Системы GRC: от концепции к интеграции

Системы GRC: от концепции к интеграции

Системы GRC (Governance, Risk and Compliance) как тренд последних лет часто являются темой для публикаций, в том числе на русском языке. Тем не менее, описания неисчерпаемых возможностей конфигурирования и уникальности каждого внедрения этой технологии часто оставляют противоречивое впечатление.  Попробуем пойти от обратного и рассказать подробнее о реальных преимуществах от внедрения GRC, которыми уже готовы поделиться зрелые, прогрессивные компании.

 

 

1. Концепция

2. Инструменты       

3. Результаты внедрения

 

 

Концепция

«Кто владеет информацией, тот владеет миром». В эпоху высоких технологий и глобального информационного обмена эта фраза актуальна, как никогда раньше.  Информация хранит в себе не только конкурентные преимущества и выгоды для бизнеса, но и риски, связанные с ее потерей или неверной интерпретацией. Помимо этого, накапливаемое годами огромное количество данных создает проблему эффективного управления массивом разрозненной информации. Да и бизнес-среда требует от участников рынка повышения эффективности бизнес-процессов, унификации и оптимизации контрольных процедур, а также четкого разграничения зон ответственности между структурными подразделениями.

Для того чтобы связать воедино информацию о стратегии развития, управлении бизнес-процессами и рисках, была сформирована концепция GRC. Она возникла около 15 лет назад и объединила в себе три основных компонента, по которым можно разложить деятельность практически любой компании: корпоративное управление (governance), управление рисками (risk) и соблюдение требований (compliance). Концепция GRC говорит о том, что эти компоненты тесно связаны между собой и находятся в постоянном взаимодействии. Другими словами, концепция GRC подразумевает ведение бизнеса, основанное на системности, проактивном и риск-ориентированном подходе. Это обеспечивает возможность получать необходимую и адекватную информацию в нужное время, позволяет ставить правильные цели и контролировать их достижение. Одно из наиболее полных определений GRC звучит следующим образом: «Интегрированный, целостный подход к организации корпоративного управления, управления рисками и соответствия требованиям, позволяющий убедиться в том, что компания действует этичным образом и в пределах своего риск-аппетита, в соответствии с внутренними политиками и внешними требованиями через взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, тем самым повышая эффективность и результативность деятельности».

 

Инструменты

Получается, что концепция GRC —  сложноорганизованная и всеобъемлющая структура, управление которой требует наличия специальных компетенций, определенного уровня зрелости бизнес-процессов и инструментов, которые позволят их автоматизировать и повысить эффективность.

Таким инструментом стали системы класса GRC.  Согласно подходу компании Gartner, весь рынок GRC-систем можно разделить на семь основных направлений. Каждый из семи сегментов рынка GRC содержит как специализированные узконаправленные платформы для решения задач в рамках конкретного направления, так и интегрированные системы, которые объединяют три и более сегментов. Направления включают в себя:

  • Управление аудитом (Audit Management) — класс решений, предназначенный для автоматизации операций внутреннего аудита, таких как планирование аудита, формирование графика проверок, управление рабочими бумагами, сроками работ, трудозатратами и отчетностью, а также работа с выявленными несоответствиями.
  • Планирование непрерывности бизнеса (Business Continuity Management Planning) — решения, предназначенные для автоматизации процессов оценки рисков непрерывности бизнеса, анализа влияния на бизнес (BIA), разработки планов по восстановлению деятельности компании.
  • Соответствие корпоративным требованиям (Corporate Compliance and Oversight) — решения, предназначенные для автоматизации процессов, связанных с выполнением корпоративных требований, необходимых для ведения бизнеса и контроля их выполнения. Например, это могут быть требования со стороны бизнес-партнеров или программ ведения ответственного бизнеса, принятых в компании.
  • Соответствие требованиям законодательства (Enterprise Legal Management). Данные решения позволяют автоматизировать процессы, связанные с выполнением законодательных требований и контролем их изменений.
  • Управление операционными рисками (Operational Risk Management) — класс решений, позволяющих автоматизировать процессы управления операционными рисками, агрегировать и нормализовать данные о рисковых событиях из различных источников (например, из операционных и финансовых систем), а также обогащать существующие данные из внешних источников.
  • Управление рисками, связанными с поставщиками ИТ-услуг/ИТ-систем (IT Vendor Risk Management). Такие решения позволяют организациям управлять рисками, связанными с третьими сторонами, в частности с поставщиками ИТ-оборудования или ИТ-услуг, а также внедрять контроли, необходимые для минимизации выявленных рисков.
  • Управление рисками ИТ (IT Risk Management) — решения, предназначенные для автоматизации оценки рисков ИТ, управления ИТ-политиками, оценки соответствия требованиям стандартов и лучших практик, автоматизации отчетности, анализа процессов информационной безопасности и управления инцидентами. 

