Ako sa regulácie zvyšujú a nové technológie sa zbližujú, funkcia riadenia, rizika a dodržiavania predpisov (GRC) sa v súčasnosti rýchlo stáva dôležitejšou pre zdravie, financie a bezpečnosť podnikov. GRC však potrebuje podporu, aby mohla dobre vykonávať svoju prácu, a to si vyžaduje podporu zhora nadol – ktorú nebolo vždy ľahké získať.
Členovia predstavenstva musia dnes pochopiť hodnotu GRC, najmä v čase rastúceho prijímania AI, ktoré predstavuje organizáciu novým rizikám rýchlejšie ako kedykoľvek predtým. Inými slovami, musíte dostať dosku na palubu.
Zvyšujúce sa predpisy a nové technológie
Organizácie dnes čelia najrôznejším nariadeniam, ktoré musia dodržiavať. Hlavným vývojom v USA boli nové pravidlá Komisie pre cenné papiere a burzy (SEC), ktoré vyžadujú, aby verejne obchodované spoločnosti zverejnili kybernetickú bezpečnosť do štyroch pracovných dní, inak riskujú pokuty.
Už sme svedkami zásahu SEC. Napríklad v máji 2024 Intercontinental Exchange, materská spoločnosť NYSE, dostal pokutu za neodhalenie kybernetického prieniku v požadovanom časovom rámci.
Vidíme tiež nové a vznikajúce pokusy regulovať používanie AI. V EÚ je napr Zákon o AI bola prijatá v máji. Koncom minulého roka v USA vydala Bidenova administratíva výkonný príkaz: Bezpečný, bezpečný a dôveryhodný vývoj a používanie umelej inteligencie. Objednávka iniciuje to, čo Kongresová výskumná služba označované ako „úsilie celej vlády usmerňovať zodpovedný vývoj a nasadenie umelej inteligencie (AI) prostredníctvom vedenia federálnej agentúry, regulácie priemyslu a spolupráce s medzinárodnými partnermi.
A samozrejme, toto sú len posledné veľké vládne akcie. Odvetvie a umiestnenie organizácie určujú všetky druhy mandátov a nariadení, ktoré sa musia dodržiavať – od GDPR, PCI a DORA až po HIPAA a nespočetné množstvo ďalších.
Zatiaľ čo nariadenia o umelej inteligencii sú stále nové, pravidlá EÚ budú pravdepodobne slúžiť ako rámec pre iné krajiny. A v USA, jednotlivé štáty už začali s prípravou novej legislatívy. Keďže spoločnosti sa ponáhľajú s osvojením si AI do svojich informačných technológií, je dôležité porozumieť nielen existujúcim predpisom, ale aj tým, ktoré sa pripravujú.
Úloha GRC a získavanie sŕdc a myslí
Funkcia GRC vykonáva náležitú starostlivosť, aby pomohla zabezpečiť, aby podniky dodržiavali všetky rôzne nariadenia a mandáty na dodržiavanie predpisov, ktorým podliehajú. Od pravidiel riadenia a noriem až po dohľad nad registrom rizík na informovanie rozhodnutí, GRC je strážcom požiadaviek na dodržiavanie predpisov.
Dodržiavanie sa ani zďaleka nepovažuje za vzrušujúce a očarujúce. Korporátni lídri to často môžu vnímať ako obťažovanie; považujú to za prekážku podnikania, no realita je dnes taká, že je to pre podnikanie mimoriadne dôležité. V skutočnosti sa dokonca môže stať podnikateľom.
Na to, aby sa to stalo, však GRC potrebuje podporu na úrovni predstavenstva, aby mohla svoju prácu dobre vykonávať – a to sa dá ľahšie povedať, ako urobiť. Jednou z výziev, najmä pokiaľ ide o kybernetickú bezpečnosť a predpisy o AI, je, že nie všetky dosky sú dôvtipné, pokiaľ ide o technológiu a bezpečnosť. Zatiaľ čo povedomie rastie, správa zo septembra 2023 zistila, že práve 12 % spoločností z indexu S&P 500 mal riaditeľa predstavenstva s príslušnými kybernetickými povereniami. Získavanie správnych informácií zo správnych miest je ďalšou neustálou výzvou.
