互联世界中的综合风险管理

过去几年已经重塑了供应链, 顾客互动和员工的工作方式. 我们已经超越了单纯的数字世界，进入了一个一体化的生态系统, 澳门赌场官方下载现在是一个相互联系的技术网络, 流程, 员工及服务.

这种转变也重塑了(并增加了)组织每天面临的风险的复杂性和水平. 在这个一体化的世界里, 一个澳门赌场官方下载仅仅在自己的范围内严格管理风险已经不够了. 真正减轻和管理风险, 组织必须超越传统的业务流程，将整个生态系统视为一个整体——整个供应链. 要做到这一点, 风险管理过程必须改变和适应，以满足新的风险和法规遵从要求.

风险管理的现状

世界目前正处于第四次工业革命(4IR)之中。, 在此期间，技术正在跨越物理, 数字和生物领域. 在这个相互联系的世界里, 风险不再局限于传统的业务结构, 人员和流程. 它是澳门赌场官方下载墙外的风险——供应链内的风险, 有时, 第三方和第四方服务提供商——这需要引起注意.

在这个相互联系的世界里, 风险不再局限于传统的业务结构, 人员和流程.

虽然有很多这样的例子，但2021年超级飞船的停飞¹ 在苏伊士运河中提供了洞察业务/流程集成如何在被忽视的情况下对澳门赌场官方下载产生巨大影响. 仅仅6天, “永不停运”号在国际上产生了影响，由于该船被困，每天冻结的贸易额高达100亿美元.² 这场灾难起因于一艘船堵塞了运河, 这在运河的历史上曾经发生过5次.³ Ever Given的情况是第三方或第四方风险如何产生巨大影响的一个例子, 因为现代澳门赌场官方下载经常利用多方来提供产品和服务.

技术正在改变风险管理

新的数字世界也带来了一个新王者的诞生:云. 它使人们保持联系，支持转换和敏捷工作，并提高生产力. 然而, 在云中或使用由第三方提供商托管的服务并不能保证环境是安全的. 许多澳门赌场官方下载仍然有“不是我的组织，不是我的问题”的心态. 这种态度是危险的，为风险创造了完美的温床, 因为许多潜在的外部风险因素没有得到解决，直到为时已晚. 对于没有持续验证和监控其安全级别的组织来说，云计算可能是一场酝酿中的风暴, 在确定潜在风险源时减轻风险.

在云中或使用由第三方提供商托管的服务并不能保证环境是安全的.

技术塑造了客户体验、交货速度和提供的服务. 这种混合网络依赖于第三方和云托管服务来生存. 然而, 如果组织被问及这些服务产生的风险(以及他们采取了哪些措施来减轻这种风险), 大多数人都无法给出答案.

88%的澳门赌场官方下载认为网络安全是一种商业风险，⁴ 使用第三方服务进行攻击的网络罪犯有所增加.⁵ 这可能是简单的勒索软件攻击，也可能是严重的病人心脏起搏器被黑. 对云以及第三方和第四方云托管服务的依赖要求组织和风险管理专业人员在更广泛的范围内考虑风险.

综合风险管理过时了吗?

随着风险环境的变化并扩展到传统澳门赌场官方下载之外, 它提出了一个重要的问题:集成风险管理(IRM)实践过时了吗?

虽然IRM使风险专业人员能够打破部门孤岛，并将组织视为一个整体, 风险业务(以及如何进行业务)已经发展. 有了更多的技术, 卖主和供应商, 有必要进一步采取风险管理控制措施. 他们不能再保持一定的距离了.

要做到这一点, 风险专业人员需要进入他们可以与外部利益相关者一起工作的环境，以管理和减轻风险. 看看整个供应链, 很明显，有必要将风险管理方法提升到一个新的水平，并采用一种变革性的风险管理方法.

变革性风险方法侧重于识别, 管理和降低整个生态系统的风险. 通过将风险管理集成到整个生态系统中，并将其嵌入到流程中, 风险专业人员能够管理整个供应链的风险. 然而, 在不影响数字世界所需的生产力和敏捷性的情况下有效地做到这一点并不容易. 对于医疗保健等行业尤其如此, 在这种情况下，护理质量严重依赖于医疗保健供应商, 供应商和技术.

