GRC 能力模型包含帮助公司实施 GRC 和实现符合原则的绩效的指导方针。它可以确保对沟通、政策和培训有共同的理解。您可以采用一种有凝聚力的结构化方法来整合整个组织的 GRC 运营。
一、什么是 GRC 能力模型?
GRC 能力模型包含帮助公司实施 GRC 和实现符合原则的绩效的指导方针。它可以确保对沟通、政策和培训有共同的理解。您可以采用一种有凝聚力的结构化方法来整合整个组织的 GRC 运营。
1、了解
您了解自己公司的背景、价值观和文化,这样您就可以确定可靠地实现目标的战略和行动。
2、保持一致
确保您的战略、行动和目标是一致的。您可以通过在做决策时考虑机会、威胁、价值和需求来做到这一点。
3、执行
GRC 鼓励您采取能够带来结果的行动,避免阻碍实现目标的行动,并监控您的运营以检测突然的变化。
4、审视
您重新审视您的战略和行动,以确保它们符合业务目标。 例如,法规变化可能需要改变方法。
二、什么推动了 GRC 的实施?
各种规模的公司都面临着可能危及收入、声誉、客户和利益相关者利益的挑战。其中一些挑战包括:
- 互联网连接引入了可能危及数据存储安全的网络风险
- 企业需要遵守新的或更新的法规要求
- 公司需要数据隐私和保护
- 公司在现代商业环境中面临更多不确定性
- 风险管理成本以前所未有的速度增长
- 复杂的第三方业务关系增加了风险
这些挑战产生了对引导企业实现目标的战略的需求。常规的第三方风险管理和合规方法是不够的。因此,GRC 作为一种统一的方法被引入,以帮助利益相关者做出准确的决策。
三、GRC 如何运作?
任何组织中的 GRC 都遵循以下原则:
1、关键利益相关者
GRC 需要跨不同部门的跨职能协作,实施治理、风险管理和合规。示例如下:
- 制定战略决策时评估风险的高级管理人员
- 帮助企业减少法律风险的法律团队
- 为符合法规要求提供支持的财务经理
- 处理机密招聘信息的人力资源主管
- 保护数据免受网络威胁的 IT 部门
2、GRC 框架
GRC 框架是管理公司治理和合规风险的模型。其中包括确定能够推动公司实现其目标的关键政策。通过采用 GRC 框架,您可以采取积极主动的方法来降低风险、做出明智的决策并确保业务连续性。
公司通过采用包含与组织战略目标一致的关键政策的 GRC 框架来实施 GRC。关键利益相关者在制定政策、构建工作流程和治理公司时,会将工作建立在对 GRC 框架的共同理解的基础上。公司可能会使用软件和工具来协调和监控 GRC 框架的成功。
3、GRC 成熟度
GRC 成熟度是组织内治理、风险评估和合规的集成水平。当一个精心规划的 GRC 战略在降低风险方面带来成本效率、生产力和有效性时,您就实现了高水平的 GRC 成熟度。同时,低水平的 GRC 成熟度是没有生产力的,并使业务部门在孤岛中工作。
