AndyC

Andy Curtis is an award-winning security consultant, researcher and public speaker. He has been working in the computer security industry since the early 1990s, having been employed by state and federal government, leading healthcare and banking providers across three continents. He has given talks about computer security for some of the world’s largest companies, worked with law enforcement agencies on investigations into hacking groups, and is a regular voice on TV and radio explaining IT security threats.
GRCとは何か?高まるガバナンス・リスク・コンプライアンスの重要性

GRCとは何か?高まるガバナンス・リスク・コンプライアンスの重要性

3 months ago AndyC

FTIコンサルティングのシニア・マネジング・ディレクター、ティルシア・トレドは言う。「ガバナンスとは、誰がその部屋にいて、何をすることが許され、何をしないことが許されるのか、彼らが依拠するデータは何なのか、そして彼らの行動はどのような順序で行われるのか、ということである」。 トレドによれば、ガバナンスは組織内の複数のレベルに適用され、取締役会、経営陣、従業員がルールを理解し、ルールに従い、従わない場合はその結果に直面することを保証する。 リスク:GRCのリスク管理要素は、組織の活動に関連するあらゆるリスクが特定され、組織のビジネス目標をサポートする方法で対処されることを保証する。ITの文脈では、これは組織のエンタープライズ・リスク管理機能と連携する包括的なITリスク管理プロセスを持つことを意味する。 リスクは、組織のリスク選好度(リスク選好度とは、組織が許容できるリスクと許容できないリスクを設定し、残存リスク、すなわち許容できないリスクに対するコントロールが実施された後でも残るリスクを管理することである。 「リスクとは、組織がどこでプレーしたいのか、どこでプレーしたくないのかということである。リスクとは、組織が遊びたいところと遊びたくないところの境界線のことである」とトレドは言い、企業リスクは常に進化していると指摘する。 コンプライアンス: GRCにおけるコンプライアンス機能とは、組織の活動が、その活動に関連する法律や規制に適合した形で行われていることを確認することである。例えば、ITシステムとそのシステムに含まれるデータが適切に使用され、保護されていることを確認することを意味する。 コンプライアンスには、組織が戦略を実行する際に従わなければならない法律や規制が含まれる、とトレドは説明する。「言い換えれば、ビジネスが運営される法律や規制環境とは何かということだ。 ガバナンス、リスク、コンプライアンスはそれぞれ特定の要件に焦点を当てているが、トレドによれば、これらは重複しており、連携しているという。例えば、リスク部門はガバナンスの実践に依存し、統制を実施することでリスクを軽減し、組織のリスク境界を逸脱する行為があれば上司に警告する。 デジタル時代におけるGRCの戦略的性質 ガバナンス、リスク、コンプライアンスは、組織が成功するための長年の要素であったが、企業幹部やGRCの専門家によると、グローバルに接続されていることが例外ではなく標準となっているデジタル時代においてビジネスを行うことの複雑さが増しているため、GRCは組織にとってより最優先事項となっているという。 サイバー攻撃やデータ漏洩といった現代の脅威は、すべての組織における強力なGRC戦略の必要性を高めており、データの保護と安全確保に関する法律や規制の増加も、成熟したGRC機能を持つことを組織にプレッシャーをかけている。サイバー攻撃に成功したり、保有するデータの保護に失敗したりした組織は、壊滅的とまではいかなくても、重大な結果を招く可能性があるからだ。 「GRCは戦略的なものであり、それが適切に機能していれば、組織を守ることができるからだ。なぜなら、GRCが適切に機能していれば、組織を保護し、強固な評判などを維持することができるからです」とトレドは言う。 企業におけるGRCの仕組み 企業運営の他の部分と同様に、GRCは人、プロセス、テクノロジーの組み合わせで構成される。 ISACAロンドン支部の理事会副会長であり、ISACA Emerging Trends Working Groupのメンバーであるアメート・ジュグナウト氏によると、効果的なGRCプログラムを実施するために、企業のリーダーはまず自社のビジネス、ミッション、目標を理解しなければならない。...

You may have missed

Macquarie Uni to spend up to 0m on 10-year digital transformation

Macquarie Uni to spend up to $700m on 10-year digital transformation

3 hours ago AndyC
EU demands clarity on AI risks in Bing

EU demands clarity on AI risks in Bing

3 hours ago AndyC
Microsoft offers cloud customers AMD alternative to Nvidia AI processors

Microsoft offers cloud customers AMD alternative to Nvidia AI processors

3 hours ago AndyC
Digital ID bill passes parliament

Digital ID bill passes parliament

3 hours ago AndyC
Telstra brings Infosys into engineering transformation

Telstra brings Infosys into engineering transformation

3 hours ago AndyC