5 GRC 趨勢：治理、風險和合規性將如何演變？

商業世界的變化速度令人難以置信。

商業風險每天都在演變，從第三方供應商到供應鏈、監管問題、隱私問題、運營挑戰、網絡攻擊、財務擔憂、環境合規等等。

這些問題不是孤立的——它們是相互關聯的風險，需要全面的解決方案。 對於組織而言，對治理、風險和合規性 (GRC) 採取有意識的整體方法的需求從未像現在這樣重要。

隨著商業環境的變化，公司需要發展其 GRC 戰略，以全面了解相互關聯的風險，了解這些風險的財務影響，並在各個層面做出更明智的決策。

以下是一些 GRC 趨勢，可幫助您的組織採取積極主動的方法將風險轉化為戰略優勢。

1. 應對 GRC 挑戰的彈性和敏捷性文化

盡你所能，你無法避免所有的風險。 企業在考慮和準備應對最緊迫的威脅時，必須培養一種彈性文化。

風險管理中的敏捷性是指組織避免崩潰的能力。 另一方面，彈性是組織從中恢復的方式。

當您的企業為通貨膨脹、經濟不確定性和全球滯脹風險（增長急劇放緩）做準備時，您必須建立彈性以在對業務影響最小的情況下從障礙中恢復過來。

近年來，彈性變得越來越重要。 它與企業範圍的風險管理相集成，並在整個組織中工作，提供有關風險的全面視圖。 敏捷性和彈性相得益彰。

敏捷性提供了不確定性的戰略觀點，而彈性提供了跨部門參與的戰術措施。 彈性也是一種文化，因為它需要所有組織利益相關者的行動。

GRC 專家 Michael Rasmussen 將這種文化比作人體：

雖然 75% 的組織承認孤立的技術系統構成風險管理挑戰，但只有 35% 的組織採取企業級行動來解決這個問題。

當公司利用智能技術和“泛泛而談”的風險觀時，普華永道發現，他們的董事會和高管對組織提供利益相關者信任、更大彈性和更好業務成果的能力充滿信心的可能性要高出五倍.

2. CIO 的角色正在演變

像首席信息官這樣的技術領導者已經超越了他們在軟件實施和項目管理方面的“次要”或“後端”角色。 他們現在處於公司決策的中心，成為營銷、銷售、產品開發和財務等核心業務職能的關鍵決策者。

《2022 年 CIO 現狀》報告發現，CIO 認為他們的角色是平衡業務創新與卓越運營。 四分之三的 IT 領導者希望他們的角色能夠在加速數字化轉型的推動下保持其新發現的重要性，而不管組織對 IT 問題的周期性關注如何。

超過 80% 的 CIO 表示他們被視為變革者，專注於創新。

這種從傳統 IT 服務交付到更具戰略意義的角色的巨大轉變使 CIO 能夠專注於業務目標。 隨著您的技術領導者越來越多地向高管展示業務案例，他們將受益於風險量化方法來實現戰略目標並為其他高管提供有價值的見解。

舊的風險衡量尺度，如低、中、高、紅色、黃色和綠色，過於主觀，讓利益相關者不確定風險決策如何與業務需求保持一致。 通過以貨幣形式量化風險，您的組織可以使用一種通用的風險語言來顯示其對創收的影響。

這種共同的語言導致了風險的共同觀點——對業務決策至關重要——進一步提升了 CIO 的角色。

風險量化的共同語言也有助於情景規劃和分析，因為經濟條件迫使公司審查其預算。 風險緩解策略的成本差異很大，風險降低的幅度也不同。 風險量化使首席信息官能夠比較控制實施、權衡適當的緩解措施並向董事會提供反饋。

3. 第三方風險變得更加嚴重，受到更多審查

組織越來越依賴第三方，從設施管理和物理安全到法律服務和技術支持。

整合第三方服務可以讓您利用專業技能和專業知識，而無需為開發內部程序增加負擔，從而使您的業務更具競爭力。 但是，隨著與涉及組織各個方面的第三方和供應商的關係擴大，您的組織存在漏洞的可能性也在增加。

