با افزایش مقررات و همگرایی فناوری جدید، عملکرد حاکمیت، ریسک و انطباق (GRC) به سرعت برای سلامت، امور مالی و امنیت شرکتها اهمیت بیشتری پیدا میکند. با این حال، GRC به پشتیبانی نیاز دارد تا کار خود را به خوبی انجام دهد، و این نیاز به حمایت از بالا به پایین دارد – که همیشه به دست آوردن آن آسان نبوده است.
اعضای هیئت مدیره امروز باید ارزش GRC را درک کنند، به ویژه در بحبوحه افزایش پذیرش هوش مصنوعی، که سازمان را سریعتر از همیشه با خطرات جدید آشنا می کند. به عبارت دیگر، شما باید هیئت مدیره را وارد کنید.
افزایش مقررات و فناوری جدید
امروزه سازمان ها با انواع مقرراتی روبرو هستند که باید از آنها پیروی کنند. یکی از پیشرفتهای مهم در ایالات متحده قوانین جدید کمیسیون بورس و اوراق بهادار (SEC) است که شرکتهای سهامی عام را ملزم میکند تا یک حادثه امنیت سایبری را ظرف چهار روز کاری افشا کنند یا جریمه شوند.
ما در حال حاضر شاهد سرکوب SEC هستیم. به عنوان مثال، در می 2024، صرافی بین قاره ای، شرکت مادر NYSE، جریمه شد به دلیل عدم افشای یک نفوذ سایبری در بازه زمانی لازم.
ما همچنین شاهد تلاشهای جدید و در حال ظهور برای تنظیم استفاده از هوش مصنوعی هستیم. به عنوان مثال، در اتحادیه اروپا، قانون هوش مصنوعی در ماه مه به تصویب رسید. اواخر سال گذشته در ایالات متحده، دولت بایدن یک فرمان اجرایی صادر کرد: توسعه و استفاده ایمن، ایمن و قابل اعتماد از هوش مصنوعی. دستور شروع کننده چیزی است که سرویس تحقیقات کنگره به عنوان «تلاش گسترده دولت برای هدایت توسعه و استقرار هوش مصنوعی مسئول از طریق رهبری آژانس فدرال، تنظیم صنعت و تعامل با شرکای بینالمللی».
و البته اینها تازه ترین اقدامات بزرگ دولت است. صنعت و مکان یک سازمان تعیین کننده همه نوع دستورات و مقرراتی است که باید با آنها مطابقت داشته باشد – از GDPR، PCI و DORA گرفته تا HIPAA و تعداد بیشماری دیگر.
در حالی که مقررات هوش مصنوعی هنوز جدید است، قوانین اتحادیه اروپا احتمالا به عنوان چارچوبی برای سایر کشورها عمل می کند. و در ایالات متحده، ایالت های فردی در حال حاضر تدوین قوانین جدید را آغاز کرده اند. از آنجایی که شرکتها عجله دارند تا هوش مصنوعی را در ردپای فناوری اطلاعات خود بپذیرند، درک نه تنها قوانین موجود، بلکه قوانینی که در حال توسعه هستند نیز مهم است.
نقش GRC و برنده شدن قلب ها و ذهن ها
عملکرد GRC دقت لازم را انجام می دهد تا اطمینان حاصل شود که کسب و کارها همه مقررات و الزامات انطباق مختلف را که مشمول آن هستند رعایت می کنند. از سیاستها و استانداردهای رانندگی گرفته تا نظارت بر ثبت ریسک برای اطلاعرسانی تصمیمها، GRC دروازهبان الزامات انطباق است.
انطباق به دور از تصور هیجان انگیز و پر زرق و برق است. رهبران شرکت اغلب می توانند آن را به عنوان یک مزاحم درک کنند. آنها آن را مانعی برای کسب و کار می دانند، اما واقعیت امروز این است که برای کسب و کار بسیار مهم است. در واقع، حتی می تواند به یک توانمندسازی تجاری تبدیل شود.
