5 тенденций GRC: как будут развиваться управление, риски и соблюдение нормативных требований?

Скорость изменений в деловом мире ошеломляет.

Бизнес-риски меняются ежедневно: от сторонних поставщиков до цепочек поставок, вопросов регулирования, проблем с конфиденциальностью, операционных проблем, кибератак, финансовых проблем, соблюдения экологических норм и многого другого.

Эти проблемы не изолированы — это взаимосвязанные риски, требующие комплексных решений. Потребность в сознательном целостном подходе к управлению, рискам и соблюдению требований (GRC) никогда не была так важна для организаций.

По мере изменения бизнес-среды компаниям необходимо развивать свои стратегии GRC, чтобы поддерживать всестороннее представление о взаимосвязанных рисках, понимать финансовые последствия этих рисков и принимать более обоснованные решения на всех уровнях.

Вот некоторые тенденции GRC, которые помогут вашей организации использовать упреждающий подход для преобразования риска в стратегическое преимущество.

1. Культура устойчивости и гибкости для решения проблем GRC

Как бы вы ни старались, вы не можете избежать всех рисков. Предприятия должны развивать культуру устойчивости, поскольку они учитывают самые насущные угрозы и готовятся к ним.

Гибкость в управлении рисками относится к способности организации избежать краха. С другой стороны, отказоустойчивость — это то, как организация восстанавливается после него.

По мере того, как ваш бизнес готовится к инфляции, экономической неопределенности и глобальному риску стагфляции — резкому замедлению роста, — вы должны повысить устойчивость, чтобы преодолевать препятствия с минимальным воздействием на бизнес.

Устойчивость приобрела большое значение в последние годы. Он интегрируется с системой управления рисками в масштабе предприятия и работает в масштабах всей организации, предоставляя комплексное представление о том, что поставлено на карту. Ловкость и выносливость дополняют друг друга.

Гибкость предлагает стратегический взгляд на неопределенность, а отказоустойчивость предлагает тактические меры для взаимодействия между отделами. Устойчивость также является культурой, поскольку она требует действий со стороны всех заинтересованных сторон организации.

Эксперт GRC Майкл Расмуссен сравнивает эту культуру с человеческим телом:

В то время как 75 % организаций признают, что разрозненные технологические системы создают проблему управления рисками, только 35 % принимают меры на уровне предприятия для решения этой проблемы.

Когда компании использовали интеллектуальные технологии и комплексный подход к рискам, PwC обнаружила, что их советы директоров и руководители в пять раз больше уверены в способности организации обеспечивать доверие заинтересованных сторон, повышать устойчивость и улучшать бизнес-результаты. .

2. Роль ИТ-директора развивается

Технологические лидеры, такие как ИТ-директора, переросли свои «второстепенные» или «внутренние» роли по внедрению программного обеспечения и управлению проектами. Теперь они находятся в центре корпоративных решений, становясь ключевыми лицами, принимающими решения в основных бизнес-функциях, таких как маркетинг, продажи, разработка продуктов и финансы.

В отчете о состоянии ИТ-директоров за 2022 год говорится, что ИТ-директора видят свою роль в балансировании бизнес-инноваций с операционным совершенством. Три четверти ИТ-руководителей ожидают, что их роль сохранит свою вновь обретенную значимость благодаря ускоренным усилиям по цифровой трансформации, независимо от циклического внимания организаций к вопросам ИТ.

И более 80% ИТ-директоров заявили, что их считают творцами перемен, сосредоточенными на инновациях.

Этот резкий переход от традиционного предоставления ИТ-услуг к более стратегической роли позволяет ИТ-директорам сосредоточиться на бизнес-целях. По мере того, как ваши технологические лидеры все чаще представляют бизнес-кейсы руководителям, они извлекают выгоду из подхода к количественной оценке рисков для достижения стратегических целей и предоставления ценной информации остальным членам высшего руководства.

Старые шкалы измерения риска, такие как низкий, средний, высокий, красный, желтый и зеленый, были слишком субъективными и оставляли заинтересованным сторонам неуверенность в том, насколько решения по риску соответствуют потребностям бизнеса. Количественно оценивая риск в денежном выражении, ваша организация может иметь общий язык риска, который показывает его влияние на получение дохода.

