关于综合治理、风险和合规(GRC)的8个技术问题。时间表、方法论、交付物和评估标准。
涵盖治理、风险和合规(GRC)的综合评估:风险框架的战略对齐、控制有效性、治理结构以及三个职能之间的集成程度。
拥有多个监管框架、管理体系或已实施ISO标准的组织。对于寻求在统一治理下整合风险、合规和内部控制职能的实体尤为重要。
10到30个工作日,具体取决于已实施的标准和框架数量、业务单元数量以及GRC职能之间现有的集成程度。
评估治理、风险和合规之间的集成程度、报告流程效率、风险管理成熟度以及三道防线结构的有效性。
GRC成熟度诊断、规范框架集成图、风险治理结构评估以及优化三道防线模型的路线图。
GRC作为所有已实施ISO标准的集成层。它以ISO 31000为风险骨干,ISO 37301用于合规,附录SL结构用于统一管理体系。
常见发现包括风险和合规职能之间的孤岛、不同规范框架之间的控制重复、向高层管理层的碎片化报告以及缺乏统一的风险分类体系。
清点所有已实施的标准和监管框架,记录当前的治理结构,汇编现有的风险报告,并映射内部控制、风险和合规职能。