組織業(yè)務(wù)的關(guān)聯(lián)性要求對于面臨風(fēng)險采取全面的方法。當組織的治理、風(fēng)險、合規(guī)性(GRC)和安全功能被孤立時，很難有效地處理其可能損害企業(yè)、客戶和合作伙伴的總體范圍和潛在的連鎖效應(yīng)。隨著業(yè)務(wù)步伐的加快和運營變得越來越數(shù)字化，越來越多的組織正在組建企業(yè)風(fēng)險管理(ERM)小組或委員會。毫不奇怪，新的平臺有助于推動這一轉(zhuǎn)變。

[[327817]]

調(diào)研機構(gòu)Forrester Research公司分析師Alla Valente說：“數(shù)字化轉(zhuǎn)型需要所有這些功能之間的緊密協(xié)調(diào)。我們看到了企業(yè)風(fēng)險管理職能的增長，他們正在承擔運營風(fēng)險、財務(wù)風(fēng)險、合規(guī)性風(fēng)驗，以及業(yè)務(wù)連續(xù)性的責(zé)任。”

為什么將各種風(fēng)險職能分散化

組織的結(jié)構(gòu)往往根據(jù)其經(jīng)營所在的行業(yè)、規(guī)模和經(jīng)營理念而有所不同。在過去的幾十年中，許多組織都增加了其高級主管的職位，其中包括首席安全官(CSO)、首席信息安全官(CISO)、首席隱私官(CPO)、首席風(fēng)險官(CRO)的某種組合。

這些高管的報告對象也各不相同。例如，首席隱私官(CPO)可以向首席法律官(CLO)或首席安全官(CSO)和首席信息安全官(CISO)報告。首席安全官(CSO)和首席信息安全官(CISO)可以向首席信息官(CIO)、首席營銷官(COO)或首席執(zhí)行官(CEO)報告。

專業(yè)服務(wù)機構(gòu)畢馬威(KPMG)公司內(nèi)部審計與企業(yè)風(fēng)險合伙人Kreg Weigand表示：“許多這樣的職位是根據(jù)企業(yè)的組織結(jié)構(gòu)設(shè)立的。這方面的問題是業(yè)務(wù)一直在發(fā)生變化。”

許多應(yīng)對風(fēng)險的職能機構(gòu)是為了應(yīng)對2008年金融危機等重大事件或薩班斯-奧克斯利法案(SOX)或GDPR等法規(guī)而設(shè)立的。同樣，計算機、網(wǎng)絡(luò)和網(wǎng)絡(luò)安全也是技術(shù)性威脅的結(jié)果?，F(xiàn)在，沒有建立企業(yè)風(fēng)險管理小組或委員會的公司正感受到技術(shù)孤立的影響。具體來說，當各部門面臨風(fēng)險時，每個風(fēng)險相關(guān)職能部門都在使用自己的合規(guī)性(GRC)系統(tǒng)。例如，當黑客竊取數(shù)據(jù)時，安全團隊可能不是唯一受到影響的團隊，其他團隊還可能包括合規(guī)、治理、法律和傳統(tǒng)風(fēng)險管理(財務(wù)風(fēng)險)。

全球?qū)徲嫏C構(gòu)普華永道網(wǎng)絡(luò)安全和隱私負責(zé)人Joe Nocera表示：“合規(guī)性、隱私和安全之間的關(guān)系非常明確，有時存在一個基本的假設(shè)，即某個特定領(lǐng)域正在被其他領(lǐng)域覆蓋，有時我們會發(fā)現(xiàn)事情正在不斷發(fā)展，傾向于使用不同的風(fēng)險度量標準，并且傾向于使用不同的工作流和機制進行風(fēng)險接受和緩解活動。”

為什么企業(yè)風(fēng)險管理至關(guān)重要

很多組織組建了企業(yè)風(fēng)險管理小組或委員會，以便他們可以全面地管理風(fēng)險。盡管很多組織傾向于設(shè)置一個負責(zé)監(jiān)督組織風(fēng)險的委員會，但對于高管而言，最有效的措施是“監(jiān)督”，而其他人執(zhí)行。當跨風(fēng)險相關(guān)職能之間存在一層連續(xù)性和協(xié)作性時，監(jiān)督和執(zhí)行會更加有效。企業(yè)風(fēng)險管理小組或委員會將補充由專業(yè)團隊進行的風(fēng)險管理，他們的觀點也使董事會委員會受益。

