiile financiare ale acestor riscuri și a lua decizii mai informate la toate nivelurile.

Iată câteva tendințe GRC pentru a vă ajuta organizația să adopte o abordare proactivă pentru a transforma riscul într-un avantaj strategic.

1. O cultură a rezilienței și a agilității pentru a face față provocărilor GRC

Oricât ai încerca, nu poți evita toate riscurile. Întreprinderile trebuie să dezvolte o cultură a rezilienței în timp ce iau în considerare și se pregătesc pentru cele mai presante amenințări.

Agilitatea în managementul riscului se referă la capacitatea unei organizații de a evita un accident. Pe de altă parte, reziliența este modul în care o organizație își revine după ea.

Pe măsură ce afacerea dvs. se pregătește pentru inflație, incertitudinea economică și riscul global de stagflație - o încetinire bruscă a creșterii - trebuie să vă dezvoltați rezistența pentru a vă recupera din obstacole cu impact minim asupra afacerii.

Reziliența a câștigat importanță în ultimii ani. Se integrează cu managementul riscurilor la nivel de întreprindere și funcționează în întreaga organizație, oferind o viziune cuprinzătoare asupra a ceea ce este în joc. Agilitatea și rezistența se completează reciproc.

Agilitatea oferă o perspectivă strategică a incertitudinii, în timp ce reziliența oferă măsuri tactice pentru a se implica între departamente. Reziliența este, de asemenea, o cultură, deoarece necesită acțiune din partea tuturor părților interesate organizaționale.

Expertul GRC Michael Rasmussen compară această cultură cu corpul uman:

În timp ce 75% dintre organizații recunosc că sistemele tehnologice izolate reprezintă o provocare de gestionare a riscurilor, doar 35% iau măsuri la nivel de întreprindere pentru a rezolva problema.

Când companiile au folosit tehnologia inteligentă și o viziune „pan-and-glass” a riscului, PwC a descoperit că consiliile lor de administrație și directorii lor aveau de cinci ori mai multe șanse de a avea o încredere mare în capacitatea organizației de a oferi încredere părților interesate, o mai mare rezistență și rezultate mai bune în afaceri. .

2. Rolul CIO este în evoluție

Liderii tehnologici, precum CIO, și-au depășit rolurile „secundare” sau „back-end” de implementare a software-ului și management de proiect. Ei sunt acum în centrul deciziilor corporative, devenind factori de decizie critici în funcțiile de bază ale afacerii, cum ar fi marketing, vânzări, dezvoltare de produse și finanțe.

Raportul State of the CIO 2022 constată că CIO văd rolul lor ca echilibrarea inovației în afaceri cu excelența operațională. Trei sferturi dintre liderii IT se așteaptă ca rolul lor să-și mențină noua importanță, determinată de eforturile accelerate de transformare digitală, indiferent de concentrarea ciclică a organizațiilor asupra problemelor IT.

Și mai mult de 80% dintre directorii CIO au spus că sunt priviți ca factori de schimbare, concentrați pe inovare.

Această schimbare dramatică de la prestarea tradițională de servicii IT la un rol mai strategic îi eliberează pe CIO să se concentreze asupra obiectivelor de afaceri. Pe măsură ce liderii dvs. tehnologici prezintă din ce în ce mai multe cazuri de afaceri directorilor, aceștia beneficiază de o abordare de cuantificare a riscurilor pentru a atinge obiectivele strategice și pentru a oferi informații valoroase restului conducerii.

Scalele mai vechi de măsurare a riscului, cum ar fi scăzut, mediu, ridicat, roșu, galben și verde, au fost mult prea subiective și au lăsat părțile interesate nesigure cu privire la modul în care deciziile de risc se aliniau nevoilor afacerii. Cuantificând riscul în termeni monetari, organizația dumneavoastră poate avea un limbaj comun al riscului care arată impactul acestuia asupra generării de venituri.

Acest limbaj comun duce la o viziune comună asupra riscului – critică pentru luarea deciziilor de afaceri – ridicând și mai mult rolul CIO.

Limbajul comun al cuantificării riscurilor facilitează, de asemenea, planificarea și analiza scenariilor, deoarece condițiile economice obligă companiile să-și revizuiască bugetele. Strategiile de atenuare a riscurilor diferă semnificativ în ceea ce privește costul și reduc riscul în cantități diferite. Cuantificarea riscurilor le permite CIO să compare implementările de control, să cântărească atenuările adecvate și să ofere feedback consiliului de administrație.