با این حال، برای اینکه این اتفاق بیفتد، GRC به پشتیبانی در سطح هیئت مدیره نیاز دارد تا کار خود را به خوبی انجام دهد – و گفتن آن آسان تر از انجام دادن است. یکی از چالشها، بهویژه زمانی که صحبت از مقررات امنیت سایبری و هوش مصنوعی به میان میآید، این است که همه هیئتها در مورد فناوری و امنیت باهوش نیستند. در حالی که آگاهی در حال افزایش است، گزارشی از سپتامبر 2023 نشان داد که فقط 12 درصد از شرکت های S&P 500 یک مدیر هیئت مدیره با اعتبار سایبری مرتبط داشت. گرفتن اطلاعات درست از مکان های مناسب یکی دیگر از چالش های مداوم است.
مراقبت از هیئت مدیره
یکی از عوامل کلیدی حمایت از CISO و همتایان آن است که با هیئت مدیره تعامل دارند تا به پر کردن شکاف بین عملکرد GRC و هیئت مدیره کمک کنند تا به دومی کمک کند اهمیت و ارزش اولی را درک کند. آموزش کلیدی است. هیئت مدیره باید نقش خود و آنچه از مدیران انتظار می رود را درک کند، به عنوان مثال، هنگامی که نقضی وجود دارد که نیاز به افشا دارد.
شرکتها از نظر نحوه جمعآوری و گزارشدهی معیارهای انطباق، پیشرفتهتر میشوند، که گام بزرگی به جلو است. اما اطلاعات زیادی وجود دارد که باید اولویت بندی شود. اطلاعات باید به گونه ای ارائه شود که ساده، مرتبط و جامع باشد بدون اینکه طاقت فرسا باشد.
هیئت مدیره باید سؤالاتی بپرسد تا اطمینان حاصل کند که خطراتی را که سازمان باید روی آنها تمرکز کند و تأثیر واقعی بر تجارت در صورت وقوع حادثه را درک می کند. این به ارائه اطلاعات مورد نیاز آنها برای درک ریسک به روشی قابل دسترس و با دیدی جامع برمی گردد. سرنخ های GRC می توانند به ارائه این کمیت ریسک کمک کنند.
پنج روش برتر برای نصب هیئت مدیره با GRC
از این بهترین شیوهها برای کمک به اعضای هیئتمدیره با تیم GRC استفاده کنید:
- اعضای هیئت مدیره را در مورد چارچوب ریسک مورد استفاده برای نمایش ساختار و اعتبار، مانند NIST CSF 2.0 یا ISO27001 مطلع کنید. الزامات مربوط به انطباق و پیامدهای آنها را به شیوه ای که برای کسب و کار معنادار باشد، در میان بگذارید.
- آموزش اعضای هیئت مدیره در مورد استفاده سازمان از هوش مصنوعی، از جمله نحوه و مکان استفاده از هوش مصنوعی در سراسر تجارت و تأثیرات استفاده از آن بر الزامات انطباق و نظارت.
- تعامل با کارشناسان خارجی برای انجام ارزیابیهای مستقل از مشخصات ریسک شرکت و ارائه توصیهها.
- پشتیبانی از آمادگی بر اساس استانداردهای مورد استفاده از طریق ارزیابی ریسک و نظارت مستمر، که به اصلاح قابلیتهای واکنش کمک میکند.
GRC، امنیت و هوش مصنوعی
توابع موفق GRC سایبری دادهها و معیارهای ثابتی را در تمام لایههای سازمانی فراهم میکنند و اطمینان میدهند که همه از کارکنان عملیاتی گرفته تا هیئت مدیره با اطلاعات یکسانی کار میکنند. به عبارت دیگر، GRC می تواند از یک اطلاعات هم نظارت استراتژیک و هم مدیریت عملیاتی را پشتیبانی کند. این رویکرد شفافیت و سازگاری با مقررات و تهدیدات جدید را فراهم می کند.
GRC همیشه مهم بوده است، اما اکنون هوش مصنوعی وارد تصویر نظارتی شده است. در حال تغییر چشم انداز تهدید، مدل عملیاتی، محصولات و خدمات است. وقتی صحبت از امنیت سایبری و هوش مصنوعی به میان میآید، هیئتهای مدیره باید هوشیارتر شوند، بهویژه در مورد نحوه استفاده شرکت از هوش مصنوعی. با استفاده از بهترین شیوههای مورد بحث در بالا، سرنخهای GRC این فرصت را دارند که دانش هیئت مدیره را در مورد این موضوعات به روشهایی که میتوانند تأثیرات مثبت پایداری بر وضعیت امنیت و انطباق سازمان داشته باشند، ایجاد کنند.