如何构建业务与技术并驱的风险治理体系

治理、风险与合规（GRC）是一种框架和实践集合，旨在帮助采用一套全面且综合的方式实现组织的治理和管理。GRC可以促进良好的治理实践，识别并解决风险，确保遵守相关法律法规。组织通过实施GRC，在其运营过程中实现更好的控制、问责制、透明度和可持续性。

开放合规和职业道德团体（OCEG）将GRC定义为一套综合能力，使组织能够可靠地达成目标，应对不确定性，并以诚信行事以实现原则性的绩效。

弹性是从挑战中迅速恢复的能力，使组织能够在发生不利事件后恢复原状。这些原则通过提供方向、抵御风险的能力和道德操作实践，为有效的组织管理奠定基础。

这些流程的加强和合理化有助于提高业务绩效，增强组织治理委员会的决策能力。各行各业的组织都可以从精心规划的GRC策略中受益。

弹性的GRC模式通过促进组织的灵活性、协调性和敏捷性，支持应对复杂的GRC挑战。采纳弹性方法使组织能够在保持效率的同时，熟练地应对不断变化的法规和新兴风险。最终，弹性交付模式加强了GRC职能，使组织能够抵御中断，并确保在履行义务方面保持一贯的良好记录。本质上，弹性交付模式可以增强GRC计划的抵御中断和不确定性的能力，确保组织在履行其职责和责任方面取得长期成功。

GRC战略定位：自主性、与IT集成还是融入CISO角色之中？

有人可能会争论，在一个组织内实现一个有弹性的GRC模式取决于多种因素，如组织的规模、行业和整体结构。尽管没有通用的解决方案，但GRC职能的常见设置选项是将GRC模式定位于IT管辖范围之外，将其置于IT组织管辖范围内，或将其作为首席信息安全官（CISO）职责的一部分。

当GRC职能与IT职能紧密结合时，与IT GRC相关的职责直接嵌入IT职能中。这种集成确保了IT运营和GRC活动更加集中一致。然而，GRC组织可能会受到偏见和职责分离的影响。

当GRC职能与CISO的责任相结合时，有助于促进安全目标、风险管理和合规工作之间的更好协调。这种集成使CISO能够直接监督和控制GRC活动，确保安全措施集成到整体治理框架中，并满足合规要求。然而，同样，GRC组织内部的不当行为可能再次受到偏见和职责分离的影响。目前大多数企业通常将GRC职能整合在IT部门或CISO的角色中。然而，为了实现GRC弹性模式，提出了一种替代方法，建议GRC的最佳配置是将其建立为独立于IT职能的自主实体。

独立的GRC职能部门通常向高级管理层或董事会报告。该模式允许对整个组织的治理、风险管理和合规进行全面客观的监督，包括与IT相关的方面。对许多组织来说，自主GRC模式是实现GRC弹性的理想方法。

该模式的优点包括：

• 客观监督——独立的GRC职能可以对治理、风险和合规事项（包括与IT相关的事项）提供公正的视角。

• 更广泛的组织视野——通过对整个组织的全面关注，独立的GRC职能部门可以解决IT之外的风险和合规问题。

• 集中的专业知识——将GRC专业知识整合到一个专门的职能部门，从而实现专业化并发展全面GRC实践。

为了加强弹性，建议各组织在其GRC职能范围内建立自主权。当组织高度重视整个企业的法规遵从性和风险管理，而不仅局限于IT和安全领域时，这种自主权尤其重要。为了实现这一目标，至关重要的是建立明确的角色、责任和沟通渠道。这种设置有助于GRC、IT和组织内其他相关部门之间的无缝协作，确保对治理、风险管理和合规方面采取有效和协调的方法。在这些情况下，GRC可以与其专门的团队有效运作，直接向首席合规官（CCO）等高管层报告。

