治理 风险 合规性和安全性 合在一起或是分开
发布时间:2022-07-20 09:40:42 所属栏目:安全 来源:互联网
导读:为什么将各种风险职能分散化 组织的结构往往根据其经营所在的行业、规模和经营理念而有所不同。在过去的几十年中,许多组织都增加了其高级主管的职位,其中包括首席安全官(CSO)、首席信息安全官(CISO)、首席隐私官(CPO)、首席风险官(CRO)的某种组合。 这些高
|
为什么将各种风险职能分散化 组织的结构往往根据其经营所在的行业、规模和经营理念而有所不同。在过去的几十年中,许多组织都增加了其高级主管的职位,其中包括首席安全官(CSO)、首席信息安全官(CISO)、首席隐私官(CPO)、首席风险官(CRO)的某种组合。 这些高管的报告对象也各不相同。例如,首席隐私官(CPO)可以向首席法律官(CLO)或首席安全官(CSO)和首席信息安全官(CISO)报告。首席安全官(CSO)和首席信息安全官(CISO)可以向首席信息官(CIO)、首席营销官(COO)或首席执行官(CEO)报告。 专业服务机构毕马威(KPMG)公司内部审计与企业风险合伙人Kreg Weigand表示:“许多这样的职位是根据企业的组织结构设立的。这方面的问题是业务一直在发生变化。” 许多应对风险的职能机构是为了应对2008年金融危机等重大事件或萨班斯-奥克斯利法案(SOX)或GDPR等法规而设立的。同样,计算机、网络和网络安全也是技术性威胁的结果。现在,没有建立企业风险管理小组或委员会的公司正感受到技术孤立的影响。具体来说,当各部门面临风险时,每个风险相关职能部门都在使用自己的合规性(GRC)系统。例如,当黑客窃取数据时,安全团队可能不是唯一受到影响的团队,其他团队还可能包括合规、治理、法律和传统风险管理(财务风险)。 从几种特定于功能的治理、风险和合规性(GRC)系统到通用系统的技术整合也反映了企业风险管理的趋势。实际上,在过去的两年中,调研机构Gartner公司一直在预测合规性(GRC)系统即将消亡,而倾向于集成风险管理(IRM)系统。 但是,集成风险管理(IRM)系统不是企业风险管理策略。企业风险管理策略考虑人员、流程和技术。 InfoTech研究集团首席研究顾问Christine Coz表示:“即使在IT领域,也存在项目风险、开发风险、与审计和合规相关的风险,但这些风险并没有得到全面的处理。关键是在这些对话中,组织高管需要为此提供支持,其目标是作为组织董事会的一部分,从监督的角度确保对控制措施的管理到位,风险接受度符合组织的容忍度,而且在组织中的风险容忍度和接受度都是一致的。” 所有事物的数字化都需要企业风险管理(ERM),这不仅是因为数字业务比模拟业务快得多,而且因为风险管理是一个品牌问题。 Forrester公司的Valente说,“在竞争激烈的行业中,企业的每种产品和服务都可能改变,例如汽车保险、抵押贷款、电信运营商,甚至食品。在企业没有保护用户数据的那一刻,就可能侵犯了用户的隐私,所有这些事情都可能出错,现在突然之间,风险管理变得与众不同。” 现代的商业模式需要一种更加全面的方法来管理不断扩大的范围和更快的风险影响。如今,除了专业的安全和合规性(GRC)职能外,组织还需要一个跨职能的企业风险管理(ERM)小组或委员会,以更有效地评估、识别、监控和管理风险。新一代的合规性(GRC)系统将越来越自动化和智能化,从而促进和优化这些不断发展的风险管理能力。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号