嵌入变革性风险思维

虽然数字技术的进步使医疗保健部门能够提高其护理水平, 对技术和第三方、第四方提供商的依赖带来了新的风险，这种风险超出了对财务和声誉的影响. 在这个行业中，第三方和第四方风险可能会影响患者的安全.

以便更好地识别和管理这种风险, 医疗保健提供商Advocate Aurora Health采用了一种变革性的风险管理方法. 使用这种方法, 网络安全治理, 风险和遵从性(GRC)团队引入了一个新的风险管理过程，该过程结合了整个实施过程中的利益相关者，并集成了组织所有级别的变革性风险管理实践.

安全解决方案开发生命周期(SSDLC)过程使组织能够确保风险, 合规性和安全性从概念到实现都要进行评估. 这种风险视角也适用于任何第三方和第四方供应商和供应商, 确保在解决方案评估阶段进行适当的尽职调查.

使用SSDLC, 组织能够在风险和安全问题成为严重问题之前识别并处理它们. SSDLC还支持将法规和行业遵从性需求纳入澳门赌场官方下载采购和IT流程的每个步骤中.

Aurora团队更进一步，将这种方法应用到其他风险中, 安全性和遵从性框架, 包括监测活动. 结果? 持续评估风险, 持续进行审计和重新评估, 使Aurora能够降低和减轻整个供应链的风险. 它还能够更好地审查第三方和第四方解决方案提供商，并执行安全和风险协议以保持合规性.

通过采用这种变革性风险管理方法, Aurora团队已经能够打破内部和外部的孤岛，更好地管理整体风险. 反过来, 该组织已经为其风险管理过程创建了更敏捷的方法，并为更安全(和兼容)的生态系统做出了贡献.

利益相关者:解决风险难题的关键

创建一个健壮的风险和治理框架, 风险专业人员必须在业务流程的所有阶段和超出自己组织的范围内与利益相关者进行接触.

正如奥罗拉所展示的那样, 有必要实现治理, 在基础和实施层面采取风险和合规(GRC)步骤，以维持真正主动的风险管理方法. 关键是:利益相关者的参与.

通过与整个生态系统的利益相关者合作，风险专业人员可以实现以下几个好处:

• 增强的治理流程
• 更精细的风险管理方法
• 彻底识别和合并遵从性和监管义务
• 持续改进流程

这些成就有助于形成风险过程、评估标准和风险管理计划. 反过来, 风险专家被激励着与利益相关者(内部和外部)一起朝着一个共同的目标工作:减少和减轻生态系统中的风险.

虽然许多澳门赌场官方下载，如极光健康倡导者，正在采用更具变革性的风险管理方法, 风险管理从业人员被抛在了后面. 是时候打破我们自己的风险管理壁垒，开始审视整个风险过程了. 否则，我们就有可能陷入自己的风险管理渠道——没有出路.

尾注

¹ 英国广播公司(BBC)。”苏伊士运河:救援工作仍在继续，船只陷入“交通堵塞”， 2021年3月27日
² 同前.
³ Dzhanova Y.; “苏伊士运河有一段有争议的历史，自开通以来曾多次被封锁和关闭,” 商业内幕2021年3月28日
⁴ 奥德利,.; “30+数据泄露统计和事实，《澳门赌场官方下载》，2023年1月4日
⁵ 同前.

Jannie Wentzel, CISA, CRISC, CA(SA)

是风险转化的思想领袖吗, 特别是集成风险管理过程和技术. 他就风险和合规流程的发展向客户提供建议, 以及通过技术来减少复杂性和最小化遵从性成本的实现. 他经常在区域和国家会议和活动上发表演讲.

Elissa McKinley, CRISC, CDPSE

网络安全领导者是否专注于GRC, 框架和流程构建, 确保解决方案生命周期开发的安全性, 现场安全及电子发现/事故调查. 她的职业生涯始于背景筛选行业，并最终过渡到医疗保健行业. McKinley在网络安全领域有超过8年的经验，其中5年是在医疗保健领域. 她目前担任ISACA^® 密尔沃基(美国威斯康辛州)分会副主席兼SheLeads主任. 她目前受雇于美国最大的非营利卫生系统之一，是网络安全GRC团队的主管. 麦金利可以在领英上联系到 http://www.linkedin.com/in/elissa-mckinley-233ab749/.