无论选择哪种模式，当务之急是确保GRC的职责，包括IT相关方面应得到全面重视。

GRC业务驱动模式vs.技术驱动模式

在业务驱动的GRC中，重点是使GRC活动与组织的战略目标和总体业务目标保持一致。这种方法强调将GRC集成到核心业务流程、决策制定和组织文化中。它涉及在整个组织（包括董事会、执行管理层和各业务部门）中建立GRC职责的明确问责制和所有权。业务驱动模式优先考虑风险评估、风险缓解、合规管理和道德问题，并将其作为组织运营的组成部分。

相反，技术驱动模式更加强调利用技术解决方案和工具促进GRC活动。该方法利用GRC软件平台、自动化工作流程、数据分析和其他技术能力简化和增强GRC流程。技术驱动模式旨在提高管理治理、风险和合规要求的效率、准确性和可扩展性。它能够实时监控、报告和分析GRC数据，使组织能够更好地了解其风险和合规状况。

需要注意的是，这两种模式并不是相互排斥的，组织通常采用混合方法，将两者的要素结合起来。模式的具体选择取决于组织的优先事项、资源以及其行业和监管环境的性质。最终，组织的目标是在业务协调和技术支持之间取得平衡，以实现有效的GRC实践。然而，采用业务驱动的GRC模式有助于保证弹性，因为尽管技术在支持GRC工作中发挥着至关重要的作用，但业务驱动的方法可确保GRC计划与组织的战略目标保持一致，全面评估风险，并能适应不断变化的业务条件。这种方法促进了更具弹性和有效的GRC框架，最终使整个组织受益。

图1概述了GRC业务驱动模式和技术驱动模式之间的差异。

业务驱动的****GRC

技术驱动的****GRC

1.领先的GRC举措

1.评估当前GRC格局

2.组建GRC委员会

2.确定目标和要求

3.管理GRC团队(包括风险管理、合规、内部控制、审计和法律)

3.研究和选择技术解决方案

4.风险评估和管理

4.构建商业案例

5.确定风险优先级

5.制定实施计划

6.实施风险缓释策略

6.配置和自定义

7.监督合规管理

7.执行数据集成和迁移

8.考虑伦理影响

8.进行用户培训

9.进行内部审计

9.测试和验证

10.利用技术和数据分析

10.启动推广和监测

11.推动持续改进

外包对GRC的影响

外包GRC职能部门既有好处也有坏处。一些组织可能认为外包GRC是合理的，因为这使他们能够方便地接触到具有行业趋势和监管变化专业知识的外部专家。此外，当成本限制带来挑战时，外包可以帮助减少与招聘、员工培训和获得技术工具有关的费用。如果外包GRC，组织必须确保签订强有力的合同协议，并对外包方进行持续监控，以应对可能影响业务弹性的潜在挑战和风险。

然而，总的来说，外包GRC也可能损害弹性。一般而言，组织应保持内部GRC的专业知识，以保持对关键职能的控制和监督。

外包GRC的缺点包括：

• 失去控制权——外包GRC职能部门可能导致失去对治理、风险管理和合规等关键方面的直接控制。组织需要仔细选择可靠和值得信赖的服务提供商，以确保其GRC需求得到有效满足。与服务提供商的沟通和协作对于保持可见性和监督至关重要。

• 文化契合度和一致性问题——外包GRC职能部门可能会在文化契合度、与组织价值观和目标的一致性方面带来挑战。外部服务提供商可能有不同的方式、优先事项或方法论，需要仔细考虑如何与组织的要求和期望保持一致。

• 安全和保密风险——GRC通常涉及处理敏感信息，包括法律、财务和战略数据。外包GRC要求采取严格的保密性和数据安全措施，以保护敏感信息不被泄露或未经授权的访问。组织必须与服务提供商建立明确的合同义务和安全协议，以降低风险。

• 对第三方的依赖——外包GRC造成了对外部服务提供商的依赖。如果服务提供商面临中断、财务问题或其自身组织发生了变化，这种依赖性可能会带来挑战。组织需要审慎管理与服务提供商的关系，包括定义性能指标、监控服务级别和制定应急计划。

