4分钟阅读

使用BPM和工作流程优化GRC

通过 BP Logix 上2019年11月1日2:12:18 PM

政府风险合规(GRC)

在现代IT环境中,法规遵从性和安全性高度依赖,它们具有一个共同的目标:确保组织的数据,用户,资源和知识产权安全和可用的责任。一些企业将治理,风险和合规性(GRC)划分为与工作流和业务流程分开的独立功能。这种想法会阻止将GRC原则真正集成到IT环境运行的所有方面,从而降低了对公司安全性和合规性的了解。创新型企业了解有效的法规遵从性和安全性紧密结合,以及为什么使用可实现快速,敏捷的工作流程但内嵌GRC的解决方案至关重要的原因。

GRC 通常将其编码为一系列控件,这些控件广泛应用于整个IT领域,旨在确保组织适当地管理其信息安全风险。 GRC 可以发现安全控制方面的漏洞,并为优先考虑缓解和补救活动提供了框架。遵循内部,行业和/或政府框架,GRC会根据相关安全要求来衡量安全控制的有效性。基本上,它是在寻找证明组织可以按照他们所说的去做,然后对其进行验证。

风险与安全管理保护公司资产

治理和合规性要求有多种形式,从组织的内部信息安全策略开始。这些政策应符合公司的业务目标,并反映其特定的基础架构和服务。可以通过内部安全审查来评估对内部安全策略的遵守情况,并且应该适当地管理任何发现的异常。

除了内部安全策略定义的安全要求外,企业还必须遵守行业和政府组织建立的合规性框架。尽管有时是明确的,但还是有一种默契的理解,即在特定区域或市场内开展业务必须遵守这些准则。这些安全要求通常以外部监管小组执行的审核和评估的形式出现。一些公司选择接受审核,以展示一流的业务和安全实践;其中包括ISO 27001和 SOC 2。对于某些公司而言,它们表现出对GRC原则的关注和承诺,因此可以成为竞争优势。

治理和合规性的最有效方法是使GRC准则与组织的流程和工作流程保持一致。这可以为任何接触流程的人(几乎组织中的每个人)创建一致性并建立行为思维方式。 这种解决方案必须能够从跨工作负载和数据源收集数据,这些数据可用于识别,指示和降低风险。 工艺总监 既采用了预测模型(这可以帮助公司避免不合规),又采用了自动报告和收集功能,可以提供洞察力,以了解流程与GRC要求的紧密程度。

在分解GRC的BPM和工作流的价值时,请考虑以下内容对团队如何提高效率及其总体安全状况的影响:

一致性

当组织开发GRC框架时,他们仍然必须跨不同的团队来实施和管理它。如果GRC需要任何东西,那就是一致性。没有它,就无法知道公司遵守其原则的程度。通过将基于GRC的需求实施到工作流和流程中,团队可以立即获得可见性,以识别不合规的地方。如果他们使用诸如Process Director之类的BPM平台,该平台使非程序员可以创建和修改流程,则可以快速解决问题并加以解决。 BPM就像GRC的持续洞察引擎一样,它使组织能够在处理风险管理和合规性方面保持一致。

自动化

如果公司必须评估偏离正常行为的每项活动,就会陷入困境。因为BPM可以帮助优化GRC行为的连续性和一致性,所以这成为公司确保治理和合规性遵守的关键方法。有些人会选择手动执行此操作,但这是一个时间杀手,可以分散流程参与者的注意力,使他们在解决不会增加价值的问题时将精力集中在结果上。有效的BPM解决方案使GRC框架自动化,使管理人员能够专注于流程改进而不是解决流程缺陷。可以设置它们来提供警报,以查明与GRC相关的问题的存在并帮助经理快速解决它们。

能见度

借助GRC,团队可以全面了解组织及其流程-包括内部,外部利益相关者之间如何访问,访问和处理数据,人员和资源。因为可以设置BPM来将受GRC影响的特定要求应用于流程的各个阶段,所以管理人员可以根据需要访问和控制更改流程。但也许更重要的是,深入的可见性使参与者能够了解GRC问题常见的地方。这可能表明内部系统存在漏洞,或者可能意味着某些团队或数据源不符合要求。

降低资本支出

借助GRC提供的可见性和自动化 BPM解决方案 ,团队可以大大减少识别问题和管理变更所需的手工工作。他们还知道哪些系统,应用程序和数据源可能会经常不合规。解决这些问题所需的注意力大大降低,因为管理GRC所需的人员更少,无需花费很多精力来找出问题的根源,随着时间的推移收集的见解可以帮助管理人员做出技术购买决策并分配支出,最终对于他们的GRC需求更有利(且更具成本效益)。

商业文化

通过工作流解决方案调整目标和任务时,业务运营的实际原则可以紧密地集成到公司的运营方式中。这一点很重要,因为它实质上将那些可以降低风险并在公司的业务活动中保持健康的治理水平的事情编纂而成。

GRC 旨在使公司更好地控制其数据和知识产权,但是没有捷径可以有效地对其进行管理。这是一个连续的过程,但是BPM和工作流程已进行优化以进行管理。

 BP Logix

撰写者 BP Logix