3. Riscurile terților devin mai critice și sunt supuse unui control mai atent

Organizațiile se bazează din ce în ce mai mult pe terți, de la managementul facilității și securitatea fizică până la servicii juridice și suport tehnic.

Încorporarea serviciilor de la terți vă poate face afacerea mai competitivă, permițându-vă să folosiți abilități specializate și cunoștințe de specialitate fără a vă împovăra cu dezvoltarea de programe interne. Dar pe măsură ce relațiile cu terți și furnizori care ating fiecare aspect al unei organizații se extind, potențialul de vulnerabilități al organizației tale crește.

Când lucrați cu furnizori, riscurile acestora devin riscurile dumneavoastră. Ce e mai mult? Terții lucrează din ce în ce mai mult cu terți înșiși. Orice încălcare sau eșec cu care se confruntă terții dumneavoastră (și terții acestora) vă pune afacerea în pericol. Pe lângă pierderile financiare cu care vă confruntați din cauza vulnerabilităților terțelor părți, organizația dumneavoastră riscă rezistența operațională și deteriorarea reputației.

Șaptezeci și trei la sută dintre companii și-au exprimat îngrijorarea că terții exercită un control prea mare asupra datelor clienților cu privilegii și autorizații inutil de extinse. Și aproape jumătate dintre organizații au raportat o încălcare a datelor în ultimul an, trei sferturi atribuind încălcarea unei terțe părți cu prea multe drepturi de acces privilegiate.

Pe lângă amenințările imediate de afaceri care rezultă dintr-o încălcare, potențiala pierdere a încrederii clienților poate avea un impact mai imediat, cantitativ, asupra afacerii decât amenzile de reglementare sau riscul reputațional. Potrivit IBM, 38% din costul unei breșe de date provine din pierderea afacerii. Asta înseamnă o medie de 1,52 milioane de dolari.

Pentru a construi și a menține încrederea clienților în furnizorii terți, aveți nevoie de o abordare proactivă a gestionării riscurilor de la terți. Pe fondul escaladării incertitudinii economice, trebuie să priviți îndeaproape companiile terțe ca afaceri – care furnizori sunt esențiali pentru misiune și pe care îi puteți elimina cu un impact negativ minim.

Pe măsură ce organizațiile strâng șuruburile evaluării furnizorilor actuali și aprobării noilor relații, managementul riscului de la terți joacă un rol cheie. Parte a unui software holistic GRC, programele de risc ale terților centralizează toate informațiile esențiale despre furnizorii companiei dvs., facilitând gestionarea performanței, costurilor și riscurilor.

Managementul eficient al riscului de la terți constă din trei componente: un proces consecvent de selectare a furnizorilor, prioritizare semnificativă a furnizorilor și monitorizare continuă.

Procesele de revizuire

Deoarece terții ajung în fiecare colț al organizației dvs., toată lumea trebuie să joace un rol în gestionarea riscurilor pentru a se asigura că nimic nu cade prin fisuri. În calitate de companie, trebuie să fiți de acord cu criteriile și cadrul de evaluare pentru evaluarea terților. De asemenea, trebuie să decideți cu privire la valorile cheie de performanță.

Puteți revizui contractele pentru a identifica furnizorii care nu își îndeplinesc angajamentele și pentru a aplica și gestiona acordurile de nivel de servicii (SLA) mai riguros. Cu software-ul holistic GRC potrivit, fiecare membru al echipei poate accesa datele necesare, instrumentele și limbajul comun pentru a efectua aceste evaluări.

Prioritizare

Majoritatea companiilor lucrează cu zeci de furnizori. Cea mai bună modalitate de a asigura succesul managementului riscului de la terți este să acordați prioritate furnizorilor dvs. critici. Folosind aceste clasamente, puteți dezvolta un proces de punctare și o cadență care reflectă importanța furnizorului.

Urmați acești pași pentru a începe:

• Clasificați fiecare relație cu terți în funcție de cât de esențială este aceasta pentru operațiunile dvs.
• Listați datele fiecărui furnizor sau accesul la rețea: sistemele și nivelurile de autorizare.
• Pentru fiecare furnizor, detaliați operațiunile și funcțiile potențial afectate de un incident.
• Utilizați aceste informații pentru a decide ce detalii aveți nevoie pentru a evalua vulnerabilitățile fiecărui furnizor.

