188金宝搏·(中国)官方网站

　　治理、风险与合规（GRC）是一种框架和实践集合，旨在帮助采用一套全面且综合的方式实现组织的治理和管理。GRC可以促进良好的治理实践，识别并解决风险，确保遵守相关法律法规。组织通过实施GRC，在其运营过程中实现更好的控制、问责制、透明度和可持续性。

　　开放合规和职业道德团体（OCEG）将GRC定义为一套综合能力，使组织能够可靠地达成目标，应对不确定性，并以诚信行事以实现原则性的绩效。

　　弹性是从挑战中迅速恢复的能力，使组织能够在发生不利事件后恢复原状。这些原则通过提供方向、抵御风险的能力和道德操作实践，为有效的组织管理奠定基础。

　　这些流程的加强和合理化有助于提高业务绩效，增强组织治理委员会的决策能力。各行各业的组织都可以从精心规划的GRC策略中受益。

　　弹性的GRC模式通过促进组织的灵活性、协调性和敏捷性，支持应对复杂的GRC挑战。采纳弹性方法使组织能够在保持效率的同时，熟练地应对不断变化的法规和新兴风险。最终，弹性交付模式加强了GRC职能，使组织能够抵御中断，并确保在履行义务方面保持一贯的良好记录。本质上，弹性交付模式可以增强GRC计划的抵御中断和不确定性的能力，确保组织在履行其职责和责任方面取得长期成功。

　　有人可能会争论，在一个组织内实现一个有弹性的GRC模式取决于多种因素，如组织的规模、行业和整体结构。尽管没有通用的解决方案，但GRC职能的常见设置选项是将GRC模式定位于IT管辖范围之外，将其置于IT组织管辖范围内，或将其作为首席信息安全官（CISO）职责的一部分。

　　当GRC职能与IT职能紧密结合时，与IT GRC相关的职责直接嵌入IT职能中。这种集成确保了IT运营和GRC活动更加集中一致。然而，GRC组织可能会受到偏见和职责分离的影响。

　　当GRC职能与CISO的责任相结合时，有助于促进安全目标、风险管理和合规工作之间的更好协调。这种集成使CISO能够直接监督和控制GRC活动，确保安全措施集成到整体治理框架中，并满足合规要求。然而，同样，GRC组织内部的不当行为可能再次受到偏见和职责分离的影响。目前大多数企业通常将GRC职能整合在IT部门或CISO的角色中。然而，为了实现GRC弹性模式，提出了一种替代方法，建议GRC的最佳配置是将其建立为独立于IT职能的自主实体。

　　独立的GRC职能部门通常向高级管理层或董事会报告。该模式允许对整个组织的治理、风险管理和合规进行全面客观的监督，包括与IT相关的方面。对许多组织来说，自主GRC模式是实现GRC弹性的理想方法。

　　客观监督——独立的GRC职能可以对治理、风险和合规事项（包括与IT相关的事项）提供公正的视角。

　　更广泛的组织视野——通过对整个组织的全面关注，独立的GRC职能部门可以解决IT之外的风险和合规问题。

　　集中的专业知识——将GRC专业知识整合到一个专门的职能部门，从而实现专业化并发展全面GRC实践。

　　为了加强弹性，建议各组织在其GRC职能范围内建立自主权。当组织高度重视整个企业的法规遵从性和风险管理，而不仅局限于IT和安全领域时，这种自主权尤其重要。为了实现这一目标，至关重要的是建立明确的角色、责任和沟通渠道。这种设置有助于GRC、IT和组织内其他相关部门之间的无缝协作，确保对治理、风险管理和合规方面采取有效和协调的方法。在这些情况下，GRC可以与其专门的团队有效运作，直接向首席合规官（CCO）等高管层报告。

　　无论选择哪种模式，当务之急是确保GRC的职责，包括IT相关方面应得到全面重视。

　　在业务驱动的GRC中，重点是使GRC活动与组织的战略目标和总体业务目标保持一致。这种方法强调将GRC集成到核心业务流程、决策制定和组织文化中。它涉及在整个组织（包括董事会、执行管理层和各业务部门）中建立GRC职责的明确问责制和所有权。业务驱动模式优先考虑风险评估、风险缓解、合规管理和道德问题，并将其作为组织运营的组成部分。

