GRC(即 治理、风险与合规)是一种用于管理治理、风险管理以及行业和政府法规合规性的组织策略。 GRC 还指用于实施和管理企业 GRC 计划的整套集成软件功能。
GRC 的整套实践和流程为使 IT 与业务目标保持一致提供了一种结构化的方法。 GRC 可帮助公司有效管理 IT 和安全风险、降低成本并满足合规性要求。 通过利用综合视图展现组织的风险管理状况,它还有助于改进决策和绩效。
IBM OpenPages with Watson
在基本层面上,治理是规则、政策和流程的集合,可确保公司活动协调一致,支持实现业务目标。 它包括道德准则、资源管理、问责制和管理控制。
通过治理,还可确保高层管理人员能够引导企业各个层面发生的状况并对此产生影响,业务部门也能够根据客户的需求和企业总体目标开展业务活动。
高效的治理能够创造这样一种环境:既可以为员工赋能,又有效地控制和协调了各种行为和资源。 治理的目标之一就是平衡企业众多利益相关方的利益,包括高层管理人员、员工、供应商和投资者。
例如,为了保持这种平衡,通过治理可以帮助确保公司内部和外部利益相关方之间签订了有效的合同,从而公平分配责任、权利和奖励。 这还包括用于协调利益相关方和流程之间利益冲突的程序,进而确保监督、控制和数据流作为一种制衡体系发挥作用。
通过治理,既可以控制设施和基础架构(例如 数据中心),又可以在投资组合层面上对应用进行监督。
最重要的是,实施治理是为了对行为和结果负责。 可以通过实施商业道德惯例和企业公民守则来管理行为。 良好的治理会根据业务范围来明确工作,根据取得的成果而不是根据职责来评估员工。
风险管理是识别、评估和控制组织的财务、法律、战略和安全风险的过程。 为了降低风险,组织需要应用资源来最小化、监控和控制负面事件的影响,同时最大化正面事件的效应。
从广泛意义上来说,风险管理是一个由人员、流程和技术组成的系统,它使组织能够建立符合价值观和风险状况的目标。
企业风险管理计划的目标是实现企业目标,同时改善风险状况并确保实现价值。 优先考虑利益相关方的期望,并向这些利益相关方提供可靠的信息,也属于该任务的范畴。
风险管理计划也适用于识别网络安全和信息安全威胁与风险(例如软件漏洞和不当的员工密码做法),以及实施相应的计划来减少这些威胁与风险。
该计划应评估系统性能和有效性,评估遗留技术,识别可能影响核心业务的运营和技术故障,并监控基础架构风险以及网络和计算资源的潜在故障。
风险评估计划必须满足法律、合同、内部、社会和道德目标,并监控新技术相关法规。 通过关注风险并投入必要的资源来控制和缓解风险,企业将保护自身免受不确定因素的影响,降低成本并增加业务连续性和成功的可能性。
合规性涉及遵守行业和/或政府机构制定的规则、政策、标准和法律。 如果不这样做,组织可能会遭遇惨淡的业绩、代价高昂的错误、高额罚款,面临处罚以及被提起诉讼。
合规性 涵盖了适用于公司的外部法律、法规和行业标准。 公司或内部合规性则涉及由单个公司制定的规章制度和内部控制措施。 将内部合规管理计划与外部合规要求整合起来至关重要。 应根据制定、更新、分发和跟踪合规策略以及围绕这些策略培训员工的过程,制定出综合性的合规计划。
为制定有效的合规计划,组织需要了解哪些领域面临的风险最大,并将资源集中在这些领域。 然后,应制定和实施相应的政策,并将这些政策传达给员工,以便处理这些风险领域。 应编写相关指南,帮助员工和供应商遵守合规政策。
GRC 框架可帮助组织制定政策和实践,最大限度地降低合规风险。 IT 和安全 GRC 解决方案着重利用数据、基础架构以及虚拟、移动和云应用的及时信息。
此外,组织的 GRC 计划应提高效率、降低风险,并提高绩效和投资回报 (ROI)。 企业所开发的 GRC 框架将会用于发挥领导作用,用于组织和 IT 领域的运营,从而确保它们支持和实现组织的战略目标。 这包括在业务流程、政策和控制以及 IT、财务、人力资源团队和最高管理层执行的活动背景下关联信息。
高效率
如果没有 GRC 软件平台,风险评估、合规管理、内部审计和其他 GRC 活动可能会十分耗时且占用大量资源。 GRC 平台可以帮助公司打破流程和数据孤岛,遵守法规,并监控、衡量并预测损失和风险事件。
它还可以帮助公司管理财务和 人工智能 (AI) 驱动模型的生命周期,并改善 IT 合规性和可控性。 公司甚至可以衡量监管和业务要求对政策框架的影响,并通过集成第三方产品支持自动化衡量和 IT 控制。
风险评估和降低风险
GRC 使公司能够自动开展并管理风险评估,同时降低风险。 利用 GRC 平台提供的数据,公司能够做出更加明智的决策,然后分配资源来缓解风险。
《萨班斯-奥克斯利法案》等法规相关审计是 GRC 运营的里程碑,各部门需要维护和保护敏感详细信息(包括发票、人力资源记录和财务报表),为这些审计做好准备。
对于那些经历过重大合规或者风险事件或失败的公司而言,有效的 GRC 计划尤其有用。 此外,对其合规性或内部和外部财务风险报告和可见性没有信心的企业,也可以使用 GRC 模型来帮助修复和监控一系列多余的控制措施和无效框架,避免发生重复的风险问题。
从战略角度支持提高绩效和 ROI
有时,公司可能会发现很难分配资源、解决利益冲突和衡量成功情况。 这可能是由于以下因素导致的:应对风险和需求的成本不断增加,同时还要管理第三方关系和风险的指数级增长。
然而,公司可以使用 GRC 平台生成的指标来设定和监控明确的目标。 这将有助于他们改善绩效,提高 ROI。
GRC 工具是一种用于管理运营并确保公司实现合规和符合风险标准的方法。 这些工具还可以帮助确定和减轻与公司内 IT 的使用、所有权、运营、参与、影响和采用相关的风险。 GRC 工具应涵盖运营风险、政策和合规性、IT 治理和内部审计。
大多数 GRC工具都具有以下一些功能:
- 内容和文档管理 ,帮助企业创建、跟踪和存储数字化内容
- 风险数据管理和分析,帮助度量、量化和预测风险,明确降低风险的具体步骤
- 工作流管理,帮助企业建立、执行和监视 GRC 相关工作流
- 审计管理,用于组织信息,简化内部审计执行流程
- 提供一个中央界面的仪表板,可以实时监控与业务流程和目标相关的关键绩效指标
有效的 GRC 工具可用于制定和发布政策和控制措施,并将它们与法规和合规要求一一对应起来。 它们有助于评估控制措施是否已经部署、是否正常运行,以及是否正在改进风险评估并降低风险。
IBM OpenPages with Watson 是 AI 驱动的监管、风险与合规平台,旨在帮助企业管理风险和监管合规挑战。
IBM Watson Assistant 可通过任何应用、设备或渠道,快速为客户提供一致且准确的答案。
IBM Cloud Pak for Data 是一个开放且可扩展的数据平台,它提供的数据架构使所有数据可用于 AI 和分析,适用于任何云平台。