نبذة عن ملفات تعريف الارتباط بهذا الموقع يتطلب موقعنا بعض ملفات تعريف الارتباط للعمل بشكلٍ صحيح (مطلوب). كما أنه قد تُستخدم غيرها من ملفات تعريف الارتباط بموافقتك، وذلك لتحليل استخدام الموقع وتحسين تجربة المستخدم وللإعلانات. للمزيد من المعلومات، يرجى مراجعةالخاصة بك. من خلال زيارة موقعنا على الويب، فإنك توافق علي معالجتنا للمعلومات كما هو موضح في بيان الخصوصية ل IBM. لتوفير تصفح سلس، ستتم مشاركة تفضيلات ملفات تعريف الارتباط خاصتك عبر نطاقات شبكة IBM المدرجة أدناه.
الصفحة الرئيسية
الموضوعات
الحوكمة والمخاطر والامتثال (GRC)
ما المقصود بمفهوم GRC (الحوكمة والمخاطر والامتثال)؟
الحوكمة والمخاطر والامتثال (GRC) هي استراتيجية تنظيمية تهدف إلى إدارة الحوكمة والمخاطر مع الحفاظ على الامتثال للوائح التنظيمية والصناعية والحكومية.
يمكن أن تشير الحوكمة والمخاطر والامتثال (GRC) أيضا إلى مجموعة متكاملة من إمكانات البرامج لتنفيذ وإدارة مؤسسة باستخدام نهج GRC.
تعمل مجموعة ممارسات وعمليات نموذج GRC (الحوكمة وإدارة المخاطر والامتثال) على توفير نهج منظَّم لمواءمة تقنية المعلومات مع أهداف العمل. تم اقتراح اسم "GRC" لأول مرة من قِبل مجموعة OCEG (مجموعة الامتثال والأخلاقيات ذات المعايير المفتوحة) في عام 2007. حيث يساعد نموذج GRC الشركات على إدارة مخاطر تقنية المعلومات والأمن بشكل فعال، وخفض التكاليف، وتقليل حالات عدم اليقين وتلبية متطلبات الامتثال. كما يساعد على تحسين عملية صنع القرار ورفع الأداء من خلال رؤية متكاملة لمدى نجاح المؤسسة في إدارة مخاطرها. تنتشر أعمال المؤسسات، حتى المؤسسات الصغيرة ومتوسطة الحجم، في أنحاء متفرقة من العالم، وبالتالي ستكون إدارة المخاطر والحاجة إلى الامتثال للوائح الحكومية شيئًا عالمي النطاق، مما يتطلب اهتمامًا وثيقًا بالحوكمة وإدارة المخاطر والامتثال.
تعرّف على سبب تكريم شركة IBM في تقرير Gartner® Market Guide لأدوات الحوكمة والمخاطر والالتزام لقادة الضمان الصادر في أغسطس 2023.
في مستواها الأساسي ، حوكمة الشركات هي مجموعة من القواعد والسياسات والعمليات التي تضمن توافق أنشطة الشركة لدعم أهداف العمل. وهي تشمل الأخلاقيات وإدارة الموارد والمساءلة وضوابط الإدارة.
كما تضمن الحوكمة أيضًا قدرة الإدارة العليا على توجيه ما يحدث على جميع مستويات الشركة والتأثير فيه وأن وحدات الأعمال تتماشى مع احتياجات العملاء والأهداف العامة للشركة.
تساعد الحوكمة الفعالة على إيجاد بيئة يشعر فيها الموظفون بالتمكين، ويجري فيها التحكم في السلوكيات والموارد وتنسيقها بشكل جيد. ويتمثل أحد أهداف الحوكمة في تحقيق التوازن بين مصالح العديد من الأطراف المعنية في الشركات، بما في ذلك الإدارة العليا والموظفون والموردون والمستثمرون.
