在我审核的大多数拉美组织中,风险管理在各部门孤立运作。信息安全部门有自己的风险矩阵和标准,合规部门另有一套,业务连续性部门又不同。董事会收到的是碎片化报告,无法做出具有整体视野的战略决策。
什么是整合GRC
GRC代表治理、风险和合规。整合GRC方法意味着这三个维度在统一框架下运作。ISO 31000正是提供这一骨干框架。
孤岛的代价
- 500人以上组织平均有3到5个并行风险矩阵
- 40%的控制重复
- 董事会报告无法比较
功能性GRC的三大支柱
- 统一的风险分类体系
- 董事会定义的风险偏好
- 整合且频繁的报告
如果您的组织运行多个标准框架却仍在孤立管理风险,第一步是GRC成熟度诊断。