任何在安全或审计环境中工作的人都知道这个困境:我们当然信任我们的员工和同事。当然!但如果我们限制这些同事的授权或对他们进行不断的检查,很快就会产生不信任。
这反过来又导致受影响者拒绝采取许多安全措施。公司的合规文化也可能变得消极。那么,像 SAP 治理、风险与合规性这样的系统在这种情况下真的有用吗?或者只是Steuerettis 的一个工具?
责任,不用谢
为了使控制真正被视为附加值,重要的是事先明确定义控制的目的和风险。否则,我们就是为了控制而控制。
风险 = 发生概率 x 影响
虽然定义风险不再是大多数组织的主要障碍,但接下来的一切都需要付出巨大的努力。据调查显示,近年来企业员工的风险意识有所增强。所有的公司——无论规模多大——都在为此而奋斗,但责任感却在减弱。不幸的是,这一挑战是结构性的。这种情况类似于搭便车问题:如果可以衡量团队的结果,但不能衡量每个人的表现,那么总会有搭便车的人。他们依赖于团 糖尿病邮寄名单 队的成功,而自己却没有做出太多贡献。
个人责任感与组织规模的关系
因此,当组织中发现风险并出现新风险时,它们会在相当长的一段时间内从一个区域转移到另一个区域。最终,诸如“到目前为止这还不是问题”或“IT 必须解决这个问题”之类的陈述。首先,没有人觉得对此负责。
集体的风险承受能力明显高于个人。不幸的是,这也降低了责任感。在英语中,这意味着更清楚的意思:“责任,做出回应的能力”。换句话说:公司作为一个集体越来越无法为安全问题提供适当的答案 - 除非部门负责人和经理主动采取行动来应对这种情况。
强化员工自我效能感
为了让每个人的责任感再次增强,最重要的是感受到自己的工作有所作为——“我此刻所做的事情有效果”。
当员工反复体验自己取得的成就时,就会产生这种自我效能感。此外,还有来自环境的证实:个人看到他的同事如何成功地实施他们的计划,他们鼓励他也这样做。
应用于公司的安全环境中,这意味着:例如,每个员工都必须有机会在 IT 系统中请求新同事的用户,或者能够重置自己的密码。是否存在冗长的表格、过于复杂的申请流程,或者是否有人必须等待至少一周才能访问?如果是这样,那么自我效能感和责任感就会同样下降。
这就是自助服务系统存在的原因 - 例如 SAP GRC。在这里,公司的每一位员工都可以通过独立提交申请或为自己重置密码来“为自己服务”。即使在紧急情况下,同事也可以快速获得扩展权限,而无需深夜打电话给老板。
积极的副作用是:不仅员工的责任感增强,IT部门也减轻了巨大的压力。在这里,通信工作量显着减少,每个人都可以独立控制自己的访问,没有其他资源被阻止,并且每个参与的人仍然能够采取行动。
建立明确的职责
还有一种情况导致个人责任感消失:明确的责任太少。一个实际的例子:公司的风险经理识别采购部门的新风险。他与采购经理进行了交谈,但目前他还有其他项目。他没有时间去冒险。为什么现在这变得至关重要?到目前为止还没有发生任何事情。由于公司仍存在风险,风险经理将问题向上级汇报。采购经理也这样做。毕竟,他坚持能够完成自己的重要项目。