5 GRC 趋势：治理、风险和合规性将如何演变？

商业世界的变化速度令人难以置信。

商业风险每天都在演变，从第三方供应商到供应链、监管问题、隐私问题、运营挑战、网络攻击、财务担忧、环境合规等等。

这些问题不是孤立的——它们是相互关联的风险，需要全面的解决方案。 对于组织而言，对治理、风险和合规性 (GRC) 采取有意识的整体方法的需求从未像现在这样重要。

随着商业环境的变化，公司需要发展其 GRC 战略，以全面了解相互关联的风险，了解这些风险的财务影响，并在各个层面做出更明智的决策。

以下是一些 GRC 趋势，可帮助您的组织采取积极主动的方法将风险转化为战略优势。

1. 应对 GRC 挑战的弹性和敏捷性文化

尽你所能，你无法避免所有的风险。 企业在考虑和准备应对最紧迫的威胁时，必须培养一种弹性文化。

风险管理中的敏捷性是指组织避免崩溃的能力。 另一方面，弹性是组织从中恢复的方式。

当您的企业为通货膨胀、经济不确定性和全球滞胀风险（增长急剧放缓）做准备时，您必须建立弹性以在对业务影响最小的情况下从障碍中恢复过来。

近年来，弹性变得越来越重要。 它与企业范围的风险管理相集成，并在整个组织中工作，提供有关风险的全面视图。 敏捷性和弹性相得益彰。

敏捷性提供了不确定性的战略观点，而弹性提供了跨部门参与的战术措施。 弹性也是一种文化，因为它需要所有组织利益相关者的行动。

GRC 专家 Michael Rasmussen 将这种文化比作人体：

虽然 75% 的组织承认孤立的技术系统构成风险管理挑战，但只有 35% 的组织采取企业级行动来解决这个问题。

当公司利用智能技术和“泛泛而谈”的风险观时，普华永道发现，他们的董事会和高管对组织提供利益相关者信任、更大弹性和更好业务成果的能力充满信心的可能性要高出五倍.

2. CIO 的角色正在演变

像首席信息官这样的技术领导者已经超越了他们在软件实施和项目管理方面的“次要”或“后端”角色。 他们现在处于公司决策的中心，成为营销、销售、产品开发和财务等核心业务职能的关键决策者。

《2022 年 CIO 现状》报告发现，CIO 认为他们的角色是平衡业务创新与卓越运营。 四分之三的 IT 领导者希望他们的角色能够在加速数字化转型的推动下保持其新发现的重要性，而不管组织对 IT 问题的周期性关注如何。

超过 80% 的 CIO 表示他们被视为变革者，专注于创新。

这种从传统 IT 服务交付到更具战略意义的角色的巨大转变使 CIO 能够专注于业务目标。 随着您的技术领导者越来越多地向高管展示业务案例，他们将受益于风险量化方法来实现战略目标并为其他高管提供有价值的见解。

旧的风险衡量尺度，如低、中、高、红色、黄色和绿色，过于主观，让利益相关者不确定风险决策如何与业务需求保持一致。 通过以货币形式量化风险，您的组织可以使用一种通用的风险语言来显示其对创收的影响。

这种共同的语言导致了风险的共同观点——对业务决策至关重要——进一步提升了 CIO 的角色。

风险量化的共同语言也有助于情景规划和分析，因为经济条件迫使公司审查其预算。 风险缓解策略的成本差异很大，风险降低的幅度也不同。 风险量化使首席信息官能够比较控制实施、权衡适当的缓解措施并向董事会提供反馈。

3. 第三方风险变得更加严重，受到更多审查

组织越来越依赖第三方，从设施管理和物理安全到法律服务和技术支持。

整合第三方服务可以让您利用专业技能和专业知识，而无需为开发内部程序增加负担，从而使您的业务更具竞争力。 但是，随着与涉及组织各个方面的第三方和供应商的关系扩大，您的组织存在漏洞的可能性也在增加。

