Poprzednia

ⓘ GRC




                                     

ⓘ GRC

Governance, risk management and compliance – termin ogólny obejmujący podejście organizacji w trzech obszarach: governance, risk management and compliance. Pierwsze badania naukowe dotyczące GRC opublikowano w 2007 r., gdzie GRC zostało formalnie zdefiniowane jako "zintegrowany zbiór zdolności, który umożliwia organizacji wiarygodne osiąganie celów, rozwiązywanie problemów związanych z niepewnością i działanie w sposób uczciwy”. Badanie dotyczyło wspólnych działań "utrzymania firmy na właściwym torze” prowadzonych w działach takich jak audyt wewnętrzny, zgodność, ryzyko, prawo, finanse, IT, HR, a także w działach biznesowych, w zarządzie i w samym zarządzie.

                                     

1. Przegląd

Governance, risk management and compliance to trzy powiązane aspekty, które pomagają zapewnić, że organizacja rzetelnie osiąga cele, rozwiązuje problemy niepewności i działa w sposób uczciwy. Ład korporacyjny to połączenie procesów ustanowionych i realizowanych przez dyrektorów lub zarząd, które znajdują odzwierciedlenie w strukturze organizacji oraz w sposobie, w jaki jest ona zarządzana i kierowana w kierunku osiągania celów. Zarządzanie ryzykiem polega na przewidywaniu i zarządzaniu ryzykiem, które może utrudnić organizacji wiarygodne osiąganie celów w warunkach niepewności. Zgodność odnosi się do przestrzegania wyznaczonych granic praw i przepisów i granic dobrowolnych polityki, procedur firmy itp.

GRC jest dyscypliną, która ma na celu synchronizację informacji i działań w całym systemie zarządzania, a także przestrzeganie przepisów, aby działać skuteczniej, umożliwiać skuteczną wymianę informacji, skuteczniejsze raportowanie działań i unikanie zbędnego powielania działań. Chociaż GRC jest różnie interpretowany w różnych organizacjach, zazwyczaj obejmuje działania takie jak ład korporacyjny, zarządzanie ryzykiem przedsiębiorstwa ERM oraz zgodność korporacyjną z obowiązującymi przepisami i regulacjami.

Organizacje osiągają wielkość, w której skuteczna działalność wymaga skoordynowanej kontroli nad działaniami GRC. Każda z tych trzech dyscyplin tworzy informacje wartościowe dla pozostałych dwóch, a wszystkie trzy mają wpływ na te same technologie, ludzi, procesy i informacje.

Znaczne powielanie zadań rozwija się, gdy zarządzanie ładem korporacyjnym, zarządzaniem ryzykiem i zgodnością z przepisami jest zarządzane niezależnie. Nakładające się na siebie i powielające się działania GRC mają negatywny wpływ zarówno na koszty operacyjne, jak i matryce GRC. Na przykład każda służba wewnętrzna może być corocznie kontrolowana i oceniana przez wiele grup, co powoduje ogromne koszty i niepowiązane ze sobą wyniki. Niepowiązane podejście GRC uniemożliwi również organizacji dostarczanie sprawozdań wykonawczych GRC w czasie rzeczywistym. GRC zakłada, że podejście to, podobnie jak źle zaplanowany system transportowy, będzie funkcjonowało na każdej indywidualnej trasie, ale sieci zabraknie cech, które pozwolą im na efektywną współpracę.

Jeśli nie są one zintegrowane, jeśli są rozwiązywane w ramach tradycyjnego podejścia "silosowego”, większość organizacji musi utrzymać niemożliwą do opanowania liczbę wymogów związanych z GRC ze względu na zmiany technologiczne, zwiększające przechowywanie danych, globalizację rynku i zwiększoną regulację.

                                     

2.1. Tematyka GRC Pojęcia podstawowe

Zarządzanie opisuje ogólne podejście do zarządzania, poprzez które kierownictwo kieruje i kontroluje całą organizację, wykorzystując połączenie informacji zarządczej i hierarchicznych struktur kontroli zarządzania. Działania związane z zarządzaniem zapewniają, że krytyczne informacje zarządcze docierające do zespołu wykonawczego są wystarczająco kompletne, dokładne i aktualne, aby umożliwić podejmowanie właściwych decyzji zarządczych, a także zapewniają mechanizmy kontrolne zapewniające systematyczne i skuteczne realizowanie strategii, kierunków i instrukcji ze strony kierownictwa.

Zarządzanie ryzykiem to zbiór procesów, za pomocą których kierownictwo identyfikuje, analizuje i, tam gdzie to konieczne, odpowiednio reaguje na ryzyka, które mogą mieć negatywny wpływ na realizację celów biznesowych organizacji. Reakcja na ryzyka zależy zazwyczaj od ich postrzeganej wagi i obejmuje kontrolowanie, unikanie, akceptowanie lub przekazywanie ich stronie trzeciej. Podczas gdy organizacje rutynowo zarządzają szerokim zakresem ryzyka.