وللحفاظ على هذا التوازن، يمكن للحوكمة أن تساعد، على سبيل المثال، في ضمان وجود عقود بين الأطراف المعنيين الداخليين والخارجيين في الشركة من أجل التوزيع العادل للمسؤوليات والحقوق والمكافآت. ويشمل ذلك أيضًا إجراءات للتوفيق بين المصالح المتضاربة بين الأطراف المعنية والعمليات التي تضمن أن يعمل الإشراف والرقابة وتدفق البيانات كنظام من الضوابط والتوازنات.
توفر الحوكمة إمكانية التحكم في المرافق والبنية التحتية، مثل مراكز البيانات، بالإضافة إلى الإشراف على التطبيقات على مستوى المحفظة.
وقبل كل شيء، يتم تنفيذ الحوكمة لإتاحة المساءلة عن السلوك والنتائج. يمكن إدارة السلوك من خلال تطبيق الممارسات التجارية الأخلاقية وقواعد المواطنة المؤسسية. تحدد الحوكمة الرشيدة الوظائف على أساس مجالات العمل (LOB) وتقيّم الموظفين على أساس النتائج المحققة بدلاً من المسؤوليات.
إدارة المخاطر هي عملية تحديد وتقييم ومراقبة المخاطر المالية والقانونية والاستراتيجية والأمنية التي تتعرض لها المؤسسة والسيطرة عليها. لتقليل المخاطر، تحتاج المؤسسة إلى تطبيق الموارد لتقليل ومراقبة والتحكم في تأثير الأحداث السلبية مع تعظيم الأحداث الإيجابية.
ومن منظور أوسع، تُعدّ إدارة المخاطر نظامًا يضم الأشخاص والعمليات والتقنيات التي تمكِّن المؤسسة من تحديد الأهداف بما يتواءم مع القيم والمخاطر.
يتمثل الهدف من مبادرات إدارة مخاطر المؤسسة في تحقيق أهداف الشركة مع تقليل المخاطر إلى الحد الأدنى وتأمين القيمة. ويتمثل جزء من هذه المهمة في تحديد أولويات توقعات الأطراف المعنية وتقديم معلومات موثوقة لهذه الأطراف المعنية.
ينطبق برنامج إدارة المخاطر أيضًا على تحديد تهديدات ومخاطر الأمن الإلكتروني وأمن المعلومات مثل الثغرات الأمنية في البرامج والممارسات غير الصحيحة عند استخدام كلمات مرور الموظفين، وتنفيذ الخطط للحد من مخاطر تقنية المعلومات.
من المفترض أن يقوم البرنامج بتقييم أداء النظام وفعاليته، وتقييم التكنولوجيا القديمة، وتحديد الإخفاقات التشغيلية والتكنولوجية التي يمكن أن تؤثر في الأعمال الأساسية، ومراقبة مخاطر البنية التحتية وحالات الفشل المحتملة للشبكات وموارد الحوسبة.
يجب أن يفي برنامج تقييم المخاطر بالأهداف القانونية والتعاقدية والداخلية والاجتماعية والأخلاقية، علاوة على مراقبة اللوائح الجديدة المتعلقة بالتقنيات. ومن خلال تركيز الاهتمام على المخاطر وتخصيص الموارد اللازمة للتحكم في المخاطر وتخفيفها، تحمي الشركة نفسها من حالات عدم اليقين، وتنجح في تقليل التكاليف، وتزيد من أوقات استمرارية الأعمال.
يتضمن الامتثال الالتزام بالقواعد والسياسات والمعايير والقوانين التي تحددها الصناعات و/أو الوكالات الحكومية. قد يكلف عدم الامتثال المؤسسة من حيث ضعف الأداء والأخطاء المكلفة والغرامات والعقوبات والدعاوى القضائية.
