不要只知道ESG！企業治理的「GRC策略」抬頭，為什麼會左右企業的存亡？

你知道什麼是GRC嗎？

GRC代表著治理（Governance）、風險（Risk）及合規性（Compliance），意思是企業在不違法的前提下，降低各種面向的營運風險。說來簡單，但是世界上越來越多跨國、跨行業、跨足多項領域的合作，甚至是新技術的出現，都會讓經營風險成指數型上升。

根據《TrustNet》報導介紹，GRC領域已成為國際市場中快速發展的領域，預計到2027年GRC市值將超過千億美元（約新台幣3兆元）。隨著市場對GRC策略訂定的需求提高，新創又能以何種方式出場提供協助呢？

什麼是GRC？治理、風險及合規性如何成為企業不可忽略的領域

「GRC策略」是企業保有競爭力及經營彈性的關鍵，隨著各國法規的變化或政策轉彎，一個小錯誤就會影響到企業在市場上的去留，使得GRC策略逐漸在市場上受到重視。

為避免營運風險，企業普遍偏向尋求專業第三方組織的協助，導致企業對GRC服務及新創的需求不斷增加。

許多企業中偏好委託第三方組織負責團隊GRC策略的訂定是因為，GRC策略作為一種決定企業營運的治理框架，當企業專注於市場擴展時，若團隊仍要花費極大力氣管理帶有極高不確定性的人員治理及法律規管領域，不僅會拖累團隊擴展速度外，也會大幅增加團隊經營的成本。

根據知名資訊媒體《CIO》分享，GRC策略作為每年企業經營回顧的管道，若能有效標準化GRC的檢視流程，將可讓團隊成員清楚理解團隊未來發展並提升團隊討論，甚至能夠提升投資者對企業的信心及財務穩定性。

以全球科技公司Meta舉例，隨著全球使用人數增加，企業將多數工作轉至雲端中，設計出一個完善的安全計畫變得十分重要。

Meta便與AWS合作，針對不同開發團隊人員的工作及使用到的軟體進行分析，藉由評估、審視企業軟體及第三方雲端軟體間的資料配置及傳遞路徑，設計出一個安全的傳遞框架避免受到來自不同來源的威脅偵測。

藉由與AWS合作，Meta得以讓開發人員直接進行研發，而無需擔心是否違反安全協定，並協助節省企業的管理成本。

三間值得關注GRC新創介紹，讓企業面對GRC策略不再茫然

隨著GRC策略逐漸受到關注，知名募資平台Tracxn的統計指出，截至2024年1月中，全球GRC新創已突破6,900間，總市值超過413億美元（約新台幣1.2兆元），而近期就有三間GRC新創獲得募資。

新創Cypago雲端化企業安全性評估流程，協助企業減少內部評估時間成本

新創Cypago提供風險管理的開放式SaaS軟體，協助企業導入如Discord、Github等企業團隊使用的第三方軟體，當SaaS軟體與團隊內部分析及搜尋引擎相結合，可協助企業資安團隊雲端化團隊內部安全性評估的流程。企業也可配合其業務需求在軟體上追加設定不同的法規標準，Cypago軟體會自行掃描並提供各項內容的風險評分，讓企業可快速了解當前營運策略的風險，並隨時更正風險處理計畫。

Cypago團隊共同創辦人Arik Soloman接受《TechCrunch》採訪時分享，隨著網路相關法律逐漸增加且越趨嚴格，對AI相關企業而言要一邊小心法律規範一邊進行技術研發十分困難，因此團隊希望能針對網路安全治理領域推出專有的GRC管理框架，透過雲端化團隊現有的本地數據，讓團隊能無後顧之憂地進行新技術的研發。