Фреймворк GRC: что это такое и как он согласовывает ИТ с бизнес-целями

Опубликовано: 2 Апреля, 2023
Фреймворк GRC: что это такое и как он согласовывает ИТ с бизнес-целями

Неосведомленность — самая большая угроза потенциальному успеху бизнеса. Когда вы остаетесь в неведении относительно того, чего не знаете, это увеличивает шансы на провал. Это не похоже на выдающуюся книгу Я. Будзишевского «Чего мы не можем не знать». Структура управления, рисков и соответствия (GRC) — это эффективный метод выявления и устранения угроз для вашей компании, о которых вы даже не подозревали. Ни один бизнес не хочет быть застигнутым врасплох, когда аудит выявит несоответствие. Управление комплаенс-риском направлено на то, чтобы помочь организациям избежать такой ситуации. Более подробно изучите структуру GRC ниже.

Понимание GRC

Структура GRC — это управление общим управлением компанией, управлением рисками предприятия и соблюдением нормативных требований. Считайте это структурированным подходом к согласованию ваших бизнес-целей с ИТ, при этом эффективно выполняя требования соответствия и управляя рисками. Хотя GRC важен для всех компаний, он особенно важен для тех, кто имеет дело с гражданами ЕС после принятия Общего регламента по защите данных (GDPR).

К сожалению, многие организации не решаются внедрять эти системы, поскольку они могут отнимать много времени и средств. Мы все знаем, что случилось с нефтяной платформой BP, известной как Deepwater Horizon, как показано в этом звездном одноименном фильме. Если бы BP уделяла больше внимания соблюдению требований и, возможно, не столько жадности, катастрофы могло и не случиться.

Более того, эти системы необходимо постоянно обслуживать, и если они не будут тщательно разработаны для удовлетворения требований вашего бизнеса, они не смогут предоставить данные, которые нужны вашей компании, в тот момент, когда они действительно нужны.

Огромные преимущества

Напротив, когда стратегия GRC хорошо спланирована и реализована, бизнес может получить множество преимуществ, начиная от оптимальных инвестиций в ИТ и заканчивая более эффективным принятием решений, снижением фрагментации отделов и устранением разрозненности.

Взгляните на отдельные аспекты GRC:

  • Управление — это все о том, что и насколько хорошо компания делает то, что она делает.
  • Риск предполагает знание местонахождения критически важных данных, операций и процессов, а также понимание способности бизнеса нести убытки.
  • Соответствие указывает на элементы управления, реализованные бизнесом для выполнения требований соответствия.

Риск, возможно, является наиболее важной частью структуры GRC, поскольку он определяет, как бизнес должен обеспечивать соответствие и управление, включая размещенные средства контроля и способ их управления.

Управление рисками также является одним из самых больших препятствий для современных компаний, поскольку оно требует от них знания местонахождения критически важных бизнес-активов, а также профиля риска для каждого из них.

Учитывая текущую среду, когда компании имеют дело с бесконечными источниками данных и сложной инфраструктурой, это сложно освоить.

Фреймворки безопасности говорят компаниям, что делать, но безопасность больше не является универсальным решением. Структура безопасности должна быть уникальной в каждой организации в соответствии с отраслью, ее данными и требованиями. Все мы видели фильм «Черная шляпа» и сериал «24 часа» — угрозы реальны и масштабны.

Именно поэтому управление рисками сейчас является таким ключевым компонентом. Организации должны внедрять GRC и стратегии безопасности в зависимости от своего профиля рисков и того, что лучше для их бизнеса.

Влияние GRC

Изображение 10120
Flickr/ Рон Мэдер

Внедрение рамочных систем GRC затрагивает всех в организации, поскольку все сотрудники имеют связанные с ними риски. Тем не менее, высшее исполнительное руководство несет ответственность за управление, которое создает ценность для бизнеса и прозрачность путем установления общих процедур.

ИТ-директор должен управлять управлением ИТ таким образом, чтобы ответственность и политика перетекали вниз, а оценки и подотчетность — вверх.

Все руководители бизнеса, включая финансового директора и ИТ-директора, несут совместную ответственность за управление рисками. Инструменты и политика управления персоналом и рисками физической безопасности, а также финансовыми рисками разрабатывались на протяжении столетий. ИТ просто добавляют новое измерение к рискам, наряду с исправлением.

Благодаря управлению рисками предприятия (ERM) цели и задачи компании согласовываются с рисками и производительностью. ERM может применяться во всем бизнесе или для достижения целей конкретного отдела, такого как ИТ.

Хотя управление рисками предприятия преследует несколько целей, как и GRC, оно не заменяет GRC. На самом деле управление рисками предприятия часто называют частью GRC.

Руководители разделяют ответственность за соблюдение требований. GRC стремится координировать эти процессы и усилия по обеспечению соответствия и перейти к более рискованному подходу к обеспечению соответствия. Большинство людей, которым поручено соблюдение требований, относятся к этому как к требованию, а не как к риску.

Тем не менее, соблюдение требований не освобождается от финансовых ограничений, которые побуждают все остальные аспекты компании сопоставлять риски и преимущества своих инвестиций. Таким образом, организациям больше не требуется применять подход, основанный на оценке рисков, поскольку GRC позаботится об этом.

Противоречия между управлением структурой и управлением учреждением — еще одна сторона управления GRC. Организации должны знать, где они находятся в этом спектре.

Правда в том, что полностью управлять интуицией невозможно. Требуются некоторые элементы управления, а также жесткая структура. Компания должна определить свой уровень терпимости к объему структуры, которую они хотят иметь.

Это составляет всю суть GRC — создание систем, которые позволяют вам выявлять и снижать риски, одновременно способствуя соответствию, которое включает в себя то, как вы управляете и делаете вещи.

Часто бывает трудно выяснить, кто отвечает за какой аспект управления, риска и соответствия требованиям. Существует несколько политических проблем в отношении того, кому принадлежит какой аспект структуры GRC. Тем не менее, аудит дает более четкое представление об их компетенции — соблюдение требований и риск одинаковы, но организовать работу каждой группы как единое целое — огромное препятствие.

Роль ИТ в структуре GRC

Роль ИТ в рамках GRC двояка. С одной стороны, ИТ-отдел должен решать внутренние проблемы, включая управление данными, конфиденциальность и утечку данных; с другой стороны, ИТ должен играть роль в системах GRC бизнес-уровня, внедряя инструменты, которые помогают с потоком информации.

Существует несколько отдельных рисков, связанных с информационными технологиями, а именно необходимость набора мер по снижению рисков, средств контроля и оценки рисков.

ИТ-отдел также должен помочь в разработке платформ и приложений для проведения оценки рисков и обучения персонала, а также предоставления информации из систем, измеряющих риски во всей организации. Таким образом, когда дело доходит до практической реализации GRC, ИТ играют ключевую роль.

ИТ-отделу следует избегать разработки правил и обязанностей в рамках GRC. Эти решения не входят в компетенцию ИТ-отдела; скорее, правление должно взять на себя ответственность.

Несколько ИТ-директоров должны наблюдать за процессом GRC, но имеет смысл возложить ответственность на ИТ-команду, поскольку отдел имеет широкий охват, затрагивающий все аспекты бизнеса.

Тренд набирает обороты

Тенденция GRC набирает обороты, и это лишь вопрос времени, когда различные компании по всему миру примут эту структуру. Но компании должны знать, что это такое и как это влияет на их ИТ-процессы и бизнес-цели, прежде чем двигаться вперед.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023