　　相反，技术驱动模式更加强调利用技术解决方案和工具促进GRC活动。该方法利用GRC软件平台、自动化工作流程、数据分析和其他技术能力简化和增强GRC流程。技术驱动模式旨在提高管理治理、风险和合规要求的效率、准确性和可扩展性。它能够实时监控、报告和分析GRC数据，使组织能够更好地了解其风险和合规状况。

　　需要注意的是，这两种模式并不是相互排斥的，组织通常采用混合方法，将两者的要素结合起来。模式的具体选择取决于组织的优先事项、资源以及其行业和监管环境的性质。最终，组织的目标是在业务协调和技术支持之间取得平衡，以实现有效的GRC实践。然而，采用业务驱动的GRC模式有助于保证弹性，因为尽管技术在支持GRC工作中发挥着至关重要的作用，但业务驱动的方法可确保GRC计划与组织的战略目标保持一致，全面评估风险，并能适应不断变化的业务条件。这种方法促进了更具弹性和有效的GRC框架，最终使整个组织受益。

　　外包GRC职能部门既有好处也有坏处。一些组织可能认为外包GRC是合理的，因为这使他们能够方便地接触到具有行业趋势和监管变化专业知识的外部专家。此外，当成本限制带来挑战时，外包可以帮助减少与招聘、员工培训和获得技术工具有关的费用。如果外包GRC，组织必须确保签订强有力的合同协议，并对外包方进行持续监控，以应对可能影响业务弹性的潜在挑战和风险。

　　然而，总的来说，外包GRC也可能损害弹性。一般而言，组织应保持内部GRC的专业知识，以保持对关键职能的控制和监督。

　　失去控制权——外包GRC职能部门可能导致失去对治理、风险管理和合规等关键方面的直接控制。组织需要仔细选择可靠和值得信赖的服务提供商，以确保其GRC需求得到有效满足。与服务提供商的沟通和协作对于保持可见性和监督至关重要。

　　文化契合度和一致性问题——外包GRC职能部门可能会在文化契合度、与组织价值观和目标的一致性方面带来挑战。外部服务提供商可能有不同的方式、优先事项或方法论，需要仔细考虑如何与组织的要求和期望保持一致。

　　安全和保密风险——GRC通常涉及处理敏感信息，包括法律、财务和战略数据。外包GRC要求采取严格的保密性和数据安全措施，以保护敏感信息不被泄露或未经授权的访问。组织必须与服务提供商建立明确的合同义务和安全协议，以降低风险。

　　对第三方的依赖——外包GRC造成了对外部服务提供商的依赖。如果服务提供商面临中断、财务问题或其自身组织发生了变化，这种依赖性可能会带来挑战。组织需要审慎管理与服务提供商的关系，包括定义性能指标、监控服务级别和制定应急计划。

　　缺乏组织知识和文化——内部GRC职能部门可以促进对组织文化、流程和风险状况的深入了解。外包GRC可能需要重大的知识转移和持续沟通，以确保服务提供商充分掌握组织的独特背景，并能够有效地满足其特定需求。

　　许多组织涉及到IT运营有效实施GRC计划都面临着挑战。这些困难往往是因为GRC计划是独立制定的，侧重于特定工具的单项功能，而没有充分考虑它们与组织的IT基础设施和风险环境的兼容性。这不可避免地会导致高昂的成本以及复杂的集成计划，或者数据不可用或不一致导致工具未被充分利用。通过解决根本原因、确定威胁、风险、控制和前瞻措施之间的共性并制定补救措施减轻这些后果。关键挑战包括：

　　监管环境的复杂性——组织在动态且复杂的监管环境中运作，遵守不同司法管辖区和行业不断发展的法规可能具有挑战。各地区的法规遵从性要求各不相同，而且会定期引入新的法规，各组织应持续监控并更新其合规程序。

　　不断变化的商业环境——组织在以数字化转型、全球化及日益增长的互联性为特征的快速发展的商业环境中运作，带来了新的风险和法规遵从性挑战，组织必须积极主动地管理这些挑战。GRC流程必须具有灵活性且适应性强，以应对不断发展的商业模式、新兴技术和地缘政治因素。

　　孤立的管理方式——许多组织将GRC活动进行独立管理，这可能导致效率低下且缺乏协调。孤立的流程和系统使组织难以全面了解风险与合规情况，从而导致工作分散和潜在的合规差距。