Zgodność oznacza zgodność z określonymi wymogami. Na poziomie organizacyjnym, jest to osiągane poprzez procesy zarządzania, które identyfikują obowiązujące wymagania, oceniają stan zgodności, oceniają ryzyko i potencjalne koszty braku zgodności w stosunku do przewidywanych wydatków na osiągnięcie zgodności, a tym samym ustalają priorytety, finansują i podejmują wszelkie działania naprawcze uznane za konieczne.

                                     

2.2. Tematyka GRC Segmentacja rynku GRC

Program GRC może zostać wprowadzony w celu skupienia się na każdym indywidualnym obszarze przedsiębiorstwa, lub w pełni zintegrowany GRC jest w stanie pracować we wszystkich obszarach przedsiębiorstwa, przy użyciu jednej struktury.

W pełni zintegrowany GRC wykorzystuje jeden podstawowy zestaw materiałów kontrolnych, przyporządkowanych do wszystkich głównych czynników zarządzania, które są monitorowane. Zastosowanie jednolitych ram ma również tę zaletę, że ogranicza możliwość powielania działań naprawczych. W przypadku przeglądu jako poszczególnych obszarów GRC, trzy najbardziej powszechne poszczególne działy uznaje się za finansowe GRC, IT GRC i prawne GRC.

  • Finansowy GRC odnosi się do działań, których celem jest zapewnienie prawidłowego funkcjonowania wszystkich procesów finansowych, jak również zgodności z wszelkimi mandatami związanymi z finansami.
  • IT GRC odnosi się do działań mających na celu zapewnienie, aby organizacja IT Information Technology wspierała obecne i przyszłe potrzeby przedsiębiorstwa oraz przestrzegała wszystkich mandatów związanych z IT.
  • Prawny GRC koncentruje się na powiązaniu wszystkich trzech komponentów poprzez dział prawny organizacji i dyrektora ds. zgodności.

Analitycy nie zgadzają się co do tego, jak te aspekty GRC są definiowane jako kategorie rynkowe. Gartner stwierdził, że szeroki rynek GRC obejmuje następujące obszary:

  • Finanse i audyt GRC
  • Zarządzanie ryzykiem w przedsiębiorstwie.
  • Zarządzanie IT GRC

Następnie dzielą rynek zarządzania IT GRC na te kluczowe możliwości. Chociaż lista ta odnosi się do GRC IT, podobna lista możliwości byłaby odpowiednia dla innych obszarów GRC.

  • IT Kontroluje samoocenę i pomiar.
  • Repozytorium aktywów IT
  • Zbiórka w ramach zautomatyzowanej ogólnej kontroli komputerowej GCC
  • Sprawozdawczość
  • Środki zaradcze i zarządzanie sytuacjami wyjątkowymi
  • Rozkład polityki i reakcja na nią
  • Kontrole i biblioteka polityk
  • Zaawansowana ocena ryzyka IT i pulpity zgodności z przepisami


                                     

2.3. Tematyka GRC Sprzedawcy produktów GRC

Rozróżnienie między podsegmentami szerokiego rynku GRC często nie jest jasne. Przy dużej liczbie dostawców wchodzących na ten rynek, określenie najlepszego produktu dla danego problemu biznesowego może stanowić wyzwanie. Biorąc pod uwagę, że analitycy nie w pełni zgadzają się co do segmentacji rynku, pozycjonowanie sprzedawców może zwiększyć zamieszanie. Ze względu na dynamiczny charakter tego rynku, analiza dostawcy jest często nieaktualna stosunkowo szybko po jej opublikowaniu.

Rynek dostawców można uznać za istniejący w 3 segmentach:

  • Rozwiązania punktowe dla GRC odnoszą się do ładu korporacyjnego na poziomie przedsiębiorstwa lub ryzyka na poziomie przedsiębiorstwa lub zgodności na poziomie przedsiębiorstwa, ale nie w połączeniu.
  • Zintegrowane rozwiązania GRC interes wielu rządów, ogólnozakładowy
  • Rozwiązania GRC specyficzne dla danej dziedziny pojedynczy interes w zakresie ładu korporacyjnego, dla całego przedsiębiorstwa

Zintegrowane rozwiązania GRC starają się ujednolicić zarządzanie tymi obszarami, zamiast traktować je jako odrębne jednostki. Zintegrowane rozwiązanie jest w stanie zarządzać jedną centralną biblioteką kontroli zgodności, ale zarządzać nimi, monitorować i prezentować je w odniesieniu do każdego czynnika zarządzania. Na przykład w podejściu specyficznym dla danej dziedziny, można by wygenerować trzy lub więcej wyników w odniesieniu do jednej przerwanej działalności. Zintegrowane rozwiązanie uznaje to za jedno załamanie związane z mapowanymi czynnikami zarządzania.

