【51CTO.com綜合報道】全球信息基礎(chǔ)架構(gòu)解決方案的***EMC公司和隱私、數(shù)據(jù)保護(hù)及信息安全研究的***Ponemon Institute公司今天公布了一項市場調(diào)查結(jié)果，該市調(diào)項目研究了在應(yīng)對隱私和風(fēng)險挑戰(zhàn)方面，全球企業(yè)面臨的最緊迫問題。參與調(diào)查的人代表全球金融服務(wù)、科技、衛(wèi)生保健和制藥行業(yè)的企業(yè)，他們認(rèn)為，要應(yīng)多這些挑戰(zhàn)面臨的***障礙是，企業(yè)缺乏明確定義的治理、風(fēng)險和法規(guī)遵從（eGRC）戰(zhàn)略，同時缺乏有關(guān)eGRC的協(xié)作。

缺乏共同的eGRC戰(zhàn)略

逾6000名eGRC從業(yè)人員參與了Ponemon Institute的市場調(diào)查，結(jié)果表明，eGRC一直是***管理層最重視的工作，但是只有20%的企業(yè)有明確定義的、涵蓋整個企業(yè)的eGRC戰(zhàn)略，33%的企業(yè)承認(rèn)，根本沒有制定eGRC戰(zhàn)略。

EMC公司顧問咨詢部***運營官Tom Roloff表示：“要采用一種涵蓋整個企業(yè)的治理、抗風(fēng)險和法規(guī)遵從方法來管理信息，明確信息對IT、法律、人力資源等企業(yè)所有部門的影響，這已經(jīng)不再是一種選擇，而是必須采取的、迫在眉睫的戰(zhàn)略行動。只有整合和集中管理方方面面的信息源，并采取必要的策略，企業(yè)才能實施整合的、集中的風(fēng)險及法規(guī)遵從戰(zhàn)略，滿足公司董事會和監(jiān)管機(jī)構(gòu)日益嚴(yán)格的要求。”

缺乏協(xié)作

此次市場調(diào)查還顯示，盡管eGRC責(zé)任正在從IT部門快速分散到運營、財務(wù)和法律部門，但是相比之下，這些關(guān)鍵部門之間的協(xié)作卻滯后了。僅有28%參與調(diào)查的人表示，他們所在企業(yè)在eGRC牽涉到的部門之間有頻繁協(xié)作，而12%的人承認(rèn)，他們所在公司的eGRC職能部門仍然是各自為政的。

eGRC活動達(dá)到了怎樣的分散程度Ponemon Institute的調(diào)查報告顯示，盡管治理活動仍然主要集中于IT部門，但是風(fēng)險管理活動通常由相關(guān)部門控制。類似地，法規(guī)遵從活動一般由企業(yè)的法規(guī)遵從職能部門負(fù)責(zé)，而隱私和數(shù)據(jù)保護(hù)管理則主要歸于法律部門。至于這些基本的eGRC活動的相對重要性，32%認(rèn)為風(fēng)險管理排在***位，接下來是法規(guī)遵從（27%）、治理（22%）、隱私和數(shù)據(jù)保護(hù)（20%）。

Ponemon Institute創(chuàng)始人、董事會主席Larry Ponemon博士表示：“各自為政是有效實施eGRC項目的大敵。各個職能部門圍繞各項策略、業(yè)務(wù)流程和多種法規(guī)處理有關(guān)信息和業(yè)務(wù)流程。不幸的是，他們互無溝通，這導(dǎo)致大量浪費和不一致的行動。沒有職能部門之間的協(xié)作，企業(yè)就會處于風(fēng)險之中。”

隱私成為eGRC協(xié)作的觸發(fā)點

不管來自哪個行業(yè)，所有參與調(diào)查的企業(yè)都表示，需要按地域管理隱私法規(guī)的遵從工作，并遵守國家或地方法律，因此企業(yè)需要采取一種整合式方法來支持IT、法律、運營和財務(wù)部門。參與調(diào)查的人表示，兩個***的隱私挑戰(zhàn)是：1）確保與第三方共享的數(shù)據(jù)仍然安全；2）符合所有適用的法規(guī)要求。

Ponemon博士表示：“隱私和數(shù)據(jù)保護(hù)是尤其迫切的問題。今天，這些不可或缺的隱私管理責(zé)任一般落在法律和IT部門頭上。盡管法律部門在隱私保護(hù)方面所起作用占主導(dǎo)地位，但I(xiàn)T部門仍然有責(zé)任實施控制，以滿足隱私保護(hù)法規(guī)的要求。因此人們能明白，為什么IT部門和法律部門需要有共同的看法，必須***地緊密協(xié)作，才能降低企業(yè)風(fēng)險。”

企業(yè)內(nèi)的協(xié)作

US Bank***隱私官兼供應(yīng)商風(fēng)險管理總監(jiān)Dan Burks表示：“這項市場調(diào)查突出顯示，協(xié)作既是關(guān)鍵需求，也是復(fù)雜企業(yè)環(huán)境中日益凸顯的關(guān)注點。讓職能部門就eGRC充分交流與協(xié)作，有助于確保eGRC項目取得成功。培養(yǎng)每個業(yè)務(wù)部的風(fēng)險‘大使’，有助于實現(xiàn)企業(yè)內(nèi)的協(xié)作。”

EMC公司信息治理解決方案部總經(jīng)理Jeff Bettencourt表示：“對于受到嚴(yán)格監(jiān)管和容易發(fā)生訟爭的行業(yè)來說，策略管理、緊急響應(yīng)和法規(guī)遵從監(jiān)控是至關(guān)重要的。不過這類行業(yè)以外的企業(yè)往往忽視日常的業(yè)務(wù)風(fēng)險，如電子郵件通信、員工提起訴訟等風(fēng)險。企業(yè)如果能真正理解職能部門相互依賴的重要性，并在策略、流程和技術(shù)之間取得一致，就能更全面地了解情況并提高控制能力，進(jìn)而更有效地控制整個企業(yè)的風(fēng)險。這種能力有可能成為關(guān)鍵的競爭優(yōu)勢。”

展望未來，近90%參與調(diào)查的人認(rèn)為，要實現(xiàn)eGRC目標(biāo)，技術(shù)是不可或缺，或者非常重要的。為方便eGRC相關(guān)活動而最有可能采用的應(yīng)用包括：風(fēng)險評估（81%）、策略管理（75%）、控制評估（73%）、意外響應(yīng)與管理（68%）、法規(guī)遵從監(jiān)控（63%）。