超级会员免费看
企业治理、风险与合规:精益思维的应用与实践
1. 职责分离与合规流程的误区
职责分离是一种旨在通过要求至少两人完成任何端到端交易来防止个人失误和恶意活动的概念。然而,在实际操作中,很多合规流程却沦为了形式主义。例如,开发人员为了满足变更管理流程,常常只是更改之前提交的电子表格中的日期和标题,然后作为新请求重新提交。变更经理虽然知道开发人员的这种做法,但只要遵循了文档化的流程,他就觉得没问题。但从风险管理的角度来看,这种做法毫无价值,还让团队在将变更投入生产时痛苦不堪。
当产品团队对这种风险管理形式提出质疑时,常见的回应是这是某些流行框架(如 ITIL 或 COBIT)或法律法规(如萨班斯 - 奥克斯利法案)所要求的。但实际上,除了少数情况外,这些框架和法律并没有规定特定的流程。以萨班斯 - 奥克斯利法案第 404 节为例,很多人认为它要求职责分离,于是企业对 IT 系统和环境的访问设置了复杂的控制措施,但实际上该法案及其相关的 SEC 规则中并未提及职责分离。
如果发现自己被要求遵循的流程影响了工作质量,不妨与制定该流程的人沟通,了解其意图。可以以使命原则为契机,进行协作、建立关系并达成共识。也许会惊讶地发现,能够以不同的方式实现目标,或者确认自己的工作是否真的在相关法律法规的范围内。如果被告知某个特定流程是法规“要求”的,礼貌地询问在哪里可以找到关于该要求的更多信息,因为很多繁琐的规则和 GRC 流程可能只是某些人对法规要求的解读,并非法规本身的强制规定。
2. 价值流映射与流程优化
要实现组织层面的目标,需要 GRC 流程与产品交付团队的目标和方法达成共识。价值流映射是一种强大的工具,可以帮助我们了解当前状态并确定改进领域。在 GR
订阅专栏 解锁全文
扫一扫
1229
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