Этот общий язык приводит к общему взгляду на риски, что имеет решающее значение для принятия бизнес-решений, что еще больше повышает роль ИТ-директора.

Общий язык количественной оценки рисков также облегчает планирование и анализ сценариев, поскольку экономические условия заставляют компании пересматривать свои бюджеты. Стратегии снижения риска значительно различаются по стоимости и снижают риск на разную величину. Количественная оценка рисков позволяет ИТ-директорам сравнивать реализации средств контроля, взвешивать соответствующие меры по снижению риска и предоставлять обратную связь совету директоров.

3. Риски, связанные с третьими сторонами, становятся более важными и требуют более пристального внимания

Организации все чаще полагаются на третьи стороны, от управления объектами и физической безопасности до юридических услуг и технической поддержки.

Включение сторонних услуг может сделать ваш бизнес более конкурентоспособным, позволяя вам использовать специальные навыки и экспертные знания, не обременяя себя разработкой внутренних программ. Но по мере расширения отношений с третьими лицами и поставщиками, которые касаются всех аспектов организации, возрастает вероятность уязвимостей вашей организации.

Когда вы работаете с поставщиками, их риски становятся вашими рисками. Что еще? Третьи стороны все чаще сами сотрудничают с третьими сторонами. Любое нарушение или сбой, с которым столкнулись ваши третьи лица (и их третьи лица), ставит ваш бизнес под угрозу. Помимо финансовых потерь, с которыми вы сталкиваетесь из-за сторонних уязвимостей, ваша организация рискует снизить операционную устойчивость и нанести ущерб репутации.

Семьдесят три процента компаний выразили озабоченность по поводу того, что третьи стороны слишком сильно контролируют данные клиентов, предоставляя им излишне широкие привилегии и полномочия. И почти половина организаций сообщили об утечке данных за последний год, причем три четверти приписывают утечку третьей стороне со слишком большим количеством привилегированных прав доступа.

В дополнение к непосредственным угрозам для бизнеса, возникающим в результате нарушения, потенциальная потеря доверия клиентов может иметь более непосредственное количественное влияние на бизнес, чем нормативные штрафы или риск для репутации. По данным IBM, 38% стоимости утечки данных приходится на потерю бизнеса. В среднем это составляет 1,52 миллиона долларов.

Чтобы завоевать и поддерживать доверие клиентов к сторонним поставщикам, вам необходим упреждающий подход к управлению рисками сторонних поставщиков. В условиях растущей экономической неопределенности вам необходимо внимательно присмотреться к сторонним компаниям как к бизнесу — какие поставщики являются критически важными, а каких можно устранить с минимальными негативными последствиями.

По мере того, как организации закручивают гайки оценки текущих поставщиков и утверждения новых отношений, управление рисками третьих сторон играет ключевую роль. Являясь частью целостного программного обеспечения GRC, сторонние программы управления рисками централизуют всю важную информацию о поставщиках вашей компании, упрощая управление производительностью, затратами и рисками.

Эффективное управление сторонними рисками состоит из трех компонентов: последовательного процесса отбора поставщиков, значимой приоритизации поставщиков и постоянного мониторинга.

Процессы проверки

Поскольку третьи лица проникают во все уголки вашей организации, каждый должен играть свою роль в управлении рисками, чтобы ничего не упустить. Как компания, вы должны согласовать критерии оценки и рамки для оценки третьих сторон. Также необходимо определиться с ключевыми показателями эффективности.

Вы можете просматривать контракты, чтобы выявлять поставщиков, не выполняющих свои обязательства, и более строго обеспечивать соблюдение соглашений об уровне обслуживания (SLA) и управлять ими. С правильным комплексным программным обеспечением GRC каждый член команды может получить доступ к необходимым данным, инструментам и общему языку для выполнения этих оценок.

Приоритизация

Большинство предприятий работают с десятками поставщиков. Лучший способ обеспечить успех стороннего управления рисками — это определить приоритеты ваших критически важных поставщиков. Используя эти рейтинги, вы можете разработать процесс оценки и ритм, отражающий важность поставщика.

