不要只知道 ESG！企業治理的「GRC 策略」抬頭，如何左右企業存亡？

你知道什麼是 GRC 嗎？

GRC 代表著治理（Governance）、風險（Risk）及合規性（Compliance），意思是企業在不違法的前提下，降低各種面向的營運風險。說來簡單，但是世界上越來越多跨國、跨行業、跨足多項領域的合作，甚至是新技術的出現，都會讓經營風險成指數型上升。

根據《TrustNet》報導介紹，GRC 領域已成為國際市場中快速發展的領域，預計到 2027 年 GRC 市值將超過千億美元（約新台幣 3 兆元）。隨著市場對 GRC 策略訂定的需求提高，新創又能以何種方式出場提供協助呢？

什麼是 GRC？治理、風險及合規性如何成為企業不可忽略的領域

「GRC 策略」是企業保有競爭力及經營彈性的關鍵，隨著各國法規的變化或政策轉彎，一個小錯誤就會影響到企業在市場上的去留，使得 GRC 策略逐漸在市場上受到重視。

為避免營運風險，企業普遍偏向尋求專業第三方組織的協助，導致企業對 GRC 服務及新創的需求不斷增加。

圖片來源：

William Potter via shutterstock

許多企業中偏好委託第三方組織負責團隊 GRC 策略的訂定是因為，GRC 策略作為一種決定企業營運的治理框架，當企業專注於市場擴展時，若團隊仍要花費極大力氣管理帶有極高不確定性的人員治理及法律規管領域，不僅會拖累團隊擴展速度外，也會大幅增加團隊經營的成本。

根據知名資訊媒體《CIO》分享，GRC 策略作為每年企業經營回顧的管道，若能有效標準化 GRC 的檢視流程，將可讓團隊成員清楚理解團隊未來發展並提升團隊討論，甚至能夠提升投資者對企業的信心及財務穩定性。

以全球科技公司 Meta 舉例，隨著全球使用人數增加，企業將多數工作轉至雲端中，設計出一個完善的安全計畫變得十分重要。

Meta 便與 AWS 合作，針對不同開發團隊人員的工作及使用到的軟體進行分析，藉由評估、審視企業軟體及第三方雲端軟體間的資料配置及傳遞路徑，設計出一個安全的傳遞框架避免受到來自不同來源的威脅偵測。

藉由與 AWS 合作，Meta 得以讓開發人員直接進行研發，而無需擔心是否違反安全協定，並協助節省企業的管理成本。

三間值得關注 GRC 新創介紹，讓企業面對 GRC 策略不再茫然

隨著 GRC 策略逐漸受到關注，知名募資平台 Tracxn 的統計指出，截至 2024 年 1 月中，全球 GRC 新創已突破 6,900 間，總市值超過 413 億美元（約新台幣 1.2 兆元），而近期就有三間 GRC 新創獲得募資。

新創 Cypago 雲端化企業安全性評估流程，協助企業減少內部評估時間成本

新創 Cypago 提供風險管理的開放式 SaaS 軟體，協助企業導入如 Discord、Github 等企業團隊使用的第三方軟體，當 SaaS 軟體與團隊內部分析及搜尋引擎相結合，可協助企業資安團隊雲端化團隊內部安全性評估的流程。企業也可配合其業務需求在軟體上追加設定不同的法規標準，Cypago 軟體會自行掃描並提供各項內容的風險評分，讓企業可快速了解當前營運策略的風險，並隨時更正風險處理計畫。

Cypago 團隊共同創辦人 Arik Soloman 接受《TechCrunch》採訪時分享，隨著網路相關法律逐漸增加且越趨嚴格，對 AI 相關企業而言要一邊小心法律規範一邊進行技術研發十分困難，因此團隊希望能針對網路安全治理領域推出專有的 GRC 管理框架，透過雲端化團隊現有的本地數據，讓團隊能無後顧之憂地進行新技術的研發。

圖片來源： Cypago官網

團隊在去（2023）年收到來自 Entrée Capital、Axon Ventures 及 Jump Capital 的投資，募資總額共計 1,300 萬美元（約新台幣4億元）。

Vendict 導入生成式 AI 簡化企業產出安全評估報告

新創 Vendict 的服務對象則是協助企業進行安全管理的軟體供應商，資安服務供應商往往會需要透過填寫合作企業的問卷，以證明供應商能有效提供服務客戶需要的安全需求。

儘管此為資安服務供應商進行企業合作的重要一環，但這樣的過程目前卻僅能手動且需要極高技術性。看見這個問題的以色列新創 Vendict 推出資安領域專用的大型語言模型，透過AI自行掃描供應商所提供的服務及數據庫資料，自動填寫問卷內容。

除了能協助供應商自動生成安全評估報告外，進行資料庫資料掃描時，Vendict 系統也能根據合作企業所屬產業、服務範圍及資料敏感度等，給予安全合規的評估及建議，希望藉此重新定義 GRC 策略領域的格局。

圖片來源： Vendict官網

新創 Vendict 在 2023 年 7 月收到 950 萬美元（約新台幣 2.9 億元）的投資。

Anecdotes 自動化整理並歸納 GRC 策略相關文件，提供企業策略修正建議

新創 Anecdotes 則主打自動化過往企業進行 GRC 策略計劃時需手動進行的步驟，將安全報告撰寫、資料整理等步驟轉變為以數據為導向的自動化流程。

Anecdotes 推出的 SaaS 軟體，不僅能自動從企業各項軟體中擷取與 GRC 策略相關的文件內容，並將其放入同一個檔案夾中協助企業團隊進行分析，再藉由導入生成式 AI，給予企業與 GRC 策略相關的建議。

圖片來源： Anecdotes官網

團隊在 2024 年初收到 2,500 萬美元（約新台幣 7 億元）的融資，使融資總額來到 5,500 萬美元（約新台幣 17 億元），團隊預計將會把融資用於拓展新市場及擴展團隊人數上。

配合市場變化及新科技推出，GRC 未來將走向自動化及預測分析

日前 GRC 策略的設計主要會依據市場趨勢及工作習慣而有些許的改變，舉例來說，隨著如 AI、區塊鏈等新科技的推出，許多 GRC 新創正逐漸走向數位轉型，或結合新技術為合作企業推出相關數位工具。

當市場及合作企業規模不斷變化，未來 GRC 領域也將擴大現有的企業模式，建立起 GRC 生態系統，透過結合如 ESG 等市場趨勢，打造出一系列的 GRC 策略。

此外，根據國際發展管理公司 IMC 的預測，未來 GRC 領域也將邁向即時性分析的道路，透過導入 AI 等科技從不同資料來源自動偵測市場風險及潛在威脅。

資料來源：Cential、Fintech Global、VentureBeat、TechCrunch、VComply、AWS

（本文轉載自《創業小聚》）