يغطي الامتثال التنظيمي القوانين واللوائح الخارجية ومعايير كل صناعة تنطبق على الشركة. ويتعلق الامتثال المؤسسي أو الداخلي بالقواعد واللوائح وعناصر التحكم الداخلية التي تضعها كل شركة. ومن المهم أيضًا أن يكون برنامج إدارة الامتثال الداخلي محدثًا تمامًا بآخر متطلبات الامتثال الخارجية. ويجب أن يعتمد برنامج الامتثال المتكامل على عملية وضع سياسات الامتثال وتحديثها وتوزيعها وتتبعها وتدريب الموظفين عليها.
لوضع برنامج امتثال فعال، تحتاج المؤسسات إلى فهم المجالات التي تشكل أكبر خطر ثم تعمل على تركيز مواردها على تلك المجالات. بعد ذلك، يجب تطوير السياسات وتنفيذها وتوعية الموظفين بها ليتمكنوا من معالجة مجالات الخطر هذه. ويجب تطوير الإرشادات لكي يسهُل على الموظفين والبائعين اتباع سياسات الامتثال.
يساعد إطار عمل الحوكمة وإدارة المخاطر والامتثال (GRC) المؤسسات على وضع سياسات وممارسات لتقليل مخاطر الامتثال. تركز حلول GRC لتكنولوجيا المعلومات والأمن على الاستفادة من المعلومات في الوقت المناسب حول البيانات والبنى التحتية والتطبيقات الافتراضية والمتنقلة والسحابية.
بالإضافة إلى ذلك، يجب أن يعمل نظام GRC (الحوكمة وإدارة المخاطر والامتثال) في المؤسسة على تحسين الكفاءات وتقليل المخاطر وزيادة الأداء والعائد على الاستثمار. ستقوم الشركات بتطوير واستخدام إطار عمل GRC (الحوكمة وإدارة المخاطر والامتثال) للإدارة العليا وللمؤسسة ولتشغيل مجالات تقنية المعلومات لضمان دعمها وتمكينها للأهداف الاستراتيجية للمؤسسة. يتضمن ذلك ربط المعلومات في سياق العمليات التجارية والسياسات وعناصر التحكم، بالإضافة إلى الأنشطة التي تقوم بها فِرق تقنية المعلومات والتمويل وفِرق الموارد البشرية والمديرون التنفيذيون في الإدارة العليا.
الفاعلية
يمكن أن تكون أنشطة تقييم المخاطر وإدارة الامتثال وامتثال البيانات والتدقيق الداخلي وغيرها من أنشطة الحوكمة والمخاطر والامتثال (GRC) مستهلكة للوقت وتتطلب الكثير من الموارد عند تنفيذها بدون منصة برمجيات متخصصة في الحوكمة والمخاطر والامتثال (GRC). يمكن أن تساعد إمكانات الحوكمة والمخاطر والامتثال (GRC) الشركات على كسر الانعزال في العمليات والبيانات، وإزالة ازدواجية الجهود، والامتثال للوائح، ومراقبة الخسائر والمخاطر الإلكترونية وقياسها والتنبؤ بها.
كما يمكن أن تساعد الشركات أيضًا في إدارة دورة حياة النماذج المالية والمدعومة بالذكاء الاصطناعي وتحسين الامتثال وضوابط تكنولوجيا المعلومات. يمكن للشركات أيضًا قياس تأثير متطلبات الأعمال والمتطلبات التنظيمية على إطار عمل السياسة ودعم القياس المؤتمت وضوابط تكنولوجيا المعلومات من خلال التكامل مع منتجات تابعة لجهات خارجية.
تقييم المخاطر والحد منها
تمكّن الحوكمة وإدارة المخاطر والامتثال (GRC) الشركات من إنشاء وأتمتة وإدارة تقييمات المخاطر والحد من المخاطر. كما أن البيانات المستمدة من منصة الحوكمة وإدارة المخاطر والالتزام تُمكِّن الشركات من اتخاذ قرارات أكثر استنارة ومن ثم تخصيص الموارد للتخفيف من المخاطر. إدارة مخاطر المؤسسة (ERM) هي مجموعة فرعية من GRC تركز على عوامل الخطر.
