治理、風(fēng)險(xiǎn)和合規(guī)工具可自動(dòng)執(zhí)行企業(yè)任務(wù)，例如確保合規(guī)性和降低技術(shù)和物理風(fēng)險(xiǎn)，包括財(cái)務(wù)、人力資本、安全和財(cái)產(chǎn)風(fēng)險(xiǎn)。遵守多個(gè)地方、地區(qū)、國(guó)家和/或國(guó)際法律標(biāo)準(zhǔn)要求企業(yè)跟蹤其業(yè)務(wù)的各個(gè)方面，這些方面可能會(huì)影響其遵守這些法規(guī)的能力。

GRC軟件有什么作用？

GRC 工具通過(guò)在一個(gè) Web 或基于云的門(mén)戶(hù)中存儲(chǔ)和跟蹤所有風(fēng)險(xiǎn)管理數(shù)據(jù)和法律進(jìn)展，自動(dòng)遵守多種監(jiān)管標(biāo)準(zhǔn)并數(shù)字化滿(mǎn)足法律要求。

GRC 軟件提供了一個(gè)可搜索的在線(xiàn)框架，用于：

• 識(shí)別和量化風(fēng)險(xiǎn)領(lǐng)域
• 記錄風(fēng)險(xiǎn)領(lǐng)域
• 訪(fǎng)問(wèn)圍繞這些領(lǐng)域的現(xiàn)行法規(guī)
• 創(chuàng)建和發(fā)布為降低風(fēng)險(xiǎn)而創(chuàng)建的流程以及風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃
• 記錄緩解策略的合規(guī)性
• 利益相關(guān)者溝通計(jì)劃

GRC 工具可幫助企業(yè)管理和減輕危險(xiǎn)風(fēng)險(xiǎn)，并優(yōu)化健康、有價(jià)值的風(fēng)險(xiǎn)。在 1900 年代中期，現(xiàn)代風(fēng)險(xiǎn)管理策略始于保險(xiǎn)和金融衍生品。企業(yè)或個(gè)人將通過(guò)衍生品、通常涉及潛在貨幣收益或損失的合同來(lái)承擔(dān)或減輕金融風(fēng)險(xiǎn)。保險(xiǎn)假定支付一定數(shù)額的錢(qián)比失去財(cái)產(chǎn)的風(fēng)險(xiǎn)要好。

GRC 軟件允許企業(yè)管理比財(cái)務(wù)或法律風(fēng)險(xiǎn)更多的風(fēng)險(xiǎn)，例如人力資源或技術(shù)威脅。它還采取更積極主動(dòng)的風(fēng)險(xiǎn)管理方法——提前為問(wèn)題做準(zhǔn)備——而不是像保險(xiǎn)一樣主要是防御性的，并在假設(shè)問(wèn)題會(huì)出現(xiàn)的情況下付款。

在商業(yè)應(yīng)用程序發(fā)展之前，公司存儲(chǔ)帶有任何相關(guān)法律信息的紙質(zhì)或計(jì)算機(jī)文檔，以證明其符合法規(guī)。這效率低得多，并且允許更多的人為錯(cuò)誤，同時(shí)還存在物理?yè)p壞或重要數(shù)據(jù)丟失的風(fēng)險(xiǎn)?，F(xiàn)在，GRC 軟件允許企業(yè)在單個(gè)門(mén)戶(hù)網(wǎng)站中跟蹤法規(guī)遵從性，這更好，因?yàn)樗袛?shù)據(jù)都以數(shù)字形式提供。工作流引導(dǎo)企業(yè)完成合規(guī)流程的每個(gè)步驟，通常使用圖表和符號(hào)來(lái)清楚地描述已經(jīng)完成的任務(wù)和需要完成的任務(wù)。這使公司可以保留他們所遵守的所有法律要求的數(shù)字記錄，而不是通過(guò)文件柜進(jìn)行分類(lèi)。

GRC 工具的另一個(gè)功能包括在需要完成任務(wù)或業(yè)務(wù)遇到風(fēng)險(xiǎn)時(shí)提醒企業(yè)和員工。好的GRC平臺(tái)不是被動(dòng)的；相反，它們會(huì)標(biāo)記新的風(fēng)險(xiǎn)并提醒用戶(hù)注意系統(tǒng)中記錄的任務(wù)截止日期。

