Управление, управление рисками и соответствие ( GRC ) - это термин, охватывающий подход организации к этим трем практикам: корпоративное управление , управление рисками и соблюдение нормативных требований . [1] [2] [3] Первое научное исследование GRC было опубликовано в 2007 г. [4]где GRC был формально определен как «интегрированный набор возможностей, которые позволяют организации надежно достигать целей, устранять неопределенность и действовать честно». В исследовании говорится об общих действиях «держать компанию в нужном русле», проводимых в таких отделах, как внутренний аудит, комплаенс, управление рисками, юриспруденция, финансы, ИТ, HR, а также в направлениях бизнеса, руководящем составе и самом совете директоров.
Обзор
Руководство, управление рисками и соблюдение требований - это три взаимосвязанных аспекта, которые призваны гарантировать, что организация надежно достигает целей, устраняет неопределенность и действует честно. [5] Управление - это комбинация процессов, установленных и выполняемых директорами (или советом директоров), которые отражены в структуре организации и в том, как ею управляют и ведут к достижению целей. Управление рисками - это прогнозирование и управление рисками, которые могут помешать организации надежно достичь своих целей в условиях неопределенности. Под соответствием понимается соблюдение установленных границ (законы и постановления) и добровольных границ (политика, процедуры компании и т. Д.). [6] [7]
GRC - это дисциплина, которая направлена на синхронизацию информации и действий в рамках управления и соответствия, чтобы работать более эффективно, обеспечивать эффективный обмен информацией, более эффективно сообщать о деятельности и избегать ненужного дублирования. Хотя в разных организациях GRC интерпретируется по-разному, GRC обычно охватывает такие виды деятельности, как корпоративное управление , управление рисками предприятия (ERM) и соблюдение корпорациями применимых законов и нормативных актов.
Организации достигают размера, при котором для эффективной работы требуется скоординированный контроль над деятельностью GRC. Каждая из этих трех дисциплин создает информацию, имеющую ценность для двух других, и все три влияют на одни и те же технологии, людей, процессы и информацию.
Существенное дублирование задач возникает, когда корпоративное управление, управление рисками и комплаенс управляются независимо. Перекрывающиеся и дублирующие действия GRC негативно влияют как на эксплуатационные расходы, так и на матрицы GRC. Например, каждая внутренняя служба может ежегодно проверяться и оцениваться несколькими группами, что приводит к огромным затратам и разрозненным результатам. Отключенный подход GRC также помешает организации предоставлять исполнительные отчеты GRC в реальном времени. GRC предполагает, что при таком подходе, как и при плохо спланированной транспортной системе, каждый отдельный маршрут будет работать, но сети не хватит качеств, которые позволят им эффективно работать вместе. [8]
Если не интегрировать, то при решении традиционного «разрозненного» подхода большинство организаций должны поддерживать неуправляемое количество требований, связанных с GRC, из-за изменений в технологии, увеличения объема хранения данных, глобализации рынка и усиления регулирования.
Темы GRC
Основные понятия
- Управление описывает общий подход к управлению, посредством которого высшие руководители направляют и контролируют всю организацию, используя комбинацию управленческой информации и иерархических структур управления. Управленческая деятельность гарантирует, что критически важная управленческая информация, поступающая к руководству, является достаточно полной, точной и своевременной, чтобы дать возможность принимать соответствующие управленческие решения, и обеспечивает механизмы контроля, обеспечивающие систематическое и эффективное выполнение стратегий, указаний и инструкций со стороны руководства. [9]
- Управление рисками - это набор процессов, посредством которых руководство выявляет, анализирует и, при необходимости, надлежащим образом реагирует на риски, которые могут отрицательно повлиять на реализацию бизнес-целей организации. Реакция на риски обычно зависит от их предполагаемой серьезности и включает в себя контроль, избежание, принятие или передачу их третьей стороне, в то время как организации обычно управляют широким спектром рисков (например, технологическими рисками, коммерческими / финансовыми рисками, рисками информационной безопасности и т. Д. ).
- Соответствие означает соответствие заявленным требованиям. На организационном уровне это достигается с помощью процессов управления, которые определяют применимые требования (определенные, например, в законах, нормативных актах, контрактах, стратегиях и политиках), оценивают состояние соответствия, оценивают риски и потенциальные затраты несоблюдения в отношении прогнозируемые расходы на достижение соответствия и, следовательно, определение приоритетов, финансирование и инициирование любых корректирующих действий, которые будут сочтены необходимыми.
Сегментация рынка GRC
Программа GRC может быть учреждена так, чтобы сосредоточиться на любой отдельной области внутри предприятия, или полностью интегрированный GRC может работать во всех областях предприятия, используя единую структуру.
Полностью интегрированный GRC использует единый основной набор контрольных материалов, сопоставленных со всеми основными отслеживаемыми факторами корпоративного управления. Использование единой структуры также снижает вероятность дублирования корректирующих действий.