تُعدّ عمليات التدقيق التي يتم إجراؤها على اللوائح مثل قانون ساربينز أوكسلي الأمريكي هي المعالم التي يعمل بها نظام GRC (الحوكمة وإدارة المخاطر والامتثال)، حيث تحتاج أقسام المؤسسة إلى الحفاظ على تفاصيل بياناتها الحساسة وحمايتها؛ كتفاصيل الفواتير وسجلات الموارد البشرية والتقارير المالية؛ بحيث تكون المؤسسة جاهزة لمثل عمليات التدقيق هذه.
يمكن أن يكون برنامج الحوكمة والمخاطر والامتثال (GRC) الفعال مفيدًا بشكل خاص للشركات التي شهدت بالفعل حدثًا أو فشلًا كبيرًا في الامتثال أو المخاطر. بالإضافة إلى ذلك، يمكن للشركات التي لا تثق - في امتثالها أو الإبلاغ عن المخاطر المالية الداخلية والخارجية ورؤيتها، أو إدارة مخاطر الجهات الخارجية - أن تتطلع إلى استخدام نموذج GRC للمساعدة في إصلاح ومراقبة مجموعات التحكم الزائدة عن الحاجة وأطر العمل غير الفعالة لتجنب مخاوف المخاطر المتكررة.
الدعم الاستراتيجي لكلٍ من الأداء وعائد الاستثمار
في بعض الأحيان، قد تجد الشركات صعوبة في تخصيص الموارد ومعالجة تضارب المصالح وقياس النجاح. يمكن أن يكون ذلك نتيجة مواجهة التكاليف المتزايدة لمعالجة المخاطر والمتطلبات، مع مواجهة التحدي المتمثل في إدارة النمو الهائل للعلاقات مع الجهات الخارجية والمخاطر.
ومع ذلك، يمكن للشركات وضع أهداف واضحة ومراقبتها باستخدام المقاييس التي يتم إنشاؤها من منصة الحوكمة والمخاطر والامتثال (GRC). سيساعد هذا في زيادة أدائهم وتحسين عائد الاستثمار لديهم.
كيفية تنفيذ استراتيجية الحوكمة والمخاطر والامتثال (GRC)
تتطلب استراتيجية GRC (الحوكمة وإدارة المخاطر والامتثال) الناجحة التنسيق السلس بين الأشخاص والتخطيط والعمليات والتقنيات. ويجب أن تظل الجهود مستمرة دون توقف: حيث تتغير المخاطر واللوائح باستمرار وتحتاج المؤسسات إلى مواكبة مثل هذه المتغيرات كي تظل في الصدارة والمقدمة. تتضمن الخطوات نحو النجاح ما يلي:
وضع أهداف واضحة وبناء إطار عمل للحوكمة وإدارة المخاطر والتحديات: لا شك أن تحديد أكبر المخاطر والتحديات التي تواجهك هو ما سيحدد أنسب بنية لإطار عمل يلائمك. هل تحتاج المؤسسة إلى التركيز على اللوائح الحكومية أو خصوصية البيانات والأمن؟ إطار العمل الكامل هو الذي يساعد المؤسسة على اتخاذ قرارات مستنيرة للأعمال وتقليل المخاطر والتأكد من تحقيق الاستدامة.
تحديد أوجه القصور التشغيلية الحالية: على المؤسسات أن تلقي نظرة فاحصة على جميع المشكلات التي لم تتم معالجتها بالكامل، مثل الأطراف الثالثة التي لديها مشكلات أمنية خطيرة أو فشل المؤسسة في مسايرة التقارير التنظيمية المطلوبة. وتظل دومًا هناك مجالات للتحسين في عمليات الأعمال والتقنيات، أما التخلف عن الركب فسوف يزيد من احتمالات المخاطر.