Monitorizare continuă

Majoritatea companiilor efectuează o anumită diligență, dar multe nu monitorizează riscurile terților dincolo de o listă de verificare anuală. Până atunci, informațiile ar putea fi depășite, furnizorii neconformi și afacerea dvs. ar putea fi în pericol.

Prin monitorizarea continuă a riscului de la terți, rămâneți la curent cu evoluția suprafețelor de risc pentru a atenua vulnerabilitățile și pentru a crea planuri de urgență după cum este necesar, pe baza datelor în timp real, mai degrabă decât a informațiilor adunate la începutul relației.

TPRM este un sport de echipă

Gestionarea riscului terților îi afectează pe toată lumea, de la liderii de afaceri și echipele de audit intern până la departamentele juridice, de conformitate și IT. Cu instrumentele potrivite și comunicarea clară, afacerea dvs. poate gestiona riscurile furnizorilor pentru a vă proteja pe dvs. și clienții.

4. Amplificarea reglementărilor ESG

Conversația despre mediu, social și guvernanță (ESG) ca parte a unui GRC holistic a crescut recent, eforturile ESG conducând deciziile de angajare, comportamentul consumatorilor, deliberările consiliului de administrație și strategiile de investiții.

În timp ce la începutul anului 2022, companii precum BlackRock s-au exprimat cu voce tare să facă din investițiile durabile o prioritate, contradicțiile dintre afirmațiile despre fondurile ESG și raportarea lor reală au stârnit interesul autorităților de reglementare.

Securities and Exchange Commission a prezentat două proiecte de reguli pentru a oferi linii directoare pentru fondurile ESG. Aceste linii directoare ar solicita firmelor de investiții și companiilor incluse în fondurile lor să-și demonstreze afirmațiile de durabilitate înainte de a utiliza denumiri legate de sustenabilitate.

Peste 80% dintre consumatori cred că companiile ar trebui să modeleze în mod activ liniile directoare ESG, iar aproape toți (91%) liderii de afaceri cred că organizația lor este responsabilă pentru acțiunea în problemele ESG. În plus, 86% dintre angajați doresc să lucreze pentru afaceri care le împărtășesc valorile.

De la combaterea corupției la menținerea răspunderii pentru obiectivele de diversitate, echitate și incluziune (DEI) până la reducerea emisiilor, companiile trebuie să ia în serios monitorizarea și raportarea ESG, altfel riscă să rămână în urmă.

Diverse cadre ghidează factorii ESG cei mai importanți pentru anumite industrii, dar SUA nu are un standard stabilit pentru ESG. În timp ce cadrele oferă obiective generale de raportare, ele nu oferă o perspectivă asupra practicilor de management ESG în curs.

Pentru a facilita monitorizarea și raportarea, organizația dvs. ar trebui să abordeze ESG ca parte a programului dvs. holistic GRC. Prin integrarea inițiativelor, datelor și obiectivelor dvs. existente într-un software robust GRC, obțineți o perspectivă mai bună asupra progresului și riscului dvs. ESG.

Aceste eforturi vor avea roade pe măsură ce companiile furnizează din ce în ce mai multe rapoarte care demonstrează că promisiunile lor ESG se aliniază cu acțiunile lor.

5. Munca hibridă introduce riscuri pentru oameni, riscuri cibernetice

O organizație rezistentă necesită structuri flexibile și adaptabile în toate zonele operaționale. În timp ce munca hibridă oferă angajaților flexibilitate, crește și riscul operațional.

Organizațiile care lucrează pentru a-și stabili „noul normal” în modelele hibride trebuie să îmbrățișeze schimbarea și agilitatea pentru a proteja datele, a gestiona echitabil angajații și a îndeplini obiectivele DEI.

Provocări în managementul talentelor

Modelele de lucru hibride introduc un nou risc pentru forța de muncă, pe măsură ce managerii navighează în provocările unei forțe de muncă duale: stabilirea și menținerea unor relații egale cu angajații de la fața locului și de la distanță. Un pericol al modelelor de lucru hibride este că se bazează pe un stil de „management prin plimbare”, care ar putea fi dezavantajos pentru lucrătorii de la distanță.

Pentru a evita o astfel de discrepanță, organizația dvs. ar trebui să investească în lideri. Oferiți-le formare și dezvoltare pentru a stimula abilitățile de conducere virtuală și pentru a le ajuta să construiască conexiuni și relații mai bune cu lucrătorii de la distanță.