Dostať dosku starostlivosť
Jedným z kľúčových faktorov je podpora CISO a ich kolegov, ktorí interagujú s predstavenstvom, aby pomohli preklenúť priepasť medzi funkciou GRC a predstavenstvom, aby tým druhým pomohli pochopiť dôležitosť a hodnotu prvej. Vzdelanie je kľúčové. Správna rada musí pochopiť svoju úlohu a to, čo sa očakáva od riaditeľov, keď napríklad dôjde k porušeniu, ktoré si vyžaduje zverejnenie.
Spoločnosti sú čoraz vyspelejšie, pokiaľ ide o to, ako zhromažďujú a nahlasujú metriky dodržiavania predpisov, čo je skvelý krok vpred. Ale je tu veľa informácií, ktoré treba uprednostniť. Informácie musia byť prezentované spôsobom, ktorý je jednoduchý, relevantný a komplexný bez toho, aby bol ohromujúci.
Správna rada musí klásť otázky, aby sa ubezpečila, že rozumie rizikám, na ktoré sa organizácia musí zamerať, a skutočnému dopadu na podnikanie, ak dôjde k incidentu. Ide o to, aby sme im poskytli informácie, ktoré potrebujú na pochopenie rizika, prístupným spôsobom s holistickým pohľadom. Vedúci pracovníci GRC môžu pomôcť poskytnúť túto kvantifikáciu rizika.
Päť najlepších postupov, ako dostať dosku na palubu s GRC
Použite tieto osvedčené postupy, ktoré pomôžu členom predstavenstva čo najefektívnejšie spolupracovať s tímom GRC:
- Informujte členov predstavenstva o používanom rámci rizík na predvedenie štruktúry a dôveryhodnosti, ako sú NIST CSF 2.0 alebo ISO27001. Komunikujte príslušné požiadavky na dodržiavanie predpisov a ich dôsledky spôsobom, ktorý je zmysluplný pre podnikanie.
- Vzdelávajte členov predstavenstva o tom, ako organizácia používa AI, vrátane toho, ako a kde používa AI v rámci podnikania a o vplyvoch jej používania na požiadavky na dodržiavanie súladu a monitorovanie.
- Spojte sa s externými odborníkmi, aby vykonali nezávislé hodnotenia rizikového profilu spoločnosti a poskytli odporúčania.
- Podporujte pripravenosť na základe používaných štandardov prostredníctvom hodnotenia rizík a priebežného monitorovania, čo pomáha zlepšovať schopnosti reakcie.
GRC, bezpečnosť a AI
Úspešné kybernetické funkcie GRC poskytujú konzistentné údaje a metriky naprieč všetkými organizačnými vrstvami, čím zaisťujú, že každý od prevádzkového personálu až po predstavenstvo pracuje s rovnakými informáciami. Inými slovami, GRC môže podporovať strategický dohľad aj operačný manažment z rovnakých informácií. Tento prístup poskytuje transparentnosť a prispôsobivosť novým predpisom a hrozbám.
GRC bola vždy dôležitá, ale teraz do regulačného rámca vstúpila AI. Mení prostredie hrozieb, prevádzkový model, produkty a služby. Rady sa musia stať dôvtipnejšími, pokiaľ ide o kybernetickú bezpečnosť a AI, najmä o špecifiká toho, ako spoločnosť používa AI. Pomocou osvedčených postupov diskutovaných vyššie majú vedúci predstavitelia GRC príležitosť budovať znalosti predstavenstva o týchto témach spôsobmi, ktoré môžu mať trvalý pozitívny vplyv na bezpečnosť organizácie a jej dodržiavanie.