GRC和風(fēng)險(xiǎn)管理有什么區(qū)別？

由于風(fēng)險(xiǎn)和合規(guī)市場(chǎng)和供應(yīng)商已經(jīng)開(kāi)始交叉，GRC 和風(fēng)險(xiǎn)管理技術(shù)幾乎沒(méi)有什么不同。風(fēng)險(xiǎn)管理專(zhuān)家承認(rèn)，這些差異充其量是微妙的，實(shí)際上不存在。

企業(yè)風(fēng)險(xiǎn)管理側(cè)重于減輕和優(yōu)化風(fēng)險(xiǎn)，其中包括合規(guī)性和審計(jì)。GRC 專(zhuān)注于幫助企業(yè)管理和記錄風(fēng)險(xiǎn)管理、合規(guī)性和業(yè)務(wù)治理實(shí)踐。綜合風(fēng)險(xiǎn)管理 (IRM) 通過(guò)擴(kuò)大其范圍來(lái)增強(qiáng) ERM。這可能意味著技術(shù)或安全功能：Reciprocity 指出，Gartner 認(rèn)為安全功能是 IRM 的一部分。

最佳 GRC 工具

審計(jì)委員會(huì)

AuditBoard 是一個(gè)具有四個(gè)模塊的企業(yè)平臺(tái)：

• SOXHUB 用于薩班斯-奧克斯利法案(SOX) 法規(guī)管理
• OpsAudit 內(nèi)部審計(jì)
• 風(fēng)險(xiǎn)管理的風(fēng)險(xiǎn)監(jiān)督
• CrossComply 用于合規(guī)管理

AuditBoard 列出主要風(fēng)險(xiǎn)并顯示每個(gè)風(fēng)險(xiǎn)緩解計(jì)劃的狀態(tài)；它使用圖表來(lái)可視化問(wèn)題和差距修復(fù)進(jìn)度和審計(jì)計(jì)劃。每次審核都會(huì)顯示與審核相關(guān)的審核人、測(cè)試人員、截止日期和程序。

AuditBoard 提供培訓(xùn)材料和視頻，稱(chēng)為 AuditBoard Academy，包括 SOXHUB、Workstream 和外部審計(jì)培訓(xùn)課程。它收到了關(guān)于其支持團(tuán)隊(duì)的特別熱情的用戶(hù)評(píng)論，客戶(hù)認(rèn)為這些評(píng)論非常有幫助。

關(guān)鍵區(qū)別

• SOXHUB 適用于希望專(zhuān)注于 SOX 合規(guī)性的企業(yè)
• 高度評(píng)價(jià)的客戶(hù)支持團(tuán)隊(duì)
• AuditBoard Academy 提供多種培訓(xùn)課程
• 用于集成和預(yù)建集成的 API

邏輯管理器

LogicManager 在風(fēng)險(xiǎn)和合規(guī)領(lǐng)域提供三種產(chǎn)品：GRC、IRM 或 ERM。LogicManager 客戶(hù)將獲得專(zhuān)門(mén)的風(fēng)險(xiǎn)管理顧問(wèn)或分析師團(tuán)隊(duì)以及培訓(xùn)課程，以幫助他們學(xué)習(xí)該平臺(tái)。LogicManager 功能包括：

• 風(fēng)險(xiǎn)識(shí)別
• 風(fēng)險(xiǎn)監(jiān)控
• 風(fēng)險(xiǎn)緩解
• 一鍵合規(guī)

LogicManager 包含的工具可讓團(tuán)隊(duì)了解監(jiān)控以向高管報(bào)告，例如儀表板和帶有熱圖和風(fēng)險(xiǎn)控制矩陣的報(bào)告。負(fù)責(zé)風(fēng)險(xiǎn)和合規(guī)活動(dòng)的員工會(huì)收到自動(dòng)化任務(wù)和警報(bào)。

關(guān)鍵區(qū)別

• 為每家使用 LogicManager 的公司配備專(zhuān)門(mén)的風(fēng)險(xiǎn)管理顧問(wèn)
• 一鍵合規(guī)
• 儀表板和報(bào)告的熱圖和風(fēng)險(xiǎn)控制矩陣
• 為員工提供自動(dòng)警報(bào)和任務(wù)

