BPM博客:信息,讨论和资源| BP Logix.

使用BPM和工作流优化GRC

写道 BP Logix. | 2019年11月1日上午9:12:18下午9:12:18

在现代IT环境中,合规性和安全性彼此高度重视,它们共享共同目标:保持组织的数据,用户,资源和知识产权安全和可用的责任。一些企业将治理,风险和遵守(GRC)分组为单独的功能,与工作流程和业务流程分开。这种思考可以防止GRC原则的真实整合到IT环境如何运营的各个方面,这降低了对公司的安全和合规性姿势的可见性。创新企业了解有效的合规性和安全性紧密耦合,以及为使用一个启用快速敏捷工作流的解决方案是至关重要的,但是使用GRC嵌入到其中的GRC。

GRC. 通常被编码为广泛应用于IT景观的控件集合,并且旨在确保组织适当地管理其信息安全风险。 GRC识别安全控制中的差距,并提供了一个优先考虑缓解和修复活动的框架。秉承内部,行业和/或政府框架,GRC衡量安全控制对相关安全要求的有效性。它基本上寻求证明组织做他们所说的事情,然后验证。

风险和安全管理保护公司资产

治理和合规的要求有许多形式,从组织的内部信息安全策略开始。这些政策应与公司的业务目标保持一致,并反映其特定的基础设施和服务。可以通过内部安全审查评估对内部安全策略的遵守,并应适当管理任何已发现的异常。

除了内部安全政策定义的安全要求外,企业必须遵守行业和政府团体的合规框架。虽然有时明确,但遵守这些指导方针的经营是必须在特定地区或市场的业务中进行业务的默契。这些安全要求通常以外部监管团体执行的审计和评估形式。有些公司选择审计,以展示最能获得的商业和保安实践;这些包括ISO 27001等物品 SOC 2。对于一些公司来说,这些可能是竞争差异的差异,因为它们表现出对GRC原则的重点和承诺。

治理和遵从性最有效的方法是将GRC指南对准组织的流程和工作流程。这会产生一致性,并为任何触摸进程建立行为心态(这几乎是组织中的每个人)。 这种类型的解决方案必须能够从工作负载和数据源中收集数据,该数据源可用于识别,方向和降低风险。流程导演采用预测性建模(这可能有助于公司避免不合规),并自动报告和收集,为遵守GRC要求提供深入的过程。

在打破BPM的价值和GRC的工作流程,考虑以下对团队如何提高效率及其整体安全姿势的影响:

一致性

当组织为GRC开发框架时,它们仍然必须在不同的组中实现和管理它。如果GRC需要任何东西,它是一致的。没有它,没有办法了解公司遵守其原则的方式。通过将基于GRC的要求实施到工作流程和流程中,团队可以立即了解,以确定它们不合规的位置。如果他们使用像Process Director这样的BPM平台,它使非程序员能够创建和修改进程,则可以快速解决和修复问题。 BPM就像GRC的连续洞察引擎,这使得组织能够在他们接近风险管理和遵守方面的工作中的一致能力。

自动化

如果他们必须评估偏离标准化行为的每项活动,公司会被困住。由于BPM可以帮助优化GRC行为的连续性和一致性,这成为公司确保治理和遵守依从性的批判性方式。有些人会选择手动进行,但这是一个时间杀手,并且可以分散过程中的过程,而是在解决不增加价值的问题时重点关注结果。有效的BPM解决方案自动化GRC框架,使管理人员能够专注于过程改进而不是修复过程缺点。它们可以设置为提供警报,该警报将存在与GRC相关的问题存在并帮助管理者迅速解决它们。

能见度

借助GRC,团队获得组织及其进程的广泛照片 - 这包括如何访问数据,人员和资源,正在访问和外部利益相关者之间进行访问和交易。由于可以设置BPM以对各种流程阶段应用特定的GRC影响的要求,因此如果需要,管理人员可以访问和控制以改变流程。但也许更重要的是,深度可见性使演员能够理解GRC问题的常见情况。这可能表明内部系统内的漏洞,或者它可能意味着存在不合规的团队或数据源。

减少资金

通过GRC可见性和自动化提供 BPM解决方案,团队可以大大减少识别问题和管理变更所需的手动工作。它们还意识到哪些系统,应用程序和数据源可能定期不合规。修复这些问题所需的注意力显着降低,因为管理GRC需要更少的人,揭示撤置的轨迹才能识别出现问题的来源,并且随着时间的推移收集的洞察力可以帮助管理者制定技术购买决策并分配支出最终是他们的GRC需求的更有利(和成本效益)。

商业文化

当目标和任务通过工作流程解决方案对齐时,业务运营的实际原则可以紧密地集成到公司如何运营的结构中。这是重要的,因为它基本上是根据这些东西编纂了减少风险,并在公司的业务活动内保持健康的治理水平。

GRC. 旨在让公司更好地控制其数据和知识产权,但有效管理它没有捷径。它是一个连续的过程,但是,BPM和工作流程被优化以管理。