Abordarea dumneavoastră cu privire la evaluarea performanței trebuie, de asemenea, schimbată. Nu vă concentrați pe timpul unui angajat „la birou”. Evaluările se bazează pe dacă angajații își îndeplinesc obligațiile de muncă, indiferent de locul în care lucrează.

Obstacole în calea inițiativelor DEI

Managerii care navighează în medii de lucru hibride pot crea din neatenție două „clase” de angajați: lucrători la birou, cu o conexiune solidă cu cultura companiei și lucrători la distanță cu mai puțin atașament față de companie.

Femeile și persoanele de culoare își găsesc mai multă împlinire lucrând de acasă și au șanse mai mari să lucreze de la distanță decât omologii lor de sex masculin albi. Această preferință poate împiedica mobilitatea internă pentru unii angajați subreprezentați și poate pune în pericol progresul obiectivelor DEI la nivel de companie.

Pentru a combate acest risc, utilizați datele pentru a determina dacă mobilitatea internă, evaluarea performanței și beneficiile angajaților sunt echitabile.

După analizarea datelor, identificați problemele și adaptați strategiile la locul de muncă la abordări mai echitabile. Examinați aceste întrebări în mod regulat pentru a vedea dacă echipele dvs. rămân pe drumul cel bun sau dacă apar noi preocupări.

Amenințări de securitate cibernetică și de conformitate

Încălcările de date, întreruperile majore ale IT și atacurile ransomware au fost clasate ca fiind cele mai importante probleme de risc pentru companiile din întreaga lume în 2022. Lucrarea de la distanță, care contribuie la creșterea riscurilor de securitate cibernetică, nu merge nicăieri. Peste trei sferturi dintre angajații care au acces la distanță au spus lui Gallup că intenționează să lucreze de la distanță sau într-o capacitate hibridă cel puțin până în 2022.

Raportul Tessian privind comportamentele de securitate a constatat că mai mult de jumătate dintre liderii IT cred că angajații lor au luat obiceiuri riscante de securitate cibernetică de când au plecat la distanță – și mai mult de o treime dintre angajați sunt de acord. Când angajații tăi lucrează de acasă, ei părăsesc siguranța relativă a conexiunilor securizate ale biroului.

Angajații de la distanță sunt mai tentați să acceseze materialele de lucru pe dispozitivele personale. Adăugați angajați care lucrează din cafenele și alte locații publice și aveți o rețetă pentru dezastru cibernetic.

Un studiu HP Wolf Security a constatat că aproximativ o treime dintre angajați consideră politicile de securitate un impediment și mulți chiar lucrează pentru a ocoli măsurile de securitate. Potrivit firmei de securitate, aproape toate echipele IT (91%) au fost supuse unei presiuni pentru a compromite securitatea pentru a menține continuitatea afacerii, iar 8 din 10 echipe au identificat munca de la distanță drept „bombă cu ceas” a unei potențiale încălcări.

Protecția împotriva încălcării datelor și a atacurilor ransomware începe cu actualizarea practicilor și politicilor de securitate cibernetică ale organizației dvs.

• Adoptă autentificarea cu mai mulți factori.
• Asigurați-vă că instruirea angajaților reflectă cele mai recente progrese în protecția securității cibernetice.
• În cele din urmă, echipați personalul IT pentru a sprijini angajații să raporteze atât comunicările suspecte, cât și propriile erori, fără teama de represalii.

Prioritizează managementul riscului

Managementul riscului este responsabilitatea tuturor. Cultivarea unei culturi a rezilienței și preluarea controlului asupra relațiilor cu terții vă vor îmbunătăți atitudinea la risc. Riscul devine un avantaj strategic atunci când vă împuterniciți CIO ca factor de schimbare și vă angajați să respectați practicile robuste de monitorizare și raportare ESG.

Acordând atenția cuvenită oamenilor dvs. – cel mai mare atu și risc al oricărei organizații – protejați progresul DEI, combateți amenințările cibernetice în continuă evoluție și vă asigurați că echipele dumneavoastră rămân eficiente în medii hibride complicate.

Îmbunătățirea practicilor de securitate cibernetică ale organizației dvs. ar trebui să fie prioritatea dvs. Alegeți conectarea unică pentru a face autentificarea mai sigură și mai ușoară pentru afacerea dvs.