“互联网+”时代的GRC实践

摘要:

  云计算、移动互联网,使得企业内部的管理层级趋向扁平化,也使得企业外部的商业环境更加复杂。随着云计算、移动互联网、大数据等新技术的普及应用,大型企业在信息化建设上普遍呈现出“应用集中化、管理集中化、人员分散化”的趋势。这三大趋势也给企业在企业GRC(管控、风险管理和合规遵从)等方面带来了新的挑战,如面临更加复杂、混乱的经营、竞争环境,更多的不确定性带来更多的风险和机会。

  企业内部和外部的利益相关者不仅要求企业提高业绩,还要求企业的业务运营更加透明化。企业需要积极、审慎地应用云计算、移动办公、大数据等技术。

  关注云计算带来的 合规与安全问题

  云计算已逐渐被认为是一种性价比较高的企业应用交付方式,甚至成为业务流程外包的交付方式。在云计算环境中,数据和应用与基础设施是分离的,将数据和应用迁移到云上会影响组织遵从某些法规和标准的能力。从信息安全管理和企业风险控制的角度来看,企业要想更好地利用云计算平台,必须有云的安全策略、治理策略和合规策略。

  云安全需要解决很多问题。例如,如何确保本地数据中心的资源安全,如何确保向公有云迁移后的大量应用的安全,如何确保存储在多家云服务商的数据中心的数据的安全,如何保护公有云和私有云的虚拟化基础,如何确保接入云基础设施的移动设备的安全。

  一旦涉及信息安全和治理,混合云环境还会带来更多的挑战。比如,如何实现多租户的隔离和共享,怎么建立科学的异常事件预警、响应机制,怎么合理进行权限设置以给用户提供有限的可见度,如何处理数据的安全和合规等问题。企业在构建基于云计算的信息系统时,最好能够将云计算整合到现有企业IT治理体系中。

  应对移动办公带来的 合规挑战

  移动互联网和智能终端的普及使得随时随地办公成为可能,办公设备也变得更加多种多样。这也使得BYOD(携带自己的设备办公)日益盛行。企业员工可以在任意地点登录企业邮箱,利用在线办公系统完成收发邮件、处理流程和沟通业务等操作。这不仅增加了员工工作的灵活性,还满足了员工对办公设备的个性化需求。不过对于企业来说,BYOD在降低办公设备的采购、运营成本的同时,也带来了新的IT管理难题,如面临设备归属、数据隐私、数据安全等问题。

  对于企业来说,要解决由于BYOD带来的数据安全问题,行之有效的办法就是制定数据安全责任制度,采用各种控制措施将企业数据和个人数据充分隔离,并制定使用终端设备的规范。只有这样,才能真正做到既有效保护企业数据,又不侵犯员工隐私。

  为了从根本上解决移动办公的安全问题,企业还需要采取以下几个措施:第一,重视对员工的教育与培训;第二,部署适用的移动设备管理(MDM)系统、企业移动管理(EMM)系统;第三,重视移动信息化治理措施的落实。

  利用大数据提升GRC 智能

  企业在运营与管理过程中会产生大量的过程数据和信息(如文档、日志等);企业在应对日益复杂的业务环境过程中,还需要处理多种多样的数据和信息。企业运营管理所需处理的数据已经不再局限于具有静态结构和有限交互路径的数据,而是来源复杂多样的数据,其中包括社交媒体数据、电子邮件数据、传感器数据、商业应用数据、档案和文件。企业获取和分析数据的方法亟待更新。

  大数据可以被视为海量、快速增长和多样化的信息资产,也被业界认为是一个真正的游戏规则改变者。在一些关键领域,特别是操作和合规风险管理领域,由大数据技术支撑的分享模型将支持风险人员轻松进行日常决策。引入大数据分析技术、风险模型服务,以及文本分析、流程挖掘和先进流程仓库等技术,能够帮助企业实现合规智能、风险智能和流程智能。通过对风险模型和工具进行模拟和优化,企业可强化对数据的分析和洞察,从而在流程执行之前、期间和之后对方案进行优化和完善,最大程度地优化业务流程和决策效果。

  相较于采用商业智能,采用大数据分析技术能进一步提高风险模型的预测能力和稳定性。具体来说,大数据分析能够在如下三个方面重塑组织的风险管理:其一,大数据技术可帮助企业重新塑造风险管理理念;其二,大数据技术可帮助企业变革风险管理体制;其三,大数据技术可帮助企业分享系统数据。