让董事会支持GRC——尤其是在AI采用率增加的情况下

随着法规的增加和新技术的融合，治理、风险和合规（GRC）职能正在迅速成为企业今天的健康、财务和安全的重要组成部分。然而，GRC需要支持才能做好自己的工作，这需要从上到下的支持——但这并不是一直容易获得的。

董事会成员需要了解GRC今天的价值，特别是在AI采用率上升的背景下，这使得组织面临新的风险比以往任何时候都快。在其他话语中，你必须让董事会支持GRC。

增加的法规和新技术

今天的组织面临着各种法规，必须遵守这些法规。美国的一个重大发展是证券交易委员会（SEC）新的规则，要求公开交易的公司在四个工作日内披露网络安全事件，否则将面临罚款。

我们已经看到SEC的打击。例如，在2024年5月，洲际交易所（Intercontinental Exchange），NYSE的母公司，被罚款，因为未能在规定的时间内披露网络入侵。

我们还看到新的和正在出现的尝试来监管AI的使用。例如，在欧盟，AI法案于5月份颁布。去年年底，在美国，拜登政府发布了一项行政命令：安全、安全和值得信赖的AI开发和使用。该命令启动了国会研究服务所称的“政府范围内的努力，通过联邦机构领导、行业监管和与国际伙伴的参与，指导AI的负责任的开发和部署”。

当然，这些只是最新的大政府行动。一个组织的行业和位置决定了必须遵守的各种法规和要求——从GDPR、PCI和DORA到HIPAA和无数其他。

虽然AI法规仍然很新，但欧盟的规则可能会为其他国家提供框架。在美国，各个州已经开始制定新的立法。随着公司急于将AI纳入其信息技术体系，了解不仅现有的法规，还有那些在管道中的法规是非常重要的。

GRC的作用和赢得心和思想

GRC职能执行尽职调查，以帮助确保企业满足其受制约的各种法规和合规要求。从驱动政策和标准到监督风险登记以告知决策，GRC是合规要求的守门人。

合规性远远不是被视为令人兴奋和光彩夺目。企业领导人经常将其视为一种麻烦；他们认为它阻碍了业务，但今天的现实是它对业务至关重要。事实上，它甚至可以成为业务的赋能者。

但是，这需要GRC从上到下的支持——而这并不总是容易获得。尤其是在网络安全和AI法规方面，董事会并不总是对技术和安全有所了解。虽然意识正在增长，但2023年9月的一份报告发现，只有12%的S&P 500公司拥有具有相关网络安全资格的董事会成员。获取正确的信息是另一个持续的挑战。

让董事会关心

一个关键因素是支持CISO和他们的同事与董事会互动，以帮助弥合GRC职能和董事会之间的差距，帮助后者了解前者的重要性和价值。教育是关键。董事会需要了解其角色和预期，当发生需要披露的违规事件时，董事需要了解其职责。

公司在收集和报告合规指标方面变得更加先进，这是一个巨大的进步。但是，有很多信息需要优先考虑。信息需要以简单、相关和全面的方式呈现，而不至于让人感到不知所措。

董事会需要提出问题，以确保他们了解组织需要关注的风险和发生事件时对业务的实际影响。这归结为给他们提供他们需要的信息，以便以可访问的方式了解风险并具有整体视野。GRC负责人可以帮助提供风险量化。

五个最佳实践让董事会支持GRC

使用以下最佳实践来帮助董事会成员与GRC团队有效合作：

• 告知董事会成员使用的风险框架，以展示结构和可信度，例如NIST CSF 2.0或ISO27001。以有意义的方式传达相关的合规要求和其影响。
• 教育董事会成员了解组织的AI使用情况，包括它在哪里使用AI以及其对合规要求和监控的影响。
• 与外部专家合作，进行公司风险状况的独立评估并提供建议。
• 通过风险评估和持续监控支持准备，帮助完善响应能力。

GRC、安全和AI

成功的网络安全GRC职能为所有组织层提供一致的数据和指标，确保从运营人员到董事会的每个人都使用相同的信息。换句话说，GRC可以支持战略监督和运营管理，使用相同的信息。这种方法提供了透明度和适应新法规和威胁的能力。

GRC一直很重要，但现在AI已经进入了监管画面。它正在改变威胁格局、运营模式、产品和服务。董事会需要在网络安全和AI方面变得更加精通，特别是在公司使用AI的具体方面。使用上述最佳实践，GRC负责人有机会以对组织的安全和合规姿态具有持久积极影响的方式建立董事会对这些主题的知识。