При рассмотрении как отдельных областей GRC тремя наиболее распространенными отдельными заголовками считаются финансовая GRC, IT GRC и Legal GRC.
- Финансовый GRC относится к деятельности, которая предназначена для обеспечения правильной работы всех финансовых процессов, а также соблюдения любых требований, связанных с финансами.
- IT GRC относится к деятельности, направленной на обеспечение того, чтобы организация ИТ ( информационных технологий ) поддерживала текущие и будущие потребности бизнеса и соблюдала все требования, связанные с ИТ.
- Legal GRC фокусируется на объединении всех трех компонентов через юридический отдел организации и главного специалиста по комплаенсу .
Аналитики не согласны с тем, как эти аспекты GRC определяются как рыночные категории. Gartner заявила, что широкий рынок GRC включает следующие области:
- Финансы и аудит GRC
- IT GRC менеджмент
- Управление рисками.
Они дополнительно делят рынок управления IT GRC на эти ключевые возможности. Хотя этот список относится к IT GRC, аналогичный список возможностей подойдет и для других областей GRC.
- Библиотека элементов управления и политик
- Распространение политики и ответ
- IT Controls самооценка и измерение
- Репозиторий ИТ-активов
- Сбор автоматизированного общего компьютерного управления (GCC)
- Исправление и управление исключениями
- Составление отчетов
- Расширенная оценка ИТ-рисков и панели мониторинга соответствия
Поставщики продукции GRC
Различия между подсегментами широкого рынка стекловолокна часто неясны. В связи с тем, что в последнее время на этот рынок вышло большое количество поставщиков, определение лучшего продукта для данной бизнес-задачи может оказаться сложной задачей. Учитывая, что аналитики не полностью согласны с сегментацией рынка, позиционирование поставщика может усугубить путаницу.
Из-за динамичного характера этого рынка любой анализ поставщиков часто устаревает относительно вскоре после его публикации.
В целом рынок поставщиков можно разделить на 3 сегмента:
- Интегрированные решения GRC (интересы нескольких организаций, в масштабах всего предприятия)
- Решения GRC для конкретных областей (единый интерес управления, в масштабах всего предприятия)
- Точечные решения для GRC (относятся к корпоративному управлению, рискам в масштабах предприятия или соответствию требованиям в масштабах предприятия, но не в сочетании).
Интегрированные решения GRC пытаются объединить управление этими областями, а не рассматривать их как отдельные объекты. Интегрированное решение способно администрировать одну центральную библиотеку средств контроля соответствия, но управлять, отслеживать и представлять их с учетом всех факторов управления. Например, при подходе, зависящем от предметной области, можно получить три или более результатов по одному нарушенному действию. Интегрированное решение распознает это как одно нарушение, связанное с отображенными факторами управления.
Поставщики GRC для конкретных предметных областей понимают циклическую связь между управлением, рисками и соответствием в конкретной области управления. Например, в финансовой обработке - риск будет связан либо с отсутствием контроля (необходимость обновления корпоративного управления), либо с несоблюдением (или плохим качеством) существующего контроля. Первоначальная цель выделения GRC на отдельный рынок оставила некоторых поставщиков в замешательстве по поводу отсутствия движения. Считается, что отсутствие глубокого образования в области аудита в сочетании с недоверием к аудиту в целом вызывает раскол в корпоративной среде. Тем не менее, на рынке есть поставщики, которые, оставаясь ориентированными на предметную область, начали продавать свой продукт конечным пользователям и отделам, которые, хотя и косвенно, или частично совпадают, расширились, включив в него группы внутреннего корпоративного внутреннего аудита (CIA) и внешнего аудита (уровень 1 большая четверка И уровень два и ниже), информационная безопасность и операции / производство в качестве целевой аудитории. Такой подход обеспечивает более «открытую книгу» в процессе. Считается, что если производственная группа будет проверяться ЦРУ с использованием приложения, к которому производственная группа также имеет доступ, это снизит риск быстрее, поскольку конечная цель не в том, чтобы «соответствовать», а в том, чтобы быть «безопасным» или максимально безопасным.
Точечные решения GRC отмечены своей ориентацией на решение только одной из его областей. В некоторых случаях ограниченных требований эти решения могут служить жизнеспособной цели. Однако, поскольку они, как правило, были разработаны для глубокого решения проблем, специфичных для предметной области, они обычно не используют единый подход и не терпят требований интегрированного управления. Информационные системы будут лучше решать эти вопросы, если требования к управлению GRC будут включены на стадии проектирования как часть согласованной структуры. [10]
Хранилище данных GRC и бизнес-аналитика
Поставщики GRC с интегрированной структурой данных теперь могут предлагать специализированные хранилища данных GRC и решения для бизнес-аналитики. Это позволяет сопоставлять и анализировать ценные данные из любого количества существующих приложений GRC.
