组织业务的相互关联性需要采用整体方法来应对风险。当组织的治理、风险、合规性(GRC)和安全功能相互孤立时,可能很难有效解决可能损害业务、客户和合作伙伴的整体范围和潜在连锁反应。随着业务步伐的加快和运营变得越来越数字化,越来越多的组织正在组建企业风险管理(ERM)小组或委员会。毫不奇怪,新平台正在帮助推动这一转变。“数字化转型需要所有这些功能之间的紧密协调,”ForresterResearch的分析师AllaValente说。“我们看到企业风险管理职能的增长正在承担运营风险、财务风险、合规风险和业务连续性责任。”为什么要分散各种风险职能组织的结构通常会根据其所在的行业、规模和经营理念而有所不同。在过去的几十年中,许多组织都增加了高级管理人员的角色,包括首席安全官(CSO)、首席信息安全官(ChiefInformationSecurity)首席隐私官(CISO)、首席隐私官(CPO)、首席风险官(CRO)的一些组合。这些高管向谁报告也各不相同。例如,首席隐私官(CPO)可能向首席法务官(CLO)或首席安全官(CSO)和首席信息安全官(CISO)。首席安全官(CSO)和首席信息安全官(CISO)可以向首席信息官(CIO)、首席营销官(COO)或首席执行官(CEO)。专业服务公司毕马威会计师事务所内部审计和企业风险合伙人KregWeigand说:“其中许多角色是根据企业的组织结构创建的。”问题是业务一直在变化。”机构的创建是为了应对2008年金融危机等重大事件或萨班斯-奥克斯利法案(SOX)或GDPR等法规。同样,计算机、网络和网络安全也是技术威胁的结果。现在,没有建立企业风险管理小组或委员会的公司正在感受到技术孤岛的影响。具体来说,当部门面临风险时,每个与风险相关的职能部门都在使用自己的合规(GRC)系统。例如,当黑客窃取数据时,安全团队可能不是唯一受到影响的团队,其他团队可能还包括合规、治理、法律和传统风险管理(财务风险)。全球审计公司普华永道网络安全和隐私负责人乔·诺塞拉(JoeNocera)表示:“合规、隐私和安全之间的关系非常明确,以至于有时会有一个潜在的假设,即某个特定领域正在被其他领域覆盖,有时我们发现事情是不断发展,倾向于使用不同的风险指标,并倾向于使用不同的工作流程和机制来进行风险接受和缓解活动。有一个负责监督组织风险的委员会,对高管来说最有效的措施是“监督”,而其他人则执行。当风险相关职能之间存在连续性和协作层时,监督和执行会更有效。企业风险管理小组或委员会将补充由专业te执行的风险管理我的观点也有利于董事会委员会。毕马威的Weigand说,“当我们与公司董事会成员交谈时,他们会问,‘为什么合规部门在进行网络谈话、内部审计和风险管理时会出现不同的首要风险?他们为什么不一起协调以确保董事会成员收到报告?'我知道组织面临的真正风险是什么,而不仅仅是孤岛,这个问题需要仔细理解。”从几个特定功能的治理、风险和合规性(GRC)系统到通用系统的技术集成也反映了企业风险管理的趋势。事实上,在过去两年中,研究公司Gartner一直在预测合规性即将消亡(GRC)系统有利于集成风险管理(IRM)系统。然而,集成风险管理(IRM)系统不是企业风险管理战略。企业风险管理战略考虑人员、流程和技术。“即使在IT领域,也有是项目风险、开发风险、与审计和合规相关的风险,但这些风险并未得到全面解决,”InfoTechResearchGroup首席研究顾问ChristineCoz说。“关键在于这些对话中,组织高管需要为此提供支持,目标是作为组织董事会的一部分,以确保从监督perspe管理控制ctive,thatriskacceptanceislimitedwiththeorganization'stolerance,andthatrisktoleranceandacceptanceintheorganization都是一致的。一切的数字化都需要企业风险管理(ERM),不仅因为数字业务比模拟业务快得多,而且因为风险管理是一个品牌问题。Forrester的Valente表示,“在竞争激烈的行业中,公司的每一种产品和服务都可能发生变化,例如汽车保险、抵押贷款、电信运营商,甚至食品。公司未能保护用户数据的那一刻,就是用户隐私可能会被违反,所有这些事情都可能出错,而现在突然间,风险管理让一切变得不同。”人工智能和机器学习将有助于通过包括人工智能、机器学习和机器人过程自动化(RPA)可以增强企业风险管理(ERM)的各个方面。目前,合规(GRC)系统和集成风险管理(IRM)系统之间的最大区别是世代相传的。根据Gartner的说法,合规(GRC)系统具有过去的特征(例如,封闭的并且针对技术受众),而集成风险管理(IRM)系统是现代的(开放的并且针对商业领袖)。RikParker毕马威网络安全服务负责人表示:“我们已经实施了持续的监控控制措施,我们现在正在使用重要的风险监控工具来监控环境。我认为在接下来的三年里,会有更多的机器学习和人工智能。智能帮助人们使用机器人流程来识别和警告风险和风险阈值,并帮助自动化某些决策。它将具有基于决策的、基于性能的、基于环境中发生的关键事件的信息,在这个环境中发送警报可以变得更聪明,帮助发现问题。”结论现代商业模式需要更全面的方法来管理不断扩大的范围和更快的风险影响。如今,除了专门的安全与合规(GRC)职能外,组织还需要一个跨职能的企业风险管理(ERM)小组或委员会,以更有效地评估、识别、监控和管理风险。下一代合规(GRC)系统将越来越自动化和智能化,促进和优化这些不断发展的风险管理能力。