公制流

MetricStream 是面向企業(yè)的綜合風(fēng)險(xiǎn)管理解決方案，提供六大風(fēng)險(xiǎn)相關(guān)模塊，包括第三方管理、IT 和網(wǎng)絡(luò)安全、審計(jì)和財(cái)務(wù)控制。

MetricStream 為采用 ESG 方法進(jìn)行風(fēng)險(xiǎn)管理的企業(yè)提供環(huán)境、社會(huì)和治理模塊。這包括管理 ESG 框架的要求，例如全球報(bào)告倡議組織 (GRI) 以實(shí)現(xiàn)組織可持續(xù)性和運(yùn)行供應(yīng)商評(píng)估。

關(guān)鍵區(qū)別

• 最適合那些將 ESG 方法用于 GRC 的企業(yè)
• 第三方管理
• IT 和網(wǎng)絡(luò)合規(guī)解決方案
• SOX 合規(guī)性解決方案

賽360

SAI360是一款基于云端的企業(yè)GRC解決方案。它提供合規(guī)性學(xué)習(xí)內(nèi)容、預(yù)加載框架和控制庫(kù)。SAI360 有一個(gè) FastTrack GRC 選項(xiàng)對(duì)于希望盡快啟動(dòng)其綜合風(fēng)險(xiǎn)管理計(jì)劃的公司，提供開(kāi)箱即用的模板和更快的最終用戶(hù)培訓(xùn)。

SAI360 提供可配置的儀表板以及開(kāi)箱即用的儀表板。企業(yè)可以創(chuàng)建和修改流程以自動(dòng)化其審計(jì)和合規(guī)性任務(wù)。企業(yè)還可以查看其內(nèi)部審計(jì)的儀表板，其中包括跟蹤審計(jì)狀態(tài)和滿(mǎn)意審計(jì)百分比的圖表。

關(guān)鍵區(qū)別

• 過(guò)程建模
• 可定制和開(kāi)箱即用的儀表板
• 框架包括用于與其他系統(tǒng)集成的 API
• 用于直接進(jìn)入風(fēng)險(xiǎn)管理部署的 FastTrack 選項(xiàng)

SAP GRC?

SAP?Governance, Risk, & Compliance 有 10 個(gè)模塊，包括流程控制、審計(jì)管理和業(yè)務(wù)完整性篩選。商業(yè)誠(chéng)信篩查模塊提供交易數(shù)據(jù)的實(shí)時(shí)掃描，讓用戶(hù)更容易發(fā)現(xiàn)欺詐行為。SAP 的 Watch List Screening 模塊允許企業(yè)為第三方合作伙伴篩選具有標(biāo)志或法律授權(quán)的個(gè)人或公司。

SAP 還擁有網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和隱私模塊，其中包括內(nèi)置的安全信息和事件管理(SIEM) 解決方案以及威脅檢測(cè)。用戶(hù)可以分析日志數(shù)據(jù)的異常和可能的威脅。SAP 的身份和訪(fǎng)問(wèn)治理模塊包括企業(yè)訪(fǎng)問(wèn)控制和單點(diǎn)登錄，以提高安全性。

關(guān)鍵區(qū)別

• 適用于本地或云環(huán)境的 SIEM 工具
• 金融交易數(shù)據(jù)實(shí)時(shí)掃描
• 第三方供應(yīng)商和業(yè)務(wù)合作伙伴篩選
• 國(guó)際商務(wù)貿(mào)易服務(wù)模塊

ServiceNow GRC

ServiceNow Governance, Risk, and Compliance 是一種企業(yè)工具，它從漏洞掃描程序收集數(shù)據(jù)、確定漏洞的優(yōu)先級(jí)并顯示哪些團(tuán)隊(duì)成員是負(fù)責(zé)處理風(fēng)險(xiǎn)。ServiceNow GRC 告訴企業(yè)漏洞的風(fēng)險(xiǎn)是否在他們預(yù)定的可接受范圍內(nèi)，或者其估計(jì)成本是否不可接受。