当您与供应商合作时，他们的风险将成为您的风险。 更重要的是？ 第三方越来越多地与第三方合作。 您的第三方（及其第三方）所经历的任何违约或失败都会使您的业务面临风险。 除了您因第三方漏洞而面临的财务损失外，您的组织还面临运营弹性和声誉受损的风险。

73% 的公司表示担心第三方以不必要的广泛特权和授权对客户数据进行过多控制。 近一半的组织在去年报告了数据泄露，四分之三的组织将泄露归因于拥有过多特权访问权限的第三方。

除了违规导致的直接业务威胁外，与监管罚款或声誉风险相比，潜在的客户信任损失可能会产生更直接、更量化的业务影响。 据 IBM 称，38% 的数据泄露成本来自业务损失。 加起来平均为 152 万美元。

为了建立和维护客户对第三方供应商的信任，您需要一种主动的第三方风险管理方法。 在经济不确定性不断升级的情况下，您需要将第三方公司视为企业——哪些供应商是关键任务供应商，哪些供应商可以在负面影响最小的情况下消除。

随着组织在评估当前供应商和批准新关系方面拧紧螺丝，第三方风险管理发挥着关键作用。 作为整体 GRC 软件的一部分，第三方风险计划集中了有关贵公司供应商的所有重要信息，从而更轻松地管理绩效、成本和风险。

有效的第三方风险管理包括三个组成部分：一致的供应商筛选流程、有意义的供应商优先级和持续监控。

审查流程

由于第三方遍及您组织的每个角落，因此每个人都需要在风险管理中发挥作用，以确保万无一失。 作为一家公司，您必须就评估第三方的评估标准和框架达成一致。 您还需要决定关键性能指标。

您可以审查合同以识别未履行其承诺的供应商，并更严格地执行和管理服务水平协议 (SLA)。 使用正确的整体 GRC 软件，每个团队成员都可以访问必要的数据、工具和通用语言来执行这些评估。

优先级

大多数企业与数十家供应商合作。 确保第三方风险管理成功的最佳方法是优先考虑您的关键供应商。 使用这些排名，您可以制定反映供应商重要性的评分过程和节奏。

请按照以下步骤开始：

• 根据对您的运营的重要性对每个第三方关系进行排名。
• 列出每个供应商的数据或网络访问：系统和授权级别。
• 对于每个供应商，详细说明可能受事件影响的操作和功能。
• 使用此信息来确定评估每个供应商的漏洞所需的详细信息。

持续监控

大多数公司都会进行一些尽职调查，但许多公司不会监控超出年度清单的第三方风险。 到那时，信息可能已经过时，供应商不合规，您的业务可能会面临风险。

通过持续监控您的第三方风险，您可以随时了解不断变化的风险面，以减轻漏洞并根据需要根据实时数据而不是在关系开始时收集的信息制定应急计划。

TPRM是一项团队运动

管理第三方风险影响到从业务领导和内部审计团队到法律、合规和 IT 部门的每个人。 借助正确的工具和清晰的沟通，您的企业可以管理供应商风险以保护您自己和您的客户。

4. ESG 法规升级

作为整体 GRC 的一部分，关于环境、社会和治理 (ESG) 的讨论最近有所增加，ESG 努力推动了就业决策、消费者行为、董事会审议和投资策略。

虽然在 2022 年初，像贝莱德这样的公司一直在大声疾呼将可持续投资作为优先事项，但有关 ESG 基金的声明与其实际报告之间的矛盾引发了监管机构的兴趣。

证券交易委员会提交了两项规则草案，为 ESG 基金提供指导。 这些指导方针将要求投资公司及其基金中的公司在使用与可持续性相关的名称之前证明其可持续性声明。

超过 80% 的消费者认为公司应该积极制定 ESG 指南，几乎所有 (91%) 的商业领袖都认为他们的组织有责任在 ESG 问题上采取行动。 此外，86% 的员工希望为具有共同价值观的企业工作。

从打击腐败到维护对多样性、公平和包容性 (DEI) 目标的责任，再到减少排放，公司必须认真对待 ESG 监测和报告，否则就有落后的风险。

各种框架指导哪些 ESG 因素对特定行业最重要，但美国没有建立 ESG 标准。 虽然这些框架提供了一般报告目标，但它们并没有提供对正在进行的 ESG 管理实践的洞察。

