賽門鐵克發表IT Policy Compliance Group 2008年度研究報告「IT 治理、風險與法規遵循:增加企業獲益和降低財務風險」。指出IT管理、風險與規範遵循(IT GRC)可用來在企業獲益和風險之間取得適當平衡,IT GRC實務的成熟度與功能對組織的財務有直接的影響。
由 IT Policy Compliance Group所進行的主要標竿研究顯示,若想要增加企業收益並降低財務風險、損失與費用,就須增加或強化掌控IT資源用途及配置的競爭力、實務及功能。匯集來自 2,600多家全球企業意見的這份報告,對增進資料保護、法規遵循及IT服務水準彈性會對企業獲益有何影響進行了評估,範圍包括客戶滿意度、客戶維持率、收益、費用及利潤。
由報告的原始分數可以清楚看出,在滿足客戶、維繫客戶及增進營收及利潤方面,有較好IT GRC結果的公司較之其他公司能享有更好的成果。就證據來看,無論成熟度高低,對改善IT GRC成熟度能有最大影響的企業高層包括高階管理人員、IT經理及主管、法律顧問及審計委員會。
擁有最成熟的IT GRC實務之公司的營運結果:增加17%的營收;增加14%的利潤;提高18%的客戶滿意度;提高17%的客戶維持率;減少96%因客戶資料遺失或失竊所造成的財物損失;客戶資料失竊或遺失次數減少50次;每年減少50%的法規遵循花費。
同時報告中也提出多點重要建議:使用平衡計分卡(Balanced Scorecard)增加IT價值的實現;由高階業務、財務、法律、IT、法規及審計委員會成員組成管理委員會;利用可量度的、持續性的 IT品質改善計畫促成企業成效的提升;持續每月衡量及報告以利改善;增加技術控管並使其自動化以減輕及避免財務風險、品牌形象受損及業務受阻;改善有關 IT 保障、稽核與風險管理的技巧及自動化活動;儘可能區分並限制機密資料的存取權,以降低資料外洩機會及成本;對變更進行管理,並避免未經授權的變更以降低財務風險及提升成本效率;持續的衡量控管成效以維持獲益與風險的適當平衡。
除了這份研究報告之外,IT Policy Compliance Group 也利用在過去兩年收集到的主要標竿資料,建立了GRC功能成熟度模型(GRC Capability Maturity Model),可讓組織用來評估成熟度水準,以及與每種成熟度水準相關的特定實務、競爭力及功能。