運(yùn)營(yíng)彈性管理功能顯示高風(fēng)險(xiǎn)、失敗的控制和服務(wù)中斷；用戶(hù)可以將其與 ServiceNow 的業(yè)務(wù)連續(xù)性和供應(yīng)商風(fēng)險(xiǎn)管理模塊集成。在運(yùn)營(yíng)彈性?xún)x表板中，系統(tǒng)管理員可以查看有關(guān)服務(wù)詳細(xì)信息、技術(shù)、設(shè)施、人員或供應(yīng)商的數(shù)據(jù)，具體取決于他們?cè)诮M織中的角色。

關(guān)鍵區(qū)別

• 運(yùn)營(yíng)彈性管理
• 響應(yīng)迅速的支持團(tuán)隊(duì)
• 供應(yīng)商風(fēng)險(xiǎn)管理
• 業(yè)務(wù)連續(xù)性管理
• 隱私風(fēng)險(xiǎn)與合規(guī)管理

標(biāo)準(zhǔn)融合

StandardFusion 是一個(gè) GRC 和集成風(fēng)險(xiǎn)管理平臺(tái)，主要為 Infosec 團(tuán)隊(duì)設(shè)計(jì)。其審計(jì)管理解決方案包括內(nèi)部和外部審計(jì)選項(xiàng)，其合規(guī)管理涵蓋超過(guò)六大監(jiān)管標(biāo)準(zhǔn)：

• 國(guó)際標(biāo)準(zhǔn)化組織 (ISO)
• 服務(wù)組織控制 (SOC) 2
• 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)
• 健康保險(xiǎn)流通與責(zé)任法案 (HIPAA)
• 通用數(shù)據(jù)保護(hù)條例 (GDPR)
• 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI-DSS)

StandardFusion 提供信息安全問(wèn)卷，無(wú)論是定制的還是開(kāi)箱即用的模板，客戶(hù)可以將其提供給他們的供應(yīng)商和其他第三方。供應(yīng)商模塊還包括集中式聯(lián)系人管理和供應(yīng)商識(shí)別，以跟蹤影響企業(yè)的所有第三方。

關(guān)鍵區(qū)別

• 大量法規(guī)的合規(guī)管理
• 內(nèi)外部審計(jì)管理
• 供應(yīng)商和第三方風(fēng)險(xiǎn)評(píng)估和問(wèn)卷
• 每個(gè)風(fēng)險(xiǎn)和資產(chǎn)的詳細(xì)數(shù)據(jù)

如何選擇 GRC 工具

如果您的企業(yè)正在購(gòu)買(mǎi) GRC 解決方案，請(qǐng)考慮以下問(wèn)題：

您的業(yè)??務(wù)應(yīng)關(guān)注風(fēng)險(xiǎn)和合規(guī)的哪些組成部分？

如果您主要關(guān)注 GRC 領(lǐng)域中的一項(xiàng)功能，請(qǐng)尋找擅長(zhǎng)其中的軟件：例如，審計(jì)、法規(guī)遵從性或安全性。確保執(zhí)行團(tuán)隊(duì)成員也參與該重點(diǎn)領(lǐng)域。

該工具的可定制性是否適合您的團(tuán)隊(duì)規(guī)模？?

一些 GRC 軟件是為大型企業(yè)設(shè)計(jì)的，它的可配置性很強(qiáng)，這對(duì)于有帶寬定制它的團(tuán)隊(duì)來(lái)說(shuō)是一個(gè)優(yōu)勢(shì)。但較小的團(tuán)隊(duì)，尤其是那些沒(méi)有專(zhuān)門(mén)的風(fēng)險(xiǎn)管理或 IT 實(shí)施團(tuán)隊(duì)的團(tuán)隊(duì)，可能需要更多開(kāi)箱即用的功能。

供應(yīng)商在部署過(guò)程中的參與程度如何？

一些供應(yīng)商指派專(zhuān)門(mén)的分析師或技術(shù)團(tuán)隊(duì)來(lái)幫助公司啟動(dòng)平臺(tái)。如果您認(rèn)為在實(shí)施方面需要很多幫助，那么您將需要選擇一個(gè)與企業(yè)合作一段時(shí)間的提供商，因?yàn)樗麄冃枰獣r(shí)間來(lái)部署和學(xué)習(xí) GRC 平臺(tái)。