Чтобы начать, выполните следующие действия:

• Оцените отношения с третьими сторонами в зависимости от того, насколько они важны для вашей деятельности.
• Перечислите данные каждого поставщика или доступ к сети: системы и уровни авторизации.
• Для каждого поставщика подробно опишите операции и функции, потенциально затронутые инцидентом.
• Используйте эту информацию, чтобы решить, какие детали вам нужны для оценки уязвимостей каждого поставщика.

Непрерывный мониторинг

Большинство компаний проводят комплексную проверку, но многие не отслеживают риски третьих лиц, кроме ежегодного контрольного списка. К тому времени информация может устареть, поставщики не будут соответствовать требованиям, а ваш бизнес окажется под угрозой.

Постоянно отслеживая риски, связанные с третьими сторонами, вы всегда в курсе меняющихся поверхностей рисков, чтобы уменьшить уязвимости и создать планы действий в чрезвычайных ситуациях по мере необходимости, основываясь на данных в реальном времени, а не на информации, собранной в начале отношений.

TPRM — это командный вид спорта.

Управление рисками, связанными с третьими сторонами, затрагивает всех, от руководителей компаний и групп внутреннего аудита до юридических отделов, отделов нормативно-правового соответствия и ИТ-отделов. С правильными инструментами и четкой коммуникацией ваш бизнес может управлять рисками поставщиков, чтобы защитить себя и своих клиентов.

4. Внедрение правил ESG

Разговор об окружающей среде, социальной сфере и управлении (ESG) как части целостного GRC в последнее время активизировался, поскольку усилия ESG определяют решения о трудоустройстве, поведение потребителей, обсуждения советом директоров и инвестиционные стратегии.

В то время как в начале 2022 года такие компании, как BlackRock, открыто заявляли о том, чтобы сделать устойчивые инвестиции приоритетом, противоречия между заявлениями о фондах ESG и их фактической отчетностью вызвали интерес регулирующих органов.

Комиссия по ценным бумагам и биржам представила два проекта правил для предоставления руководящих принципов для фондов ESG. Эти руководящие принципы потребуют от инвестиционных фирм и компаний, входящих в их фонды, продемонстрировать свои заявления об устойчивом развитии, прежде чем использовать названия, связанные с устойчивым развитием.

Более 80% потребителей считают, что компании должны активно формировать руководящие принципы ESG, и почти все (91%) бизнес-лидеры считают, что их организация несет ответственность за действия по вопросам ESG. Кроме того, 86% сотрудников хотят работать в компаниях, которые разделяют их ценности.

От борьбы с коррупцией до обеспечения подотчетности в целях разнообразия, справедливости и интеграции (DEI) и сокращения выбросов — компании должны серьезно относиться к мониторингу ESG и отчетности, иначе они рискуют отстать.

Различные структуры определяют, какие факторы ESG наиболее важны для конкретных отраслей, но в США нет установленного стандарта для ESG. Хотя платформы обеспечивают общие цели отчетности, они не дают представления о текущих методах управления ESG.

Чтобы облегчить мониторинг и отчетность, вашей организации следует обратиться к ESG как к части комплексной программы GRC. Интегрируя свои существующие инициативы, данные и цели в надежное программное обеспечение GRC, вы получаете более полное представление о своем прогрессе и рисках ESG.

Эти усилия окупятся, поскольку компании все чаще предоставляют отчеты, демонстрирующие, что их обещания ESG соответствуют их действиям.

5. Гибридная работа связана с рисками для людей, кибер-рисками.

Устойчивая организация требует гибких и адаптируемых структур во всех сферах деятельности. Хотя гибридная работа обеспечивает гибкость сотрудников, она также увеличивает операционный риск.

Организации, работающие над установлением «нового стандарта» в гибридных моделях, должны учитывать изменения и гибкость для защиты данных, справедливого управления сотрудниками и достижения целей DEI.

Проблемы управления талантами

Гибридные модели работы представляют собой новый риск для рабочей силы, поскольку менеджеры решают проблемы двойной рабочей силы: установление и поддержание равных отношений с локальными и удаленными сотрудниками. Одна из опасностей гибридных рабочих моделей заключается в том, что они полагаются на стиль «управления путем обхода», что может быть невыгодно для удаленных работников.

