啃食与消费

上周，我提出GRC从业者只是啃食技术，并没有真正"消费"它。不使用技术阻碍了进步，淘客网店推广平台，中国物联网，并使实践保持不变，云服务器和普通服务器，尽管可以获得巨大的利益。

啃食看起来像什么

GRC的专业范式、方法和实践是由各种标准和监管要求驱动的，这些标准和监管要求已被证明是抗技术变化的。出于所有实际目的，监管者和标准制定者编写了关于GRC实践的教科书。

最近，我采访了25位非常资深的GRC专业人士，概述了推动金融和运营转型的一些技术创新。我概述了saps/4HANA和universal期刊的特点和性质。我举例说明了机器学习、机器人技术和预测工具如何从根本上改变他们今天的业务运作方式，以及未来的发展趋势。

然后我问听众，作为GRC从业者，他们认为数字化转型会对他们产生什么样的影响。他们的共识是，他们可能需要更多的审计师、更多的风险经理、更多的合规人员等等。一切都会改变。这些GRC专业人士坚持将自己定位在数字化转型之外。他们在蚕食这项技术——承认它的存在，但不消费它。关于GRC实践的教科书已经过时了。我原以为他们会质疑某些实践和可交付成果的必要性，探索提供服务的新方法，并考虑他们可以提供的新服务。

消费是什么样子的

我希望GRC专业人士"消费"技术。我相信他们的顾客也有同样的期望。但是，GRC专业人士忠于他们的标准制定者，而不是他们的客户。

一般来说，驱动GRC专业人士的标准和框架并没有认识到技术的变革力量及其潜在影响。一般来说，监管者和标准制定者的假设是，实践和方法不会改变。

在实时内存处理、物联网（IoT）和预测分析领域，云服务器是什么，假设是：

审计仍然是必要的，他们将由具有相同技能的专业人员以同样的方式进行。风险仍然需要以同样的方式进行识别和评估。实践（以及驱动它们的标准和法规）将保持不变。

但这种态度服务于谁？考虑：

COSO框架是否已经更新，以反映数据驱动的世界而不是事务驱动的世界？关于缺陷检测和萨班斯-奥克斯利法案合规性的标准如何？当今的风险管理标准是否认识到技术对风险管理实践和方法的影响？审计报告是审计师最相关的输出吗？我们现在能预测并避免法规遵从性失败吗？或者我们必须在事后继续发现他们？

智能GRC（i-GRC）的兴起

上周，在发表了本博客的第1部分之后，我读到了IDC的一篇文章，懒懒淘客，名为智能ERP（i-ERP）的兴起。这和我的论点惊人地相似。这里有一个例子：

"单一的、拼凑起来的过时的ERP系统记录是当今大多数企业的技术支柱。虽然珠宝、家具和陶器等古董可能会随着时间的推移而增值，但由于其设计和价值无法满足当今数字业务的需求，记录系统已经走向消亡。最具竞争力和数字化的现代企业已经采用了新的创新商业模式来释放信息的价值。"IDC

那么，GRC专业人士如何创造智能GRC呢？

我认为第一步是充分了解相关技术的现状，并询问现有的模式是否仍然适用。GRC专业人士应该扪心自问：

实时内存处理、机器学习、预测分析和其他新兴技术如何影响当今的业务，我们如何利用这些技术？考虑到这些创新，哪些GRC实践和方法必须受到质疑和修订？如何预测而不是检测SOX缺陷？我们能用分析工具来预测控制失效或检测in吗？技术能自动进行根本原因分析吗？业务风险的识别和评估能否由事件分析自下而上推动？我们能否利用人工智能对控制和政策进行成本效益分析，以评估对目标和业务绩效的影响？我们能用机器学习来检测和消除低效或冗余的控制吗？内部审计在i-GRC中的作用是什么？我们今天所知道的审计是否相关？相反，洞察是可能的吗？

底线

让我给你留下几个问题。

就像IDC文章中设想的i-ERP一样，i-GRC的区别在于：

没有消费技术的GRC专业人士将被它消费。