畢馬威公司的Weigand說，“當我們與企業(yè)董事會成員進行溝通時，他們會問，‘為什么當合規(guī)部門進行網(wǎng)絡(luò)談話、內(nèi)部審計和風(fēng)險管理時都有不同的最高風(fēng)險?為什么不一起協(xié)調(diào)以確保董事會成員收到報告?’我知道組織真正面臨的風(fēng)險是什么，而不僅僅是在孤島內(nèi)，而且需要仔細了解這個問題。”

從幾種特定于功能的治理、風(fēng)險和合規(guī)性(GRC)系統(tǒng)到通用系統(tǒng)的技術(shù)整合也反映了企業(yè)風(fēng)險管理的趨勢。實際上，在過去的兩年中，調(diào)研機構(gòu)Gartner公司一直在預(yù)測合規(guī)性(GRC)系統(tǒng)即將消亡，而傾向于集成風(fēng)險管理(IRM)系統(tǒng)。

但是，集成風(fēng)險管理(IRM)系統(tǒng)不是企業(yè)風(fēng)險管理策略。企業(yè)風(fēng)險管理策略考慮人員、流程和技術(shù)。

InfoTech研究集團首席研究顧問Christine Coz表示：“即使在IT領(lǐng)域，也存在項目風(fēng)險、開發(fā)風(fēng)險、與審計和合規(guī)相關(guān)的風(fēng)險，但這些風(fēng)險并沒有得到全面的處理。關(guān)鍵是在這些對話中，組織高管需要為此提供支持，其目標是作為組織董事會的一部分，從監(jiān)督的角度確保對控制措施的管理到位，風(fēng)險接受度符合組織的容忍度，而且在組織中的風(fēng)險容忍度和接受度都是一致的。”

所有事物的數(shù)字化都需要企業(yè)風(fēng)險管理(ERM)，這不僅是因為數(shù)字業(yè)務(wù)比模擬業(yè)務(wù)快得多，而且因為風(fēng)險管理是一個品牌問題。

Forrester公司的Valente說，“在競爭激烈的行業(yè)中，企業(yè)的每種產(chǎn)品和服務(wù)都可能改變，例如汽車保險、抵押貸款、電信運營商，甚至食品。在企業(yè)沒有保護用戶數(shù)據(jù)的那一刻，就可能侵犯了用戶的隱私，所有這些事情都可能出錯，現(xiàn)在突然之間，風(fēng)險管理變得與眾不同。”

人工智能和機器學(xué)習(xí)將有所幫助

通過包括人工智能、機器學(xué)習(xí)和機器人流程自動化(RPA)在內(nèi)的智能技術(shù)可以增強企業(yè)風(fēng)險管理(ERM)的各個方面。目前，合規(guī)性(GRC)系統(tǒng)和集成風(fēng)險管理(IRM)系統(tǒng)之間的比較大的區(qū)別在于分代。根據(jù)Gartner公司的說法，合規(guī)性(GRC)系統(tǒng)具有過去的特征(例如，封閉且針對技術(shù)受眾)，而集成風(fēng)險管理(IRM)系統(tǒng)具有現(xiàn)代的特征(開放且針對企業(yè)領(lǐng)導(dǎo)者)。

畢馬威公司網(wǎng)絡(luò)安全服務(wù)負責(zé)人Rik Parker表示：“我們已經(jīng)有了持續(xù)的監(jiān)控控制措施，現(xiàn)在正在監(jiān)控環(huán)境采用重要工具監(jiān)控風(fēng)險。我認為在未來三年中，將會有更多的機器學(xué)習(xí)和人工智能幫助人們使用機器人流程來識別和警告風(fēng)險和風(fēng)險閾值，并幫助實現(xiàn)某些決策的自動化。它將具有基于決策、基于性能、基于環(huán)境中發(fā)生的關(guān)鍵事件的信息，在這種環(huán)境中發(fā)送的警報可以變得更加智能，并有助于發(fā)現(xiàn)問題。”

結(jié)語

現(xiàn)代的商業(yè)模式需要一種更加全面的方法來管理不斷擴大的范圍和更快的風(fēng)險影響。如今，除了專業(yè)的安全和合規(guī)性(GRC)職能外，組織還需要一個跨職能的企業(yè)風(fēng)險管理(ERM)小組或委員會，以更有效地評估、識別、監(jiān)控和管理風(fēng)險。新一代的合規(guī)性(GRC)系統(tǒng)將越來越自動化和智能化，從而促進和優(yōu)化這些不斷發(fā)展的風(fēng)險管理能力。