GRC周二:你不应该自动化什么…或者只有非常小心!

最近，一位顾客问了我一个让我大吃一惊的问题。该客户没有询问哪些手工流程可以自动化，而是想知道我不建议自动化哪些流程。

我决定花点时间来回答这个问题，因为我认为不应该轻易回答。

经过思考，我认为可以将这些过程分为两类:

• 首先是风险太大，不能自动化．如果发生了错误，损失就太大了;
• 第二，流程如果有彻底的测试，是否可以自动化原理及其应用。

我想和大家详细分享一下我的想法，希望能引起大家的共鸣。

我不建议自动化的手工流程

• 公开发布报告

包括风险部分的公开报告，例如公司的年度报告，当然是为股东和商业伙伴准备的，但竞争对手，最终是怀有恶意的人也可以访问这些报告。

自动披露风险登记册、缓解策略(及其有效性)和潜在事件可能会泄露超出预期的信息。让我们假设“网络安全缺陷”是你的风险之一，你真的想让网络犯罪分子知道你到底做了什么来缓解它，以及你还没有完全做到的事实吗?

• 直接根据场景进行风险评估

正如我在之前的文章中所讨论的(GRC星期二:风险情景分析的使用)我相信用情景来做决定。但这正是关键所在:场景需要用于决策，而不是用作自动评估风险的简单选项。人工审查是必不可少的，至少要确认所使用的假设仍然是正确的，并且在业务上下文中是一致的。

• 开始一个新的风险周期

风险管理是迭代的:一旦您识别、评估、减轻了风险，并且处于监控阶段，您就必须触发一个新的周期，以确保风险定义及其级别仍然反映其当前状态。

在我看来，在没有事先审查框架、适用政策甚至风险偏好和阈值的情况下，在公司层面启动新的风险周期，将带来太多可能破坏整个过程的威胁。

在开始一个新的周期之前，我会建议回顾过去的一个，看看有什么可以改进的，只有当所有的都仍然相关，并且没有新的活动被业务执行，触发一个新的识别和分析阶段。

可以自动化的手动过程，但要谨慎并先进行测试

• 触发审计

基于风险的审计是一种非常有效的方法。审计团队可以关注重要风险，从而积极参与公司资产的保护。我已经看到一些例子，通过利用热图、控制评级甚至调查结果，审计计划完全自动化。

我认为这种方法可以适用于一些非常具体的主题导向的审计，但不应该是泛化的和排他的，因为这可能意味着一些风险领域由于不同的原因没有反映在热图中——包括由于它可能是一个尚未完全识别的新兴风险，将不会被突出显示，甚至可能被遗漏。

• 综合行政人员报告

长期以来，高管们一直要求简单地阅读他们可以实时获得的综合报告。风险管理工具具有这种强大的能力，因为所有信息都保存在一个数据库中，可以在任何级别进行整合。

然而，在将报告提交给你们的高管之前，我强烈建议彻底测试，以确保所有相关信息都已显示，高管确实可以根据报告采取行动。我还建议定期审查整合机制，以确保它仍然足够，并且您没有添加苹果和梨。

我确信还有其他过程可以归入这些类别，但我想与你们分享我认为最重要的那些。你同意这种隔离吗?你还能补充什么吗?

我期待看到你的想法和评论，无论是在这个博客或推特(@TFrenehard)！

原载于SAP分析博客