الحصول على التأييد في القمة: إذا لم تكن الإدارة العليا على المستوى المطلوب من الالتزام والجدية، فسيكون من الصعب بناء الدوافع المحركة للتنفيذ. يحتاج المديرون إلى قيادة ثقافة مؤسسية واعية بالمخاطر. والهدف هو توجيه المؤسسة لمنع مشكلات الحوكمة وإدارة المخاطر والامتثال من أصلها، بدلاً من الاضطرار إلى معالجتها بعد ظهورها واحدة تلو الأخرى.
الحصول على التأييد في جميع أنحاء المؤسسة: يجب أن تتفهم المؤسسة بأكملها أهمية الحوكمة والمخاطر والالتزام. إذا شعر الموظفون أن الحوكمة وإدارة المخاطر والالتزام هي مهمة شخص آخر، يمكن أن تنزلق المشاكل، بغض النظر عن مدى شمولية إطار العمل.
تحديد أدوار ومسؤوليات واضحة: يحتاج الجميع إلى معرفة مكانهم داخل منظومة التعاون متعدد الوظائف. يتولى مجلس الإدارة والرئيس التنفيذي مسؤولية الإشراف على إطار عمل الحوكمة والمخاطر والامتثال (GRC) والموافقة عليه. يوفر المدير التنفيذي للمخاطر (CRO) الإشراف الإداري اليومي. يلعب كل من المدير التنفيذي للامتثال (CCO) والمدير التنفيذي للمعلومات (CIO) والمدير التنفيذي للتكنولوجيا (CTO) والمدير المالي (CFO) دورًا ، إلى جانب مديري الإدارات القانونية والتدقيق الداخلي والمالية وتكنولوجيا المعلومات و مجال العمل (LOB). يجب أن تكون المهام والمسؤوليات الفردية واضحة، ويجب أن يعرف الجميع كيفية الإبلاغ عن مخاوفهم بشأن الحوكمة والمخاطر والامتثال (GRC).
استخدام برامج الحوكمة والمخاطر والامتثال (GRC): قد يؤدي استخدام معالجات النصوص وجداول البيانات وحدها إلى اتهام المؤسسة بانها تستعمل شيئًا غير صالح للاستعمال وهو التتبع اليدوي. وهي عملية قديمة لا يمكنها طرح الأسئلة الصحيحة أو تسجيل النتائج بطريقة تتحول إلى تقارير واضحة وكاملة كما ينبغي للامتثال القانوني وظهور رؤى أعمق.
اختبار إطار عمل الحوكمة والمخاطر والامتثال (GRC): ابدأ أولاً بقسم أو قسمين من أقسام شركتك للتأكد من أن عملية الحوكمة والمخاطر والامتثال (GRC) والواجهة واضحة وأن جميع المشكلات المهمة تتم معالجتها. إن تصحيح أي مشكلات عندما تكون أصغر حجمًا سيوفر الوقت والإحراج المحتمل، بدلاً من طرح برنامج على مستوى المنظمة في اليوم الأول.
أدوات برامج GRC (الحوكمة وإدارة المخاطر والامتثال)
يجب أن تستفيد إدارة العمليات بشكل كامل من برامج GRC (الحوكمة وإدارة المخاطر والامتثال) المتخصصة لضمان تلبية الشركة لمعايير الامتثال والمخاطر. حيث تساعد هذه الأدوات أيضًا في تحديد وتخفيف المخاطر المرتبطة باستخدام تقنية المعلومات وملكيتها وتشغيلها ومشاركتها وتأثيرها واعتمادها داخل الشركة. يجب أن تشتمل أدوات GRC (الحوكمة وإدارة المخاطر والامتثال) على إدارة المخاطر التشغيلية، وسياسة الشركة والامتثال لها، وحوكمة تقنية المعلومات، والتدقيق الداخلي. تتضمن معظم برامج GRC (الحوكمة وإدارة المخاطر والامتثال) الميزات التالية:
إدارة المحتوى والمستندات التي تساعد الشركات على إنشاء المحتوى الرقمي وتتبعه وتخزينه بشكل أكثر دقة.