當您與供應商合作時，他們的風險將成為您的風險。 更重要的是？ 第三方越來越多地與第三方合作。 您的第三方（及其第三方）所經歷的任何違約或失敗都會使您的業務面臨風險。 除了您因第三方漏洞而面臨的財務損失外，您的組織還面臨運營彈性和聲譽受損的風險。

73% 的公司表示擔心第三方以不必要的廣泛特權和授權對客戶數據進行過多控制。 近一半的組織在去年報告了數據洩露，四分之三的組織將洩露歸因於擁有過多特權訪問權限的第三方。

除了違規導致的直接業務威脅外，與監管罰款或聲譽風險相比，潛在的客戶信任損失可能會產生更直接、更量化的業務影響。 據 IBM 稱，38% 的數據洩露成本來自業務損失。 加起來平均為 152 萬美元。

為了建立和維護客戶對第三方供應商的信任，您需要一種主動的第三方風險管理方法。 在經濟不確定性不斷升級的情況下，您需要將第三方公司視為企業——哪些供應商是關鍵任務供應商，哪些供應商可以在負面影響最小的情況下消除。

隨著組織在評估當前供應商和批准新關係方面擰緊螺絲，第三方風險管理髮揮著關鍵作用。 作為整體 GRC 軟件的一部分，第三方風險計劃集中了有關貴公司供應商的所有重要信息，從而更輕鬆地管理績效、成本和風險。

有效的第三方風險管理包括三個組成部分：一致的供應商篩選流程、有意義的供應商優先級和持續監控。

審查流程

由於第三方遍及您組織的每個角落，因此每個人都需要在風險管理中發揮作用，以確保萬無一失。 作為一家公司，您必須就評估第三方的評估標準和框架達成一致。 您還需要決定關鍵性能指標。

您可以審查合同以識別未履行其承諾的供應商，並更嚴格地執行和管理服務水平協議 (SLA)。 使用正確的整體 GRC 軟件，每個團隊成員都可以訪問必要的數據、工具和通用語言來執行這些評估。

優先級

大多數企業與數十家供應商合作。 確保第三方風險管理成功的最佳方法是優先考慮您的關鍵供應商。 使用這些排名，您可以製定反映供應商重要性的評分過程和節奏。

請按照以下步驟開始：

• 根據對您的運營的重要性對每個第三方關係進行排名。
• 列出每個供應商的數據或網絡訪問：系統和授權級別。
• 對於每個供應商，詳細說明可能受事件影響的操作和功能。
• 使用此信息來確定評估每個供應商的漏洞所需的詳細信息。

持續監控

大多數公司都會進行一些盡職調查，但許多公司不會監控超出年度清單的第三方風險。 到那時，信息可能已經過時，供應商不合規，您的業務可能會面臨風險。

通過持續監控您的第三方風險，您可以隨時了解不斷變化的風險面，以減輕漏洞並根據需要根據實時數據而非在關係開始時收集的信息制定應急計劃。

TPRM是一項團隊運動

管理第三方風險影響到從業務領導和內部審計團隊到法律、合規和 IT 部門的每個人。 借助正確的工具和清晰的溝通，您的企業可以管理供應商風險以保護您自己和您的客戶。

4. ESG 法規升級

作為整體 GRC 的一部分，關於環境、社會和治理 (ESG) 的討論最近有所增加，ESG 努力推動了就業決策、消費者行為、董事會審議和投資策略。

雖然在 2022 年初，像貝萊德這樣的公司一直在大聲疾呼將可持續投資作為優先事項，但有關 ESG 基金的聲明與其實際報告之間的矛盾引發了監管機構的興趣。

證券交易委員會提交了兩項規則草案，為 ESG 基金提供指導。 這些指導方針將要求投資公司及其基金中的公司在使用與可持續性相關的名稱之前證明其可持續性聲明。

超過 80% 的消費者認為公司應該積極制定 ESG 指南，幾乎所有 (91%) 的商業領袖都認為他們的組織有責任在 ESG 問題上採取行動。 此外，86% 的員工希望為具有共同價值觀的企業工作。

從打擊腐敗到維護對多樣性、公平和包容性 (DEI) 目標的責任，再到減少排放，公司必須認真對待 ESG 監測和報告，否則就有落後的風險。

各種框架指導哪些 ESG 因素對特定行業最重要，但美國沒有建立 ESG 標準。 雖然這些框架提供了一般報告目標，但它們並沒有提供對正在進行的 ESG 管理實踐的洞察。