Чтобы избежать такого несоответствия, ваша организация должна инвестировать в лидеров. Обеспечьте им обучение и развитие, чтобы развить навыки виртуального лидерства и помочь им наладить связи и отношения с удаленными работниками.

Ваш подход к оценке эффективности также должен измениться. Не сосредотачивайтесь на времени сотрудника «в офисе». Основывайте оценки на том, выполняют ли сотрудники свои рабочие обязанности, независимо от того, где они работают.

Препятствия для инициатив DEI

Менеджеры, ориентирующиеся в гибридной рабочей среде, могут непреднамеренно создать два «класса» сотрудников: офисные работники с прочной связью с корпоративной культурой и удаленные работники с меньшей привязанностью к компании.

Женщины и цветные люди находят больше удовлетворения в работе из дома и с большей вероятностью будут работать удаленно, чем их белые коллеги-мужчины. Это предпочтение может препятствовать внутренней мобильности некоторых недопредставленных сотрудников и поставить под угрозу достижение целей DEI в масштабах всей компании.

Для борьбы с этим риском используйте данные, чтобы определить, справедливы ли внутренняя мобильность, оценка эффективности и вознаграждения сотрудников.

Проанализировав данные, определите проблемы и адаптируйте стратегии на рабочем месте к более справедливым подходам. Регулярно просматривайте эти вопросы, чтобы узнать, соблюдают ли ваши команды курс или возникают новые проблемы.

Кибербезопасность и угрозы соответствия

Утечки данных, крупные сбои в работе ИТ и атаки с использованием программ-вымогателей были признаны главными угрозами для бизнеса во всем мире в 2022 году. Удаленная работа, способствующая растущим рискам кибербезопасности, никуда не денется. Более трех четвертей сотрудников, работающих удаленно, заявили Gallup, что планируют работать удаленно или в гибридном режиме по крайней мере до 2022 года.

Отчет Tessian Security Behaviors Report показал, что более половины ИТ-руководителей считают, что их сотрудники приобрели опасные привычки в области кибербезопасности после перехода на удаленную работу, и более трети сотрудников согласны с этим. Когда ваши сотрудники работают из дома, они покидают относительную безопасность защищенных соединений в офисе.

У удаленных сотрудников больше соблазнов получить доступ к рабочим материалам на личных устройствах. Добавьте сотрудников, работающих в кофейнях и других общественных местах, и вы получите рецепт киберкатастрофы.

Исследование HP Wolf Security показало, что около трети сотрудников считают политики безопасности препятствием, а многие даже пытаются обойти меры безопасности. По данным охранной фирмы, почти все ИТ-команды (91%) были вынуждены поставить под угрозу безопасность для поддержания непрерывности бизнеса, а 8 из 10 команд назвали удаленную работу «бомбой замедленного действия» потенциальной бреши.

Защита от утечек данных и атак программ-вымогателей начинается с обновления методов и политик кибербезопасности вашей организации.

• Используйте многофакторную аутентификацию.
• Убедитесь, что обучение сотрудников отражает последние достижения в области защиты от кибербезопасности.
• Наконец, предоставьте ИТ-персоналу поддержку сотрудников в сообщении о подозрительных сообщениях и собственных ошибках, не опасаясь репрессий.

Управление рисками в приоритете

Управление рисками является обязанностью каждого. Развитие культуры устойчивости и контроль над отношениями с третьими лицами улучшит ваше отношение к риску. Риск становится стратегическим преимуществом, когда вы предоставляете своему ИТ-директору полномочия организатора изменений и придерживаетесь надежной практики мониторинга ESG и отчетности.

Уделяя должное внимание своим людям — величайшему активу и риску любой организации — вы защищаете прогресс DEI, боретесь с постоянно развивающимися киберугрозами и обеспечиваете эффективность своих команд в сложных гибридных средах.

Улучшение методов кибербезопасности вашей организации должно быть вашим приоритетом. Выберите единый вход, чтобы сделать аутентификацию более безопасной и простой для вашего бизнеса.