 

Результаты внедрения

Отдельно хотелось бы отметить роль GRC-систем в интеграции процессов управления рисками информационной безопасности в единую общекорпоративную систему управления рисками и соответствием требованиям. В последние годы киберугрозы становятся одним из ключевых бизнес-рисков. В первую очередь это связано с тем, что значительно возросло количество кибератак, а вместе с этим возросли и потери компаний. Результаты исследований, проводимых компанией Gartner в 2016 году, показывают, что безопасность на основе оценки рисков входит в топ-10 главных технологий. Поэтому так важно уделять внимание внедрению риск-ориентированного подхода к обеспечению информационной безопасности.

Системы класса GRC дают возможность компаниям реализовать комплексный подход к концепции GRC, позволяя решать следующие задачи:

  • четко структурировать, автоматизировать и повышать эффективность бизнес-процессов;
  • обеспечивать централизованное хранение и доступ к информации;
  • формировать детальную и агрегированную отчетность;
  • управлять правами доступа пользователей;
  • автоматизировать расчетные модели;
  • снижать затраты на поддержание бизнес-процессов.

GRC-системы, нацеленные на автоматизацию и повышение эффективности сразу нескольких бизнес-процессов или направлений деятельности компании, принято называть интегрированными. Внедрение интегрированных GRC-систем — довольно трудоемкий и длительный процесс, однако, как показывают результаты исследований, проводимых некоммерческой организацией OCEG в 2012 и 2015 годах, более чем в 70% случаев результаты, полученные от внедрения GRC-систем, полностью соответствуют ожиданиям бизнес-заказчика, а в некоторых случаях даже превышают их.

 

Рисунок 1. Результаты внедрения GRC-систем

Результаты внедрения GRC-систем 

 

Согласно данным исследований (OCEG GRC MATURITY SURVEY 2015 и OCEG GRC MATURITY SURVEY 2012), наиболее значимыми результатами от внедрения интегрированных GRC систем стали снижение количества выявленных недостатков в процессах управления рисками и соответствием, а также сокращение избыточных и дублирующих функций. На рисунке 2 представлены топ-7 индикаторов повышения эффективности от внедрения интегрированных GRC-систем.

В 2015 году некоторые индикаторы эффективности показали значительное усиление своих позиций. Показатель «сокращение избыточных или дублирующих функций» вырос на 20%, а показатели «повышение эффективности доступа к информации» и «повышение эффективности предоставления информации руководству» на 18%.

Если посмотреть на картину в целом, то явно заметна положительная динамика, то есть в 2015 году большее число компаний посчитало внедрение интегрированных GRC-систем эффективным по 6 показателям из 7, по отношению к 2012 году.

 

Рисунок 2. Топ-7 индикаторов повышения эффективности от внедрения GRC-систем

Топ-7 индикаторов повышения эффективности от внедрения GRC-систем 

 

Разумеется, внедрение интегрированных GRC-систем — непростая задача, требующая от компаний определенного уровня зрелости бизнес-процессов, устоявшихся подходов к управлению рисками, понимания применимых требований, как со стороны законодательства, так и со стороны бизнеса. Поэтому зачастую внедрение интегрированных GRC-систем становится выбором высокотехнологичных и прогрессивных компаний, которые стремятся трансформировать накопленную информацию в конкурентные преимущества для бизнеса и эффективно ими управлять.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru