安全与合规支出通常被视为首席财务官的必要之恶,无休止的追求削减成本的机会是每个CIO的克星。甚至扩大的威胁风险有时不够放松钱袋。
但是如果一些支出现在不仅可以导致更好的安全性和遵从性,但最终更高的利润,更低的费用,以及客户满意度的提高和保留吗?这将粘贴一个微笑在脸上最节俭的首席财务官,更不用说让他或她看起来像一个“大老板”的英雄。
根据一项报告从IT政策合规组(PCG),这些都是期待的结果IT治理成熟、风险和合规(GRC)规模。
五级贷款到期规模(或6,如果算上0级,不存在程序和流程),从基本的特殊过程通过完全优化,省钱的顶层,映射到标准能力成熟度模型(CMM)。
提出了在2008年赛门铁克会议在拉斯维加斯(赛门铁克提供合规过程自动化套件协助移动成熟度量表),该报告讨论了基准测试调查的结果从几波过去两年;最近的观察结果从558年组织在2007年12月到2008年3月。
它告诉我们,公司的成熟量表享受17%高收入,高14%利润,客户保留水平高17%,每年减少50%花在法规遵从性比组织规模的底部。他们的财务风险从客户数据丢失或被盗只有0.4%的收入,而底部的规模面临的风险收入的9.6%。
精英,最成熟的集团在报告中记录仅为12%的样本,而20%的人在堆的底部,而剩下的68%占据中间的三个成熟类别。
没有一个行业领导成熟度derby。事实上,据报告作者吉姆•赫尔利董事总经理PCG,一些结果是反直觉的。你所期望的,例如,受到行业将在过程成熟度等级高于监管越少。这并不总是真的。大公司也不表现一定好于规模较小的组织。“秘密武器是过程和实践,“他说。
过程框架等ITIL独联体的基准,SDLC,Cobit和ISO 17799到27000年,和工具等平衡计分卡和六西格玛取得优越的成绩是关键。但是,赫尔利警告说,公司做得很好了框架作为起点和适应他们企业而不是试图硬塞进到现有的业务流程框架。
实际上,这份报告指出,最成熟的公司选择组件从一组紧密集中的框架来构建自己的框架。与不成熟的公司,它的框架是平均分布在这些操作,保证、审计、合规和外部供应商,管理和使用的高级IT经理交付的价值。公司较低的规模往往专注于操作框架。
最成熟的公司也改变了一些商业行为,如:
*大的高级管理层参与集选区
*涉及GRC的审计委员会
*,法律、审计和财务提供领导
在GRC *员工培训,培育合规文化
*改善它的风险评估、数据保护、审计、风险和合规实践和能力
*适应IT支出支持必要的能力
*实施持续质量改进程序集选区
*开发一个集成的GRC程序
但这还不是全部。成熟的组织也调整过程和实践,使它们一致的和可重复的。十大重点实践包括:
*对敏感数据的访问和保护个人电脑和笔记本电脑上的数据分割和有限的。
*有意义的和可测量的基于业务风险控制的目标和政策。
*它的政策,流程框架和控制目标(例如,kpi)映射到另一个。
*常见的审计程序工作。
*三倍比目标控制工作。
*一致的配置和常见的程序使用。
*自动化被广泛应用。
* 50%的控制技术控制,和100%的这些都是自动的。特定的活动,如audit-related数据的集合,是自动的。
*政策和audit-out技术控制管理。
*它变更控制和预防未经授权的改变实现。
*监控、计量和报告频繁发生;从持续到至少一个月一次(平均每年22倍)。
得到梦寐以求的成熟状态,伴随着它的好处,涉及了一些工作,公司较低的规模是最好的建议采取小块的变化,增加成功的可能性。报告建议增量改进它GRC实践的一个过程,可能会熟悉很多:
*评估组织的当前成熟度状态
*确定当前成熟的商业和金融结果概要文件
*确定所需的成熟度、敏捷性、质量、财务和遵从性目标
*确定所需的实践和能力达到预期的目标
*描述和量化预期成本、储蓄和金融风险
*实现质量改进来达到目标
*测量结果和重复这些步骤。
换句话说,遵循流程概述了戴明和六西格玛持续质量改进周期。
所以,你问,你如何找出你坐在成熟度级别吗?你们提供了一个有用的工具:一个交互式应用程序,允许您回答一些问题,基于这些答案,看看你的分数。一点明智的调整可以帮助您确定对你的成熟度级别的各种潜在影响调整政策和程序,并找到那些提供最大的货真价实。
一旦你知道你在哪里,你可以制定计划的成熟量表上的神奇的点首席财务官实际上微笑。
这个故事,“合规支出提供福利除了安全”最初发表的首席信息官 。