如何让董事会支持治理、风险和合规（GRC）-尤其是在AI采用率增加的情况下

随着法规的增加和新技术的出现，治理、风险和合规（GRC）职能正变得越来越重要，关系到企业的健康、财务和安全。然而，GRC需要支持来有效地履行其职责，这需要来自上层的支持——然而，这并不是一件容易的事情。

董事会需要了解GRC在当前的价值，特别是在AI采用率增加的情况下，这引入了新的风险。换句话说，你需要让董事会支持GRC。

增加的法规和新技术

今天，组织面临着各种法规，必须遵守。美国证券交易委员会（SEC）新规要求上市公司在四个工作日内披露网络安全事件，否则将面临罚款。

我们已经看到SEC开始采取行动。例如，2024年5月，洲际交易所（Intercontinental Exchange），NYSE的母公司，被罚款，因未能在规定时间内披露网络入侵事件。

我们还看到新的和正在出现的尝试来监管AI的使用。在欧盟，AI法案于五月颁布。在美国，拜登政府发布了一项行政命令：《安全、可靠和值得信赖的AI开发和使用》。该命令启动了一项政府范围内的努力，指导负责的AI开发和部署，通过联邦机构的领导、行业监管和与国际伙伴的合作。

当然，这些只是最新的政府行动。一个组织的行业和位置决定了各种必须遵守的法规——从GDPR、PCI和DORA到HIPAA等等。

虽然AI监管仍然很新，但欧盟的规则可能会成为其他国家的框架。在美国，各个州已经开始制定新的立法。随着公司争相采用AI技术，了解现有的法规和即将出台的法规至关重要。

GRC的作用和赢得心和心灵

GRC职能执行尽职调查，以确保企业满足各种法规和合规要求。从制定政策和标准到监督风险登记以告知决策，GRC是合规要求的守门人。

合规性远远不是令人兴奋和光彩的东西。企业领导者经常将其视为一种麻烦；他们认为它阻碍了业务，但现实是，它对业务至关重要。事实上，它甚至可以成为业务的助推器。

但是，这需要董事会层面的支持来有效地履行其职责——这并不容易。尤其是在网络安全和AI监管方面，董事会并不总是了解技术和安全。虽然意识正在增长，但2023年9月的一份报告发现，只有12%的S&P 500公司有董事具有相关的网络安全资格。获取正确的信息是另一项持续的挑战。

让董事会关心

一个关键因素是支持CISO和他们的同事与董事会互动，帮助弥合GRC职能和董事会之间的差距，帮助后者了解前者的重要性和价值。教育是关键。董事会需要了解其角色和预期，以及在发生违规事件时需要披露的内容。

公司正在变得更加先进，在收集和报告合规性指标方面，这是一个巨大的进步。然而，需要优先考虑大量信息。信息需要以简单、相关和全面的方式呈现，而不令人感到不知所措。

董事会需要提出问题，以确保他们了解组织需要关注的风险以及发生事件对业务的实际影响。这归结为为他们提供必要的信息，以便他们以易于理解的方式了解风险。GRC领导者可以提供这种风险量化。

五种最佳实践让董事会支持GRC

使用以下最佳实践来帮助董事会成员与GRC团队有效合作：

• 向董事会成员介绍使用的风险框架，以展示结构和可信度，例如NIST CSF 2.0或ISO27001。以对业务有意义的方式传达相关的合规性要求和其影响。
• 教育董事会成员关于组织使用AI，包括AI在业务中的使用方式和地点，以及其使用对合规性要求和监控的影响。
• 聘请外部专家进行公司风险状况的独立评估，并提供建议。
• 根据使用的标准支持准备工作，通过风险评估和持续监控，这有助于完善响应能力。

GRC、安全和AI

成功的网络安全GRC职能为整个组织提供一致的数据和指标，确保从运营人员到董事会的每个人都使用相同的信息。换句话说，GRC可以支持战略监督和运营管理，使用相同的信息。这种方法提供了透明度和适应新法规和威胁的灵活性。

GRC一直很重要，但现在AI已经进入了监管格局。它正在改变威胁格局、运营模式、产品和服务。董事会需要在网络安全和AI方面变得更加精明，特别是在公司使用AI的具体方面。使用上述最佳实践，GRC领导者有机会以有利于组织安全和合规姿态的方式建立董事会对这些主题的知识。