إدارة البيانات والتحليلات التي تدور حول المخاطر والتي تساعد على قياس المخاطر وقياسها والتنبؤ بها؛ وتحديد الخطوات التالية لتقليلها.
إدارة سير العمل لمساعدة الشركات على إنشاء وتنفيذ ومراقبة مهام سير عمل متعلقة بالحوكمة وإدارة المخاطر والامتثال (GRC).
إدارة التدقيق لتنظيم المعلومات وتبسيط العمليات لإجراء عمليات التدقيق الداخلي.
توفير وسائل مساعدة لوحدات الأعمال لتيسير تنسيق أنشطتها على منصة واحدة.
اتصالات لمواكبة التغييرات التنظيمية.
قوالب جاهزة مسبقًا تتيح إمكانية الإعداد السريع والتخصيص.
لوحة معلومات توفر واجهة مركزية حيث يمكن مراقبة مؤشرات الأداء الرئيسية ذات الصلة بالعمليات وأهداف الأعمال في الوقت الفعلي.
بالإضافة إلى ذلك، فإن منح الوحدات المسؤولة إمكانية الوصول إلى برمجيات إدارة المعلومات الأمنية والأحداث (SIEM) يمكن أن يساعدهم في اكتشاف التهديدات الأمنية. قد يساعد برنامج التدقيق أيضاً في قياس نجاح جهود الحوكمة والمخاطر والامتثال (GRC)، ويشير إلى التحسينات الممكنة.
تعمل أدوات GRC الفعالة على إنشاء السياسات والضوابط وتوزيعها وتعيينها وفقًا للوائح ومتطلبات الامتثال. فهي تساعد على تقييم ما إذا كان قد تم نشر الضوابط وأنها تعمل بشكل صحيح، فضلاً عن تحسن تقييم المخاطر والتخفيف من حدتها.
حلول ذات صلة
تعمل خدمات الحوكمة النشطة IBM Active Governance Services (AGS) على دمج نقاط الأمن الإلكتروني ونقاط البيانات المؤسسية في حل مركزي واحد يتمثل في بيئات سحابية أو بيئات محلية أو بيئات هجينة.
تُعدّ IBM OpenPages منصة للحوكمة وإدارة المخاطر والامتثال، قائمة على الذكاء الاصطناعي وتم تصميمها لمساعدة المؤسسات على إدارة المخاطر وتحديات الامتثال التنظيمي.
يوفر IBM watsonx Assistant للعملاء إجابات سريعة ومتسقة ودقيقة عبر أي تطبيق أو جهاز أو قناة.
IBM Cloud Pak for Data هي منصة بيانات مفتوحة وقابلة للتوسيع توفر نسيج بيانات لتوفير جميع البيانات للذكاء الاصطناعي والتحليلات في أي بيئة سحابية.
الموارد
مع اعتماد المؤسسات للذكاء الاصطناعي وتوسيع نطاقه، تكافح كل مؤسسة في سبيل إدارة ومراقبة أنشطة الذكاء الاصطناعي ضمن أطر الحوكمة وإدارة المخاطر والامتثال (GRC). يمكنك تبسيط الحوكمة والمخاطر والامتثال باستخدام IBM OpenPages، وهو حل موحَّد قائم على الذكاء الاصطناعي.
يعمل حل إدارة الحوكمة والمخاطر والامتثال (GRC) المدعوم بالذكاء الاصطناعي على التشغيل المركزي لوظائف إدارة المخاطر والامتثال التنظيمي المنعزلة.
تستكشف شركة IBM كيف تعمل حلول الحوكمة والمخاطر والامتثال من الجيل التالي في الأسواق المالية العالمية سريعة التغير على تمكين أعداد متزايدة من المؤسسات ومستخدمي الأعمال من اتخاذ قرارات مدركة للمخاطر وزيادة كفاءة العملية وفعاليتها.