Агрегирование данных GRC с использованием этого подхода дает значительные преимущества в раннем выявлении рисков и улучшении бизнес-процессов (и управления бизнесом).
Дополнительные преимущества этого подхода включают в себя (i) он позволяет существующим, специализированным и ценным приложениям продолжать работу без каких-либо последствий (ii) организации могут упростить переход к интегрированному подходу GRC, поскольку первоначальное изменение только добавляет уровень отчетности и (iii) ) он предоставляет возможность в реальном времени сравнивать и сопоставлять значения данных в системах, в которых ранее не было общей схемы данных ».
GRC исследования
Обзор публикаций, проведенный в 2009 г. [ необходима цитата ], показал, что научных исследований по GRC практически не проводилось. Авторы вывели первое краткое определение GRC на основе обширного обзора литературы. Впоследствии это определение было подтверждено в ходе опроса профессионалов GRC. «GRC - это интегрированный, целостный подход к GRC в масштабах всей организации, гарантирующий, что организация действует этически корректно и в соответствии со своим аппетитом к риску, внутренней политикой и внешними правилами посредством согласования стратегии, процессов, технологий и людей, тем самым повышая эффективность и результативность. . " Затем авторы перевели определение в систему координат для исследования GRC.
Каждая из основных дисциплин - управление, управление рисками и комплаенс - состоит из четырех основных компонентов : стратегии, процессов, технологий и людей. Аппетит организации к риску , ее внутренняя политика и внешние правила составляют правила GRC. Дисциплины, их компоненты и правила теперь должны быть объединены интегрированным, целостным и общеорганизационным (три основные характеристики GRC) образом - в соответствии с (бизнес-операциями), которые управляются и поддерживаются через GRC. Применяя этот подход, организации стремятся достичь целей : этически корректное поведение и повышение эффективности и результативности любого из задействованных элементов. [11]
Смотрите также
Рекомендации
- ↑ Энтони Тарантино (25 февраля 2008 г.), Руководство, руководство, риски и соответствие , ISBN 978-0-470-09589-8
- ^ Дениз Ву Броуди; Холли А. Роланд (2008-04-25), «Азбука GRC» , SAP GRC для чайников , ISBN 978-0-470-33317-4
- ^ Сильвейра, П., Родригес, К., Бируку, А., Касати, Ф., Даниэль, Ф., Д'Андреа, В., Уорледж, К., Зухайр, Т. (2012), Содействие соблюдению нормативных требований в сфере услуг -На бизнес - процессы , IGI Global, стр. 524-548 , извлекаться 2013-04-06CS1 maint: несколько имен: список авторов ( ссылка )
- ^ Скотт Л. Митчелл (2007-10-01), «GRC360: структура, помогающая организациям добиваться принципиальных результатов», Международный журнал раскрытия информации и управления , 4 (4): 279–296, doi : 10.1057 / palgrave.jdg.2050066 , ISSN 1741-3591
- ^ OCEG (2004), "Модель возможностей GRC" Скотт Л. Митчелл, OCEG (2004-01-01), Модель возможностей GRC (бесплатный открытый исходный код)
- ↑ Курт Ф. Рединг, Пол Дж. Собел, Уртон Л. Андерсон, Майкл Дж. Хед, Шридхар Рамамурти, Марк Саламасик, Крис Риддл (2013), «Внутренний аудит: Гарантии и консультационные услуги»
- ^ OCEG (2004), "Модель возможностей GRC" Скотт Л. Митчелл, OCEG (2004-01-01), Модель возможностей GRC (бесплатный открытый исходный код)
- ^ Terminus Systems (2018), "GRC" Нет в списке, Terminus Systems (01.01.2018), GRC {Free Open Source}
- ^ Ламм, Блаунт и др. (28 декабря 2009 г.), « Под контролем: управление в масштабах всего предприятия» , ISBN 978-1430215929CS1 maint: несколько имен: список авторов ( ссылка )
- ^ Бонацци Р., Хусами Л. и Пиньер Ю. (2009), «Управление соответствием становится серьезной проблемой в дизайне информационных систем » (PDF) , в Д'атри, Алессандро; Сакка, Доменико (ред.), Информационные системы: люди, организации, учреждения и технологии , Springer, стр. 391–398, DOI : 10.1007 / 978-3-7908-2148-2 , ISBN 978-3-7908-2147-5, заархивировано из оригинального (PDF) 12 марта 2012 г. , получено 06 апреля 2013 г.CS1 maint: несколько имен: список авторов ( ссылка )
- ^ Racz, N., Weippl, E. & Seufert, A. (2010), Bart De Decker; Ингрид Шаумюллер-Бихл (ред.), Система отсчета для исследования интегрированного GRC , безопасности коммуникаций и мультимедиа, 11-я Международная конференция IFIP TC 6 / TC 11, Материалы CMS 2010, Берлин: Springer, стр. 106–117, ISBN 978-3-642-13240-7CS1 maint: несколько имен: список авторов ( ссылка )