• 缺乏组织知识和文化——内部GRC职能部门可以促进对组织文化、流程和风险状况的深入了解。外包GRC可能需要重大的知识转移和持续沟通，以确保服务提供商充分掌握组织的独特背景，并能够有效地满足其特定需求。

GRC面临哪些挑战？

许多组织涉及到IT运营有效实施GRC计划都面临着挑战。这些困难往往是因为GRC计划是独立制定的，侧重于特定工具的单项功能，而没有充分考虑它们与组织的IT基础设施和风险环境的兼容性。这不可避免地会导致高昂的成本以及复杂的集成计划，或者数据不可用或不一致导致工具未被充分利用。通过解决根本原因、确定威胁、风险、控制和前瞻措施之间的共性并制定补救措施减轻这些后果。关键挑战包括：

• 监管环境的复杂性——组织在动态且复杂的监管环境中运作，遵守不同司法管辖区和行业不断发展的法规可能具有挑战。各地区的法规遵从性要求各不相同，而且会定期引入新的法规，各组织应持续监控并更新其合规程序。

• 不断变化的商业环境——组织在以数字化转型、全球化及日益增长的互联性为特征的快速发展的商业环境中运作，带来了新的风险和法规遵从性挑战，组织必须积极主动地管理这些挑战。GRC流程必须具有灵活性且适应性强，以应对不断发展的商业模式、新兴技术和地缘政治因素。

• 孤立的管理方式——许多组织将GRC活动进行独立管理，这可能导致效率低下且缺乏协调。孤立的流程和系统使组织难以全面了解风险与合规情况，从而导致工作分散和潜在的合规差距。

• 缺乏整合——GRC活动通常涉及多个部门和利益相关者，包括法律、IT、财务和运营部门等。GRC流程和系统的集成不足可能导致信息缺口、工作重复和报告不一致。这些职能之间缺乏协调可能会阻碍组织有效识别和减轻风险的能力。

• 资源限制——向GRC职能部门分配足够的资源（包括熟练的人员、技术和财务资源）可能是一项挑战。许多组织难以维持专门的GRC团队或投资足够的技术解决方案，以支持其合规工作。有限的资源可能妨碍有效的风险评估、监控和报告。

• 技术进步——技术的快速进步给GRC引入了新的风险和挑战。随着云计算、大数据分析、人工智能（AI）和物联网（IoT）的日益使用，组织必须调整其GRC流程，以应对这些技术带来的新风险。然而重要的是要记住，采用新的工具和系统可能很复杂并且需要大量的投资。

• 缺乏风险意识——有时由于利益相关者缺乏风险意识，组织无法充分评估和解决风险。员工可能无法充分了解与其角色和责任相关的风险，导致违反规定或风险缓解措施无效。建立风险意识文化和推动风险教育和培训对于应对这一挑战至关重要。

为了建立健全的GRC模式，组织应考虑以下关键建议缓解这些挑战。建议包括：使GRC与战略目标保持一致，任命专门的领导，整合GRC职能，开展全面风险评估，实施结构化合规程序，利用技术和人工智能能力提供持续的培训，促进持续改进的文化，衡量绩效纳入道德考虑，设计灵活性、建立审计和监控职能，以及促进沟通和加强透明度。通过遵循上述建议，组织能够加强风险管理、合规性和整体治理，最终提高弹性并取得成功。

为了在不断演变的挑战中恢复并抓住机遇，组织正在调整其GRC系统。主要调整趋势包括：董事会层面的更多参与；建立GRC集成平台；关注数据隐私和保护；遵守行业特定法规；高度重视网络安全风险管理；有效的第三方风险管理；环境、社会和治理（ESG）合规性日益重要；以及自动化、AI和机器学习（ML）技术的集成，以增强GRC流程。这些趋势能够确保与业务目标保持一致，简化流程并加强风险管理和合规工作，使组织在快速变化的环境中构筑弹性。

GRC弹性发展路线图

许多组织正在将运营风险和业务连续性整合为一体化管理程序，称为运营风险与弹性。未来两三年内，预计将广泛的实现向一体化运营风险和弹性计划的转变。为了全面理解风险与弹性，至关重要的是全面理解目标、风险、流程、控制、弹性和完整性之间的相互关系。采用一种全面的视角，包括关于风险和弹性的全面认识和理解。

