综合治理、风险和合规(GRC)
将风险、合规和审计统一在一致框架中的综合治理计划。
三线模型(原'三道防线',由IIA于2020年更新)规定运营管理、风险管理和内部审计必须以协调但独立的方式运作。拥有多个ISO认证的组织最常见的错误是每个标准都形成自己的孤岛:ISO 27001有自己的风险评估,ISO 9001有自己的,ISO 37301又是另一个——方法论不兼容、量表不同、发现不交叉引用。结果是高层管理层收到4或5份无法相互比较的风险报告。综合GRC计划通过设计统一控制地图来解决这一问题,其中每个控制同时映射到多个标准:访问管理控制涵盖ISO 27001(A.5.15)、ISO 42001(训练数据访问要求)和监管合规(隐私法规)。在25多个实施中的经验表明,这种方法将内部审计工作量减少35-50%,并使高层管理层能够基于统一的风险全景做出决策。
交付成果
GRC诊断
治理、风险和合规成熟度评估。
综合框架
与组织战略对齐的GRC框架设计。
统一控制地图
跨标准整合控制以消除重复。
实施路线图
带有进度指标的分阶段执行计划。
干预流程
综合诊断
跨领域治理、风险和合规评估。
框架设计
GRC计划架构和统一控制地图。
指导实施
分阶段计划执行支持。
技术查询
这不是先决条件——事实上,反过来做更高效。GRC计划可以作为后续多ISO认证的基础来设计。风险框架、控制地图和评估方法论只需定义一次,然后扩展到每个特定标准(27001、42001、37001、9001)。先认证再尝试整合的组织要为重新设计已实施内容付出代价。GRC诊断可以制定顺序认证路线图,其中每个新标准可重用30%至50%已实施的控制。
GRC工具(Archer、ServiceNow GRC、LogicGate)是自动化工作流程的软件——但如果没有严谨设计的治理框架就实施,只会更快地自动化混乱。GRC计划首先定义架构:管理哪些风险、使用什么方法论、谁负责每个控制、如何衡量有效性以及如何向高层管理层报告。工具随后选择,作为计划的技术支持——而非替代品。先购买工具再尝试定义计划的组织最终会将其治理适应软件的局限性,而不是反过来。