SAP的既定目标是在未来三年内消除50%的手动活动，并为用户提供免提用户体验。

作为GRC专业人士，返现app，我认为这是一个非常棒的想法，但要实现这一目标，需要在治理领域进行一些根本性的改变，风险与合规（GRC）。如今，GRC专业人员创建的许多信息都是主观的，不能以数字形式在任何地方捕获，或者分布广泛，难以整合和整合。

不相信我？试问亚马逊Alexa

想象一下今天的董事会审计和风险委员会会议。想象一下，首席审计、风险或合规执行官（CAE）坐在董事会会议桌旁，董事会委员会提出以下问题。在我的情况下，云服务器是什么，我用亚马逊亚历克斯作为首席GRC官。但我想今天的谈话会是这样的

亚历克萨–"对不起，我不确定。"

每个CAE都知道，这是错误的答案。只有一个可以接受的答案，那就是"是的，当然。"一个谨慎的CAE可能会增加一些"除了"的资格。但答案不能是"我不知道"。

Alexa–"这件事还没有定论。"

每个GRC专业人士都知道，即使在对问题1回答"是"之后，仍然有一份十大控制弱点列表很重要。它们可以是琐碎的，云服务器比较，但你至少需要给你看一下。

亚历克斯–"我会调查的。"

这是一个最喜欢的问题（如果很傻的话，淘客发单软件，问题）。但必须回答。十大风险可能已经发生了。一个更好的问题是，10个最好的风险是什么？但今天的答案是一样的。

亚历克萨"我不知道，但我会帮你调查的。"

我在等待答案。

让我们暂时休会，问问自己，发生了什么事？有没有可能减少GRC专业人员的手工劳动？免提用户体验是否可以远程查看GRC信息？

今天有什么问题？

大多数GRC信息都是基于人工过程和人工判断支持的主观意见。控制有效性可能是一个模糊和主观的东西。（在上次金融危机中崩溃的大多数金融机构和许多其他企业在崩溃前不久报告了对财务报告的"有效"控制。）

控制弱点可能是基于事实的，并来自审计或其他来源。但覆盖范围从来不是连续的，也从来不是100%完整的。充其量，这是一个基于我们认为我们今天知道的东西的向后看的猜测。

十大风险清单通常包括纯粹的防御性风险以及对频率和可能性的猜测。一个好得多的问题是，"为了获得收益而承担的10个最佳风险是什么？"GRC专业人员在开始检查机会和损失之前不会增值。

至于所需的最重要审计，历史表明，审计资源与最高业务风险的相关性非常弱。通常情况下，数据更新，审计师认为最重要的内容对业务并不重要。

需要改变什么？

非常简单，非常简单，我们需要从基于信念的手动方法转变为基于GRC实践的基于数据的方法，该方法可以自动化并支持实时查询。今天的GRC大部分都是一种明智的猜测。自动猜测不会提高猜测的质量。让数据告诉我们GRC的状态。

所有GRC数据必须链接到最终结果业务目标。今天几乎从来没有这样做过。以下是所需逻辑的一个例子。

根据目标的业务绩效衡量内部控制的有效性。所有性能偏差数据必须通过控制缺陷数据、不可预见风险数据或错误风险识别和评估数据进行解释。请注意，极其有效的控制，无论如何衡量，也可能对业务目标产生不利影响。也测量一下。最主要的问题是控制性能方面的缺陷，这些缺陷由说明对关键业务目标或关键业务流程的影响的数据来解释。最大的风险是那些与最大的机会相关的风险。机会是可以衡量的。

最重要的审计是那些专注于衡量上述问题答案的可靠性的审计。

审计领域将是数字会议室。请看我们在SAP Digital Boardroom for GRC上的简短视频：

https://www.youtube.com/watch？v=OdZ7\U C\U xPpQ

GRC必须数字化

需要的一切都存在于今天。所有这些都是关于集成、自动化、持续监控、预测和报告的。

我很想听听您对GRC实践如何改变以支持减少手动活动和免提用户体验的想法。需要什么技术？你今天要做什么来换班？

参加我们在纳什维尔举行的IIA/ISACA GRC会议

参加8月13-15日在纳什维尔举行的IIA/ISACA GRC会议？在317号展位找我和我们GRC团队的同事。让我们继续对话。