如图2所示，开发弹性GRC计划需要明确定义路线图，以确保系统有效的实施。路线图包括一系列步骤，通过这些步骤，鼓励组织采用一个由内部领导、以业务为中心，且自给自足的GRC模式，最大限度地减少对外部外包的依赖程度，并尽可能争取自主权。这一战略促进积极主动的GRC文化，对于组织应对不断变化的商业环境至关重要。实施步骤包括：

图2 GRC弹性发展路线图

01

定义范围——明确定义GRC计划的范围和目标。考虑组织的具体需求和风险，识别需要解决的治理、风险管理和合规领域。

02

建立治理框架——制定治理框架，概述组织内的治理结构、角色和责任。明确监督和问责的报告流程、决策流程和机制。

03

进行风险评估——开展全面的风险评估，以识别风险并确定其优先事项。评估可能影响组织目标实现的内部和外部风险。该评估流程应包括风险识别、评估和量化。

04

制定风险管理流程——设计和实施风险管理流程和方法，包括风险识别，风险分析和评估，风险处理和缓解，以及持续监测和报告。考虑将风险管理嵌入到现有的业务流程中。

05

建立合规流程——制定合规流程，以确保符合相关法律法规和行业标准。明确适用的监管要求，并建立跟踪和监控合规性的机制。实施合规控制和程序以减轻合规风险。

06

实施控制和程序——定义和实施内部控制和程序，以降低风险并确保合规性。一些控制示例包括：职责分离、访问控制、审批流程和控制活动的文档记录。定期监测和测试控制，以确保其有效性非常重要。

07

制定政策和程序——制定概述组织治理、风险管理和合规要求的政策和程序。这些政策应该是全面的，与行业最佳实践和监管要求保持一致，并便于员工访问。

08

建立沟通和培训机制——制定沟通计划，以提高整个组织对GRC实践的认识，促进GRC实践的理解。为员工提供有关其角色和责任、风险意识和合规要求的培训计划，并指定汇报渠道。

09

实施技术解决方案——利用GRC软件和技术解决方案实现GRC流程的自动化。实施风险评估、合规跟踪、政策管理、事件报告流程，并运用数据分析工具，以提高效率和有效性。

10

监控、测量和改进——持续监控、测量GRC计划的有效性，建立关键绩效指标（KPI）和衡量标准，以评估计划是否成功。定期审计和审查，明确需要改进的领域，并实施必要的改进。

11

加强汇报与透明度——制定报告机制，向利益相关者提供治理、风险与合规活动的清晰透明的信息。建立定期汇报周期，向相关利益相关者传达关键风险、合规状态和补救措施。

12

培育GRC文化——整个组织中培育促进GRC意识和问责制的文化。鼓励员工承担风险管理与合规的责任。认可并奖励良好的GRC实践和道德行为。

需要注意的是，本路线图旨在作为通用指南，可能需要根据每个组织的具体需求和环境背景酌情定制。组织应定期审查并更新GRC计划，以适应不断变化的风险、法规和业务要求。

基于职能章程的GRC组织结构图

GRC职能的组织结构图可能因组织的具体需求和结构而有所不同。鉴于此，组织必须审慎考虑GRC框架内的角色和责任，以确保高效和有效。由于CISO执行的所有职能通常都可以整合到GRC职能章程中，因此可以考虑取消CISO的职位，并置于首席合规官（CCO）的权利之下（图3）。

图3 GRC弹性组织的职位和职能

职位

角色

首席合规官

(CCO)