　　缺乏整合——GRC活动通常涉及多个部门和利益相关者，包括法律、IT、财务和运营部门等。GRC流程和系统的集成不足可能导致信息缺口、工作重复和报告不一致。这些职能之间缺乏协调可能会阻碍组织有效识别和减轻风险的能力。

　　资源限制——向GRC职能部门分配足够的资源（包括熟练的人员、技术和财务资源）可能是一项挑战。许多组织难以维持专门的GRC团队或投资足够的技术解决方案，以支持其合规工作。有限的资源可能妨碍有效的风险评估、监控和报告。

　　技术进步——技术的快速进步给GRC引入了新的风险和挑战。随着云计算、大数据分析、人工智能（AI）和物联网（IoT）的日益使用，组织必须调整其GRC流程，以应对这些技术带来的新风险。然而重要的是要记住，采用新的工具和系统可能很复杂并且需要大量的投资。

　　缺乏风险意识——有时由于利益相关者缺乏风险意识，组织无法充分评估和解决风险。员工可能无法充分了解与其角色和责任相关的风险，导致违反规定或风险缓解措施无效。建立风险意识文化和推动风险教育和培训对于应对这一挑战至关重要。

　　为了建立健全的GRC模式，组织应考虑以下关键建议缓解这些挑战。建议包括：使GRC与战略目标保持一致，任命专门的领导，整合GRC职能，开展全面风险评估，实施结构化合规程序，利用技术和人工智能能力提供持续的培训，促进持续改进的文化，衡量绩效纳入道德考虑，设计灵活性、建立审计和监控职能，以及促进沟通和加强透明度。通过遵循上述建议，组织能够加强风险管理、合规性和整体治理，最终提高弹性并取得成功。

　　为了在不断演变的挑战中恢复并抓住机遇，组织正在调整其GRC系统。主要调整趋势包括：董事会层面的更多参与；建立GRC集成平台；关注数据隐私和保护；遵守行业特定法规；高度重视网络安全风险管理；有效的第三方风险管理；环境、社会和治理（ESG）合规性日益重要；以及自动化、AI和机器学习（ML）技术的集成，以增强GRC流程。这些趋势能够确保与业务目标保持一致，简化流程并加强风险管理和合规工作，使组织在快速变化的环境中构筑弹性。

　　许多组织正在将运营风险和业务连续性整合为一体化管理程序，称为运营风险与弹性。未来两三年内，预计将广泛的实现向一体化运营风险和弹性计划的转变。为了全面理解风险与弹性，至关重要的是全面理解目标、风险、流程、控制、弹性和完整性之间的相互关系。采用一种全面的视角，包括关于风险和弹性的全面认识和理解188金宝搏在线入口。

　　如图2所示，开发弹性GRC计划需要明确定义路线图，以确保系统有效的实施。路线图包括一系列步骤，通过这些步骤，鼓励组织采用一个由内部领导、以业务为中心188金宝搏官方网站，且自给自足的GRC模式，最大限度地减少对外部外包的依赖程度，并尽可能争取自主权。这一战略促进积极主动的GRC文化，对于组织应对不断变化的商业环境至关重要。实施步骤包括：

　　定义范围——明确定义GRC计划的范围和目标。考虑组织的具体需求和风险，识别需要解决的治理、风险管理和合规领域。

　　GRC职能的组织结构图可能因组织的具体需求和结构而有所不同。鉴于此，组织必须审慎考虑GRC框架内的角色和责任，以确保高效和有效。由于CISO执行的所有职能通常都可以整合到GRC职能章程中，因此可以考虑取消CISO的职位，并置于首席合规官（CCO）的权利之下（图3）。

　　自主GRC模式消除了由CIO领导的IT职能与由CISO领导的IT安全职能之间的模糊界线。

　　需要注意的是，每个团队的规模和具体角色可能因组织的规模、所处行业和复杂性而有所不同。拟议的职能组织结构图为构建弹性的GRC部门提供了基础，但是可以进行定制和扩展，以满足不同组织的具体要求。

　　在当今变幻莫测的商业背景下，GRC发挥着至关重要的作用。随着越来越复杂和监管要求，有效管理GRC变得比以往任何时候都更具挑战性。

　　GRC目前面临的挑战包括监管变革的快速步伐、技术与数据管理的集成、对整体且主动方法的需求以及全球运营的日益复杂。这些挑战要求组织采用有弹性的GRC战略，以确保合规性、管理风险并维护良好的治理实践。