企业GRC项目管理基础最佳实践

日期: 2010-02-21 作者:Chris McClean翻译:李博文 来源:TechTarget中国 英文

管理GRC(监管,风险和法规遵从)的软件正伴随着优秀的功能和特性而逐渐成熟。更加令人欣慰的是通过紧密联系通常分开的这三方面,公司在组织架构和战略上的进步;带来的好处包括降低面临的风险,更低的审计费用,更好的总体法规遵从以及更具依据的决策。   像多数大型的、企业范围的项目一样,实施一个企业GRC项目需要协调不同的,甚至有时是相对立的各个目标,预期和资源。不过,还是有些最佳实践能够证明这些努力是成功的。

  最佳实践1:变成一个GRC销售人员   记住一个广泛的GRC项目的成功需要领导层的支持,以及业务流程主管的参与,重要的是要做好遇到困难和阻碍的准备。   大多数人需要被说服参与到GRC项目的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

管理GRC(监管,风险和法规遵从)的软件正伴随着优秀的功能和特性而逐渐成熟。更加令人欣慰的是通过紧密联系通常分开的这三方面,公司在组织架构和战略上的进步;带来的好处包括降低面临的风险,更低的审计费用,更好的总体法规遵从以及更具依据的决策。

  像多数大型的、企业范围的项目一样,实施一个企业GRC项目需要协调不同的,甚至有时是相对立的各个目标,预期和资源。不过,还是有些最佳实践能够证明这些努力是成功的。

  最佳实践1:变成一个GRC销售人员

  记住一个广泛的GRC项目的成功需要领导层的支持,以及业务流程主管的参与,重要的是要做好遇到困难和阻碍的准备。

  大多数人需要被说服参与到GRC项目的人对他们现有的流程都很满意。多数情况下,他们对何种问题会影响他们的流程以及如何避免类似情况十分清楚。所以,向他们介绍GRC的好处的时候,要从现有的流程说起,并指出将低效的任务自动化、剔除或者整合的机会。进行一些重组可能是有好处的,但是只要有可能,还是先尽力改进现有的工作方式。

  GRC的优势对不同的部门和业务单元会是不同的。法律和遵从专业人士可能会从单一的法规和政策文档存放地点而得到最多的好处,而运营风险人士会着眼于风险评估的标准化。为每个参与者都想出卖点无疑会花掉更多的力气,而要优先考虑说服那些可能会有疑虑的人。

  最佳实践2:记住项目管理的根本

  没有统一的目标展望以及合理的期望的话,项目很容易会偏离方向、损失动力或者无法发挥出其潜力。经常会听说有项目作为一个快速项目启动,却在一年之后被放弃,因为公司想要一个健壮的、全功能的系统来实现更复杂的GRC项目。

  记住项目管理的基本要点。设立并跟踪目标、路标以及可交付的成果是势在必行的;得到管理层和业务流程管理者的支持还不够。这些相关方面会要求了解他们能从GRC项目中能得到什么,什么时候能得到。如果不能展示达到目标的进程以及在过程中逐步实现价值,你得到的任何支持者都会迅速失去兴趣。

  阶段性目标通常以2-3个月的间隔为起始,并扩展到3年左右的较长的周期。它们不一定必须很复杂,但是一定是很明确的。例如,很多公司会跟踪GRC项目覆盖的业务流程数量或者业务用户参与的程度,来演示它支持了多少的业务。

  还有,使用分阶段的方式并包括概念原型。覆盖广泛并在全公司同步启动的GRC项目更不容易成功,因为它会受到巨大的投资、协调和不确定性的阻碍。成功的实施几乎都是从一到两个关键领域开始,在最初的几个演示成功之后再逐步推广到其它领域。

  像对待所有需要大量的时间和金钱投入的项目一样,要在项目上线运行之后保证它会持续成功。随着业务的增长,监管环境的变化,以及GRC项目面对新的组织架构的变化,需要制定计划来迎接变化。

  最佳实践3:将GRC整合到文化中

  通过向主要的相关人员推销GRC的业务核心价值,并具备严密的项目计划将保证进程的推进,但是真正成功的GRC只有在它已经深入到企业文化中的时候才能达成。

  经常性的沟通是关键。一个典型的GRC项目会包括你的直接团队、管理层支持者、一个跨部门委员会、业务流程管理者以及大量的一般用户。所有这些团队必须知道和他们相关的信息,以保证实施的动力,显示已经取得的成果,并鼓励持续的参与。

  然而,单靠沟通还不能推动参与者。重要的是要找到办法来鼓励并使得GRC进入标准流程。关键点是要找到办法来使这些变化能够对业务的其他方面也提供帮助。例如,跟踪风险事件及其成因,可以帮助业务流程管理者避免可能造成客户投诉、产品召回、隐私泄露甚至监管部门介入之类结果的系统方面的问题。

  要保持开放性和灵活性。和任何的承诺一样,变化和失误会威胁到项目的方向。所以鼓励员工去发现问题、提出疑虑、并在出现问题时保持诚实就非常重要了。建立灵活的计划可以帮助你在出现意外的情况下也能达到阶段目标,而达到阶段目标则总能保证你得到持续的支持及参与。

相关推荐

  • 数据屏蔽最佳实践的四大要素(上)

    保护客户信息是所有金融公司的安身立命之本。客户信息一旦遭到泄漏,不但会对公司声誉造成长期损害,而且还会违反诸如PCI DSS、HIPAA等法律法规的要求……

  • 日志管理最佳实践:成功的六要诀

    合适的日志管理工具能够大幅减轻管理企业系统日志数据的负担。但是,除非组织为这个工具投入必要的时间和精力,否则再好的工具也会很快变成一个差劲的工具。

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

  • 微软指出:IIS配置错误将引发严重威胁

    微软指出了因特网信息服务(IIS)语法扩展问题,这一问题将导致漏洞系统的出现,而这一漏洞是无法打补丁修复的……