Sprzedawcy GRC dla poszczególnych domen rozumieją cykliczny związek pomiędzy zarządzaniem, ryzykiem i zgodnością w ramach danego obszaru zarządzania. Na przykład w ramach przetwarzania finansowego – że ryzyko związane jest albo z brakiem kontroli potrzeba aktualizacji zarządzania i/lub brakiem przestrzegania lub słabą jakością istniejącej kontroli. Pierwotny cel podziału GRC na osobny rynek sprawił, że niektórzy sprzedawcy byli zdezorientowani brakiem ruchu. Uważa się, że brak głębokiej edukacji w danej dziedzinie po stronie audytu w połączeniu z ogólną nieufnością do audytu powoduje rozdźwięk w środowisku korporacyjnym. Jednakże istnieją dostawcy na rynku, że, podczas gdy pozostałe specyficzne domeny, rozpoczęły marketing ich produktu do użytkowników końcowych i działów, które, podczas gdy albo styczne lub nakładające się, zostały rozszerzone w celu włączenia wewnętrznego audytu wewnętrznego firmy CIA i zespołów audytu zewnętrznego poziom 1 duże cztery I poziom 2 i poniżej, bezpieczeństwa informacji i operacji/produkcji jako grupy docelowej. Takie podejście zapewnia bardziej otwarte podejście do procesu. Jeśli zespół produkcyjny zostanie poddany audytowi przez CIA przy użyciu aplikacji, do której produkcja również ma dostęp, uważa się, że należy szybciej ograniczyć ryzyko, ponieważ celem końcowym nie jest bycie "zgodnym”, ale bycie "bezpiecznym” lub jak najbezpieczniejszym.

Rozwiązania punktowe dla GRC charakteryzują się tym, że koncentrują się na tylko jednym z jej obszarów. W niektórych przypadkach, gdy wymagania są ograniczone, rozwiązania te mogą służyć realistycznemu celowi. Ponieważ jednak zwykle zostały one zaprojektowane w celu bardzo dogłębnego rozwiązania specyficznych dla danej dziedziny problemów, na ogół nie przyjmują one jednolitego podejścia i nie są tolerancyjne w odniesieniu do zintegrowanych wymogów w zakresie zarządzania. Systemy informatyczne lepiej rozwiążą te kwestie, jeżeli wymogi dotyczące zarządzania GRC zostaną włączone na etapie projektowania, jako część spójnych ram.

                                     

2.4. Tematyka GRC Magazynowanie danych GRC i wywiad gospodarczy

Dostawcy GRC ze zintegrowaną strukturą danych są teraz w stanie zaoferować niestandardowo zbudowane hurtownie danych GRC i rozwiązania business intelligence. Pozwala to na zestawianie i analizę danych o dużej wartości z dowolnej liczby istniejących aplikacji GRC.

Agregacja danych GRC przy użyciu tego podejścia przynosi znaczące korzyści w zakresie wczesnej identyfikacji ryzyka i poprawy procesów biznesowych i kontroli biznesowej.

Dalsze korzyści płynące z tego podejścia obejmują i umożliwienie kontynuacji istniejących, specjalistycznych i wartościowych aplikacji bez wpływu ii organizacje mogą zarządzać łatwiejszym przejściem do zintegrowanego podejścia GRC, ponieważ początkowa zmiana dodaje jedynie warstwę sprawozdawczą oraz iii zapewnia możliwość porównywania i porównywania wartości danych w czasie rzeczywistym pomiędzy systemami, które wcześniej nie miały wspólnego schematu danych.

                                     

3. Badania GRC

W przeglądzie publikacji przeprowadzonym w 2009 r. stwierdzono, że badań naukowych nad GRC prawie nie było. Autorzy opracowali pierwszą krótką definicję GRC na podstawie obszernego przeglądu literatury. Następnie definicja ta została zatwierdzona w badaniu przeprowadzonym wśród specjalistów GRC. "GRC jest zintegrowanym, holistycznym podejściem do GRC w całej organizacji, zapewniającym, że organizacja działa w sposób etycznie poprawny i zgodny z jej apetytem na ryzyko, polityką wewnętrzną i regulacjami zewnętrznymi poprzez dostosowanie strategii, procesów, technologii i ludzi, poprawiając w ten sposób wydajność i skuteczność. Następnie autorzy przełożyli definicję na ramy odniesienia dla badań GRC.

Każda z podstawowych dyscyplin – Governance, risk management and compliance – składa się z czterech podstawowych elementów: strategii, procesów, technologii i ludzi. Gotowość organizacji do podejmowania ryzyka, jej polityka wewnętrzna i przepisy zewnętrzne stanowią zasady GRC. Dyscypliny, ich elementy składowe i zasady mają obecnie zostać połączone w zintegrowany, całościowy i obejmujący całą organizację sposób trzy główne cechy GRC – dostosowany do operacji biznesowych zarządzanych i wspieranych przez GRC. Stosując to podejście, organizacje pragną osiągnąć cele: poprawne pod względem etycznym zachowanie oraz poprawę wydajności i skuteczności któregokolwiek z zaangażowanych elementów.