为促进监控和报告，您的组织应将 ESG 作为您整体 GRC 计划的一部分。 通过将您现有的计划、数据和目标集成到强大的 GRC 软件中，您可以更深入地了解您的 ESG 进度和风险。

随着公司越来越多地提供报告证明其 ESG 承诺与其行动一致，这些努力将获得回报。

5. 混合工作引入人员风险、网络风险

一个有弹性的组织需要在所有运营领域都具有灵活和适应性强的结构。 虽然混合工作为员工提供了灵活性，但它也增加了运营风险。

致力于在混合模型中建立“新常态”的组织必须接受变革和敏捷性，以保护数据、公平管理员工并实现 DEI 目标。

人才管理挑战

混合工作模式引入了新的劳动力风险，因为管理者应对双重劳动力的挑战：与现场和远程员工建立和维护平等的关系。 混合工作模式的一个危险是它们依赖于“走动管理”的风格，这可能对远程工作者不利。

为了避免这种差异，您的组织应该投资于领导者。 为他们提供培训和发展，以培养虚拟领导技能，并帮助他们与远程工作人员建立更好的联系和关系。

您的绩效评估方法也需要改变。 不要专注于员工“在办公室”的时间。 评估员工是否履行其工作义务，无论他们在哪里工作。

DEI 倡议的障碍

在混合工作环境中导航的经理可能会无意中创建两个“类别”的员工：与公司文化有着紧密联系的办公室工作人员和对公司的依恋较少的远程工作人员。

与白人男性同行相比，女性和有色人种在家工作更有成就感，并且更有可能远程工作。 这种偏好可能会阻碍一些代表性不足的员工的内部流动性，并危及公司范围内 DEI 目标的进展。

为了应对这种风险，请使用数据来确定内部流动性、绩效评估和员工福利是否公平。

分析数据后，确定问题并将工作场所策略调整为更公平的方法。 定期查看这些问题，以查看您的团队是否保持正轨或是否出现新问题。

网络安全和合规威胁

数据泄露、重大 IT 中断和勒索软件攻击已被列为 2022 年全球企业面临的最大风险问题。导致网络安全风险日益增加的远程工作无处可去。 超过四分之三的远程员工告诉盖洛普，他们计划至少到 2022 年以远程或混合方式工作。

Tessian 的安全行为报告发现，超过一半的 IT 领导者认为，他们的员工在远程办公后养成了危险的网络安全习惯——超过三分之一的员工表示同意。 当您的员工在家工作时，他们会离开办公室安全连接的相对安全性。

远程员工更倾向于在个人设备上访问工作资料。 加上在咖啡店和其他公共场所工作的员工，你就有了网络灾难的秘诀。

HP Wolf Security 的一项研究发现，大约三分之一的员工认为安全策略是一个障碍，许多员工甚至努力规避安全措施。 据这家安全公司称，几乎所有 IT 团队 (91%) 都面临着为了维持业务连续性而危及安全的压力，10 个团队中有 8 个将远程工作视为潜在漏洞的“定时炸弹”。

防范数据泄露和勒索软件攻击首先要更新组织的网络安全实践和政策。

• 采用多因素身份验证。
• 确保员工培训反映网络安全保护的最新进展。
• 最后，让 IT 员工能够支持员工报告可疑通信和他们自己的错误，而不必担心遭到报复。

优先考虑风险管理

风险管理人人有责。 培养弹性文化并控制第三方关系将改善您的风险态度。 当您将 CIO 授权为变革者并致力于稳健的 ESG 监控和报告实践时，风险将成为一项战略优势。

通过适当关注您的员工（任何组织的最大资产和风险），您可以保护 DEI 进度，对抗不断演变的网络威胁，并确保您的团队在复杂的混合环境中保持高效。

改善组织的网络安全实践应该是您的首要任务。 选择单点登录，让您的业务更安全、更轻松地进行身份验证。