賽門鐵克發表-企業可從持續改進 IT GRC 實務獲得好處

賽門鐵克發表了IT Policy Compliance Group 2008 年度研究報告「IT 治理、風險與法規遵循：增加企業獲益和降低財務風險」(IT Governance, Risk and Compliance – Improving business results and mitigating financial risk)。指出IT 管理、風險與規範遵循 (IT GRC) 可用來在企業獲益和風險之間取得適當平衡，IT GRC 實務的成熟度與功能對組織的財務有直接的影響。

由 IT Policy Compliance Group 所進行的主要標竿研究顯示，若想要增加企業收益並降低財務風險、損失與費用，就須增加或強化掌控 IT 資源用途及配置的競爭力、實務及功能。匯集來自 2,600 多家全球企業意見的這份報告，對增進資料保護、法規遵循及 IT 服務水準彈性會對企業獲益有何影響進行了評估，範圍包括客戶滿意度、客戶維持率、收益、費用及利潤。

由報告的原始分數可以清楚看出，在滿足客戶、維繫客戶及增進營收及利潤方面，有較好 IT GRC 結果的公司較之其他公司能享有更好的成果。就證據來看，無論成熟度高低，對改善 IT GRC 成熟度能有最大影響的企業高層包括高階管理人員、IT 經理及主管、法律顧問及審計委員會。

擁有最成熟的IT GRC實務之公司的營運結果
• 增加 17% 的營收
• 增加 14% 的利潤
• 提高 18% 的客戶滿意度
• 提高 17% 的客戶維持率
• 減少 96% 因客戶資料遺失或失竊所造成的財物損失
• 客戶資料失竊或遺失次數減少 50 次
• 每年減少 50% 的法規遵循花費


重要建議
• 使用平衡計分卡(Balanced Scorecard)增加 IT 價值的實現
• 由高階業務、財務、法律、IT、法規及審計委員會成員組成管理委員會
• 利用可量度的、持續性的 IT品質改善計畫促成企業成效的提升
• 持續每月衡量及報告以利改善
• 增加技術控管並使其自動化以減輕及避免財務風險、品牌形象受損及業務受阻
• 改善有關 IT 保障、稽核與風險管理的技巧及自動化活動
• 儘可能區分並限制機密資料的存取權，以降低資料外洩機會及成本
• 對變更進行管理，並避免未經授權的變更以降低財務風險及提升成本效率
• 持續的衡量控管成效以維持獲益與風險的適當平衡

除了這份研究報告之外，IT POLICY COMPLIANCE GROUP 也利用在過去兩年收集到的主要標竿資料，建立了 GRC 功能成熟度模型 (GRC CAPABILITY MATURITY MODEL)，可讓組織用來評估成熟度水準，以及與每種成熟度水準相關的特定實務、競爭力及功能。

現身說法
• IT Policy Compliance Group 總經理暨賽門鐵克主要研究經理 Jim Hurley 表示：「IT GRC 可用來管理 IT 業務及其最高、最低貢獻。IT Policy Compliance Group 所進行的最新研究提供了一項事實基礎，可用以評估目前實務的成熟度、現有實務的相關業務成果，以及確實辨識可實現最高價值之實務與功能的能力。」
• 甫卸任於 ISACA 與 IT Governance Institute 總裁職務、擁有 CPA 資格的 Everett Johnson 表示：「基本上，IT GRC 與兩項目標有關：為企業提供價值並降低企業 IT 風險。成功組織達成這些目標的方法，是將業務與 IT 策略相結合，並將達成有效 IT 管理的信念深植於組織中，由最高領導階層帶頭做起。」
• Protiviti IT 安全實務部門的管理主管 Rocco Grillo 認為：「這些研究結果再次證明，管理良善的 IT 法規遵循計畫可有效解決資訊安全與隱私等重要業務問題。根據經驗，這項研究的結果與我們在市場所觀察到的結果一致，尤其是保護機密資料已成為 IT 法規遵循中最重要的工作。毫無疑問地如同PCI及其他法規遵循條款所要求，這是因為大家已為資料毀損及事後補救而付出昂貴的代價所致。」
• Standards and Guidance 的 IIA 主管Heriot Prentice 表示：「這份報告證實了 IIA 發現的事實，成熟的組織會使用由上到下、風險導向的方案來進行稽核工作，因而能夠在法規遵循與風險管理實務獲致更好的效果。最佳組織通常能夠在一開始就把事情做好，而且適時投資適當的內部控管無疑能夠有助於保護資料、降低財務風險並提升獲利能力。」


相關連結
若想進一步了解 IT GRC，請參閱下列資源：
• IT Policy Compliance Group 研究中心
• IT GRC 成熟度模型評估工具(Maturity Model Assessment Tool)
• ITPCG 網誌
• 維基百科：GRC

關於本研究
IT Policy Compliance Group 標竿的研究主題來自於贊助成員、諮詢成員與一般成員的意見所建立的研究規劃，以及根據最近研究所彙集的新發現。這份最新標竿報告係在2007 年 12 月至 2008 年 3 月間針對 558 個合格組織所進行的調查而來。該報告中也同時納入 2007 年 6 月到 2008 年 3 月間針對高達 2608 家公司所進行的一項更早的標竿調查中，與其追蹤問題有關的一致性發現結果 (在誤差不影響研究結果的前提下)。本次調查中大部分 (90%) 參與標竿評比的組織多位於北美地區，其他 10% 來自於其他國家，包括：非洲、亞太地區、歐洲、中東與南美地區。

關於 IT Policy Compliance Group
IT Policy Compliance Group 致力於促進協助 IT 安全專業人員符合該組織政策與法規遵循目標之研究與資訊的發展。並主要以現實標竿基準協助會員組織去提升業務、治理、風險管理、及法規遵循等成果。其成員由數個領導組織所組成，包括 Computer Security Institute、The Institute of Internal Auditors、Protiviti、ISACA (Information Systems Audit and Control Association)、IT Governance Institute 與 Symantec Corporation (NASDAQ: SYMC)。如需更多相關資訊，請造訪 www.ITPolicyCompliance.com。