-监督组织的合规策略和计划

-向首席执行官(CEO)或董事会汇报

-领导和指导GRC部门

GRC治理总监和团队

-监督GRC各部门的日常运用

-制定和实施GRC政策、程序和框架

-与其他部门合作，确保与GRC目标保持一致

意识培训经理/团队

-制定并开展GRC培训计划

-提高合规与风险管理意识

-确保员工了解其职责

-编写培训材料和单元模块

-举办培训课程和研讨会

-衡量培训效果并收集反馈

GRC风险总监和团队

-制定并实施組织的风险管理框架

-识别、评估风险并确定风险优先级

-制定风险缓释策略

-进行风险评估并分析风险敞口

-协助制定风险缓解计划

-监控风险指标并报告风险趋势

GRC合规总监和团队

-监控并确保遵守监管要求和内部政策

-进行合规审计和风险评估

-制定合规培训计划

-跟踪法规变化并评估其对组织的影响

-提供关于合规要求的指导

-协助编制监管报告

内部审计经理/团队

-计划和执行内部审计

-评估内部控制和合规的有效性

-报告调查结果并提出改进建议

-根据年度审计计划进行审计

-测试控制、验证合规性并识别控制差距

-编制审计报告并与管理层沟通

IT合规和团队

-确保遵守IT相关法规和标准

-制定和维护IT合规政策和程序

-进行IT合规审计和评估

-协助实施和监控IT控制

-进行IT合规性测试和审查

-协助实施和监控IT控制

-进行IT合规性测试和审查

-与IT团队合作解决法规遵从性问题

图4显示了拟议的自主GRC模式的组织结构图，以确保GRC的自主性和弹性。

图4 基于功能章程的GRC组织结构图

自主GRC模式消除了由CIO领导的IT职能与由CISO领导的IT安全职能之间的模糊界线。

需要注意的是，每个团队的规模和具体角色可能因组织的规模、所处行业和复杂性而有所不同。拟议的职能组织结构图为构建弹性的GRC部门提供了基础，但是可以进行定制和扩展，以满足不同组织的具体要求。

结论

在当今变幻莫测的商业背景下，GRC发挥着至关重要的作用。随着越来越复杂和监管要求，有效管理GRC变得比以往任何时候都更具挑战性。

GRC目前面临的挑战包括监管变革的快速步伐、技术与数据管理的集成、对整体且主动方法的需求以及全球运营的日益复杂。这些挑战要求组织采用有弹性的GRC战略，以确保合规性、管理风险并维护良好的治理实践。

弹性GRC模式通过利用技术、数据分析和灵活的设计原则来适应快速发展的环境。它使组织能够主动识别和管理新出现的风险，应对监管变化作出响应，并确保合规工作在不断变化的环境中保持有效。

旨在增强弹性的组织应赋予其GRC职能自主权，这在强调IT和安全之外的企业范围的合规性和风险管理时尤其有益。在此情况下，弹性的GRC模式通过专门的团队直接向首席执行官（如CCO）汇报。

弹性的GRC模式提供了一个综合框架，将人员、流程和技术结合起来，以提高GRC的有效性。通过采用此模式，组织可以简化GRC流程，增强决策能力，并在风险管理与业务目标之间实现更好的一致性。

尽管GRC弹性交付模式提供了有力的解决方案，但是需要仔细规划和考虑其实施。组织必须投资人才技能培养，并建立风险意识和问责制文化。此外，持续监测、评估和改进GRC框架对于确保其有效性，并与不断变化的监管环境保持一致是至关重要的。

组织必须采用内部驱动，以业务为中心和自主的弹性GRC模式，避免依赖外部外包。这种方法将促进积极主动的GRC文化，对于有效应对不断变化的商业环境至关重要。只有这样做，组织才能够有效地管理风险，实现良好的治理，并在日益复杂和监管约束的世界中蓬勃发展。

作者：ROBERT PUTRUS, CISM, PMP, CFE, PE，在IT、网络安全、监管和内部控制合规、托管服务、全球转型计划、投资组合和计划管理以及IT外包方面具有丰富的高级管理经验。

翻译：吴梦庭（TIFFANY WU），ISACA微信公众号特邀通讯员

校对：唐雅琪（ANDREA TANG），FIP， CIPP/E， CIPM，ISO 27001 LA，ISACA微信公众号特邀通讯员小组组长