GRC 是 "治理、风险与合规"(Governance, Risk, and Compliance)的缩写,是将组织中的流程、技术和人员与基于风险决策的可重复框架相协调。但是,GRC 涉及哪些内容,是否考虑到第三方带来的风险?考虑到超过60% 的数据泄露事件涉及某种第三方,企业如何才能制定简化的整体风险管理策略,不仅包括内部风险因素,还包括与之有业务往来的外部方带来的风险?本博客将探讨这些问题,并概述在使用通用的行业标准框架(OCEG)制定 GRC 战略时需要注意的功能。
GRC 涉及哪些方面?
GRC 首先要确定业务目标,安排业务流程和组织监督,以确保业务实现这些目标。这就是 "G"--治理。然后是 "R "部分--运用风险管理原则来实现这些目标,例如,制定 IT 风险管理流程,为了解可能影响业务的潜在网络风险并采取相应措施提供框架。最后,确保合规--"C "部分--采用监管和行业框架,以确保贵组织的 "G "和 "R "因素与经过验证的公认做法保持一致。
第三方风险与 GRC 有什么关系?
虽然 GRC 本身是一项内部工作,但基本的 GRC 实践可以扩展到组织的第三方/外部业务关系。利用许多相同的原则,第三方风险管理(或TPRM)是 GRC 的一个面向外部的子集,因为 TPRM 提供了识别和管理供应链(如供应商、供货商、合作伙伴等)--您的扩展企业--中的 IT 风险的能力,以确保合作伙伴风险达到可接受的水平,并衡量供应商对合规性要求的遵守情况。扩展企业是现代、外包、灵活环境中的一个关注点,是支持创收活动的业务的简单延伸。
具体来说,TPRM可自动收集和分析基于调查问卷的供应商证据;识别供应商风险并确定优先级;概述风险补救建议,并提供具体的可操作指导;通过外部扫描、商业智能和渗透测试持续监控网络和业务风险;以及按合规制度或行业框架进行报告。
从概念上讲,GRC 和 TPRM 在方法和结果上是相似的,TPRM 从 GRC 中获益,因为全面的 GRC 战略有助于使 TPRM 更加积极主动,减少被动反应。而且,TPRM 还考虑到了扩展企业中的第二方和第四方。
正在制定 GRC 计划?请考虑这一框架,确保从一开始就解决 TPRM 问题。
如果您希望为您的 GRC 计划提供一些结构,或启动一个更正式的计划,并希望确保您的第三方风险问题从一开始就得到解决,我们向您推荐开放合规与道德集团的OCEG 红皮书--一个广受好评的 GRC 通用行业框架。我们已将最佳实践 TPRM 功能映射到下表中的模型中。
| OCEG GRC 能力模型 | 实践 | 最佳实践 TPRM 功能 |
|---|---|---|
| L - 学习:研究并分析背景、文化和利益相关者,了解组织需要了解哪些信息,以确立并支持目标和战略。 | ||
| 外部环境: 了解组织所处的外部业务环境。 |
|
|
| 内部环境: 了解组织运作的内部业务环境。 |
|
|
| 文化:了解现有文化,包括领导层如何塑造文化、组织氛围,以及个人对绩效、风险和合规性的治理、保证和管理的心态。 |
| 灵活、易用的界面,确保企业各级人员都能从解决方案中受益 |
| 利益相关者: 与利益相关者互动,了解他们的期望、要求以及影响组织的观点。 |
|
|
| A - 协调:使绩效、风险和合规目标、战略、决策标准、行动和控制措施与环境、文化和利益相关者的要求保持一致。 | ||
| 方向:通过制定明确的使命、愿景和价值观声明、高层次目标以及关于如何决策的指导,提供方向。 |
|
|
| 目标:确定一套均衡的可衡量目标,这些目标应符合决策标准,并适合既定的参照基准 |
|
|
| 识别:确定可能对实现目标造成理想(机会)或不理想(威胁)影响的力量,以及可能迫使组织以特定方式行事的力量(要求)。 |
|
|
| 评估:采用定量和定性方法,利用决策标准分析当前和计划中的方法,以应对机遇、威胁和要求。 |
|
|
| 设计:制定战略和战术计划以实现目标,同时解决不确定性问题,并按照决策标准诚信行事。 |
|
|
| P - 执行:应对威胁、机遇和要求,通过采取主动、侦查和应对行动及控制措施,鼓励理想的行为和事件,防止不理想的行为和事件。 | ||
| 控制: 建立管理、流程、人力资本、技术、信息和实物行动与控制的组合,以满足治理、管理和保证的需要。 |
|
|
| 政策:实施政策和相关程序,以应对机遇、威胁和要求,并为管理机构、管理层、员工和扩展企业设定明确的行为预期。 |
| 咨询和健康检查服务有助于确定和完善 TPRM 政策 |
| 沟通:根据任务要求或履行职责和有效塑造态度的需要,向正确的受众传递和接收相关、可靠和及时的信息。 |
| 针对利益相关者的报告--内部和外部--显示整个供应商管理生命周期中的固有风险、残余风险和实际风险,以推动基于已识别或已处置风险的行动 |
| 教育:对领导层、管理层、员工和企业员工进行预期行为教育,提高他们的技能和积极性,帮助组织应对机遇、威胁和要求。 |
| 利用咨询服务,利用适应性启用和关键绩效与风险指标,推动人才、工具和技术方面的改进。 |
| 激励措施:实施激励措施,激发理想行为,并表彰那些对积极成果做出贡献的人,以强化理想行为。 |
| 提供咨询服务,以确定计划、帮助培训内部利益相关者并推动计划的采用 |
| 通知: 提供多种途径,报告实现目标的进展情况,以及不良和理想行为、条件和事件的实际或潜在发生情况。 |
|
|
| 调查: 定期分析数据,征求有关目标进展情况、不良行为、条件和事件的意见。 |
|
|
| 应对:设计并在必要时执行应对措施,以应对已发现或疑似的不良行为、条件、事件或能力薄弱环节。 |
|
|
| R - 审查:开展活动,监测并改进所有行动和控制措施的设计和运行效果,包括使其继续与目标和战略保持一致。 | ||
| 监测: 监控并定期评估该能力的绩效,确保其设计和运行有效、高效,并能及时应对变化。 |
|
|
| 保证: 向管理层、理事机构和其他利益相关方保证能力可靠、有效、高效、反应迅速。 |
|
|
| 改进:审查来自定期评估、侦查和应对行动以及控制、监测和保证的信息,以确定改进能力的机会。 |
|
|
如果您的 GRC 战略未能满足这些 TPRM 最佳实践的要求,请立即行动。下载我们的最佳实践指南《供应商风险生命周期导航》:每个阶段的成功关键》,全面了解在 GRC 计划中考虑第三方风险所需的能力。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