為促進監控和報告，您的組織應將 ESG 作為您整體 GRC 計劃的一部分。 通過將您現有的計劃、數據和目標集成到強大的 GRC 軟件中，您可以更深入地了解您的 ESG 進度和風險。

隨著公司越來越多地提供報告證明其 ESG 承諾與其行動一致，這些努力將獲得回報。

5. 混合工作引入人員風險、網絡風險

一個有彈性的組織需要在所有運營領域都具有靈活和適應性強的結構。 雖然混合工作為員工提供了靈活性，但它也增加了運營風險。

致力於在混合模型中建立“新常態”的組織必須接受變革和敏捷性，以保護數據、公平管理員工並實現 DEI 目標。

人才管理挑戰

混合工作模式引入了新的勞動力風險，因為管理者應對雙重勞動力的挑戰：與現場和遠程員工建立和維護平等的關係。 混合工作模式的一個危險是它們依賴於“走動管理”的風格，這可能對遠程工作者不利。

為了避免這種差異，您的組織應該投資於領導者。 為他們提供培訓和發展，以培養虛擬領導技能，並幫助他們與遠程工作人員建立更好的聯繫和關係。

您的績效評估方法也需要改變。 不要專注於員工“在辦公室”的時間。 評估員工是否履行其工作義務，無論他們在哪里工作。

DEI 計劃的障礙

在混合工作環境中導航的經理可能會無意中創建兩個“類別”的員工：與公司文化有著緊密聯繫的辦公室工作人員和對公司的依戀較少的遠程工作人員。

與白人男性同行相比，女性和有色人種在家工作更有成就感，並且更有可能遠程工作。 這種偏好可能會阻礙一些代表性不足的員工的內部流動性，並危及公司範圍內 DEI 目標的進展。

為了應對這種風險，請使用數據來確定內部流動性、績效評估和員工福利是否公平。

分析數據後，確定問題並將工作場所策略調整為更公平的方法。 定期查看這些問題，以查看您的團隊是否保持正軌或是否出現新問題。

網絡安全和合規威脅

數據洩露、重大 IT 中斷和勒索軟件攻擊已被列為 2022 年全球企業面臨的最大風險問題。導致網絡安全風險日益增加的遠程工作無處可去。 超過四分之三的遠程員工告訴蓋洛普，他們計劃至少到 2022 年以遠程或混合方式工作。

Tessian 的安全行為報告發現，超過一半的 IT 領導者認為，他們的員工在遠程辦公後養成了危險的網絡安全習慣——超過三分之一的員工表示同意。 當您的員工在家工作時，他們會離開辦公室安全連接的相對安全性。

遠程員工更傾向於在個人設備上訪問工作資料。 加上在咖啡店和其他公共場所工作的員工，你就有了網絡災難的秘訣。

HP Wolf Security 的一項研究發現，大約三分之一的員工認為安全策略是一個障礙，許多員工甚至努力規避安全措施。 據這家安全公司稱，幾乎所有 IT 團隊 (91%) 都面臨著為了維持業務連續性而犧牲安全性的壓力，10 個團隊中有 8 個將遠程工作視為潛在漏洞的“定時炸彈”。

防範數據洩露和勒索軟件攻擊首先要更新組織的網絡安全實踐和政策。

• 採用多因素身份驗證。
• 確保員工培訓反映網絡安全保護的最新進展。
• 最後，讓 IT 員工能夠支持員工報告可疑通信和他們自己的錯誤，而不必擔心遭到報復。

優先考慮風險管理

風險管理人人有責。 培養彈性文化並控制第三方關係將改善您的風險態度。 當您將 CIO 授權為變革者並致力於穩健的 ESG 監控和報告實踐時，風險將成為一項戰略優勢。

通過適當關注您的員工（任何組織最大的資產和風險），您可以保護 DEI 進度，對抗不斷演變的網絡威脅，並確保您的團隊在復雜的混合環境中保持高效。

改善組織的網絡安全實踐應該是您的首要任務。 選擇單點登錄，讓您的業務更安全、更輕鬆地進行身份驗證。