eGRC战略及协作是应对隐私和风险挑战的关键

ZDNet至顶网软件频道消息 5月25日，全球信息基础架构解决方案的领导者EMC和隐私、数据保护及信息安全研究的领导者Ponemon Institute公布了一项市场调查结果，该市调项目研究了在应对隐私和风险挑战方面，全球企业面临的最紧迫问题。参与调查的人代表全球金融服务、科技、卫生保健和制药行业的企业，他们认为，要应多这些挑战面临的最大障碍是，企业缺乏明确定义的治理、风险和法规遵从（eGRC）战略，同时缺乏有关eGRC的协作。

缺乏共同的eGRC战略

逾6000名eGRC从业人员参与了Ponemon Institute的市场调查，结果表明，eGRC一直是最高管理层最重视的工作，但是只有20%的企业有明确定义的、涵盖整个企业的eGRC战略，33%的企业承认，根本没有制定eGRC战略。

EMC顾问咨询部首席运营官Tom Roloff表示："要采用一种涵盖整个企业的治理、抗风险和法规遵从方法来管理信息，明确信息对IT、法律、人力资源等企业所有部门的影响，这已经不再是一种选择，而是必须采取的、迫在眉睫的战略行动。只有整合和集中管理方方面面的信息源，并采取必要的策略，企业才能实施整合的、集中的风险及法规遵从战略，满足公司董事会和监管机构日益严格的要求。"

缺乏协作

此次市场调查还显示，尽管eGRC责任正在从IT部门快速分散到运营、财务和法律部门，但是相比之下，这些关键部门之间的协作却滞后了。仅有28%参与调查的人表示，他们所在企业在eGRC牵涉到的部门之间有频繁协作，而12%的人承认，他们所在公司的eGRC职能部门仍然是各自为政的。

eGRC活动达到了怎样的分散程度？Ponemon Institute的调查报告显示，尽管治理活动仍然主要集中于IT部门，但是风险管理活动通常由相关部门控制。类似地，法规遵从活动一般由企业的法规遵从职能部门负责，而隐私和数据保护管理则主要归于法律部门。至于这些基本的eGRC活动的相对重要性，32%认为风险管理排在第一位，接下来是法规遵从（27%）、治理（22%）、隐私和数据保护（20%）。

Ponemon Institute创始人、董事会主席Larry Ponemon表示："各自为政是有效实施eGRC项目的大敌。各个职能部门围绕各项策略、业务流程和多种法规处理有关信息和业务流程。不幸的是，他们互无沟通，这导致大量浪费和不一致的行动。没有职能部门之间的协作，企业就会处于风险之中。"

隐私成为eGRC协作的触发点

不管来自哪个行业，所有参与调查的企业都表示，需要按地域管理隐私法规的遵从工作，并遵守国家或地方法律，因此企业需要采取一种整合式方法来支持IT、法律、运营和财务部门。参与调查的人表示，两个最大的隐私挑战是：1）确保与第三方共享的数据仍然安全；2）符合所有适用的法规要求。

Ponemon表示："隐私和数据保护是尤其迫切的问题。今天，这些不可或缺的隐私管理责任一般落在法律和IT部门头上。尽管法律部门在隐私保护方面所起作用占主导地位，但IT部门仍然有责任实施控制，以满足隐私保护法规的要求。因此人们能明白，为什么IT部门和法律部门需要有共同的看法，必须前所未有地紧密协作，才能降低企业风险。"

企业内的协作

US Bank首席隐私官兼供应商风险管理总监Dan Burks表示："这项市场调查突出显示，协作既是关键需求，也是复杂企业环境中日益凸显的关注点。让职能部门就eGRC充分交流与协作，有助于确保eGRC项目取得成功。培养每个业务部的风险'大使'，有助于实现企业内的协作。"

EMC信息治理解决方案部总经理Jeff Bettencourt表示："对于受到严格监管和容易发生讼争的行业来说，策略管理、紧急响应和法规遵从监控是至关重要的。不过这类行业以外的企业往往忽视日常的业务风险，如电子邮件通信、员工提起诉讼等风险。企业如果能真正理解职能部门相互依赖的重要性，并在策略、流程和技术之间取得一致，就能更全面地了解情况并提高控制能力，进而更有效地控制整个企业的风险。这种能力有可能成为关键的竞争优势。"

展望未来，近90%参与调查的人认为，要实现eGRC目标，技术是不可或缺，或者非常重要的。为方便eGRC相关活动而最有可能采用的应用包括：风险评估（81%）、策略管理（75%）、控制评估（73%）、意外响应与管理（68%）、法规遵从监控（63%）。