Войти
Управление, управление рисками и соответствие (GRC ) - термин, охватывающий подход организации к этим трем практикам. s: Управление, управление рисками и соответствие. Первое научное исследование GRC было опубликовано в 2007 году, где GRC был формально определен как «интегрированный набор возможностей, которые позволяют организации надежно достигать целей, устранять неопределенность и действовать честно». В исследовании говорится об общих действиях «держать компанию в нужном русле», проводимых в таких отделах, как внутренний аудит, комплаенс, управление рисками, юриспруденция, финансы, ИТ, HR, а также в подразделениях, исполнительном аппарате и самом совете директоров.
Руководство, управление рисками и соблюдение требований - три взаимосвязанных аспекта, которые призваны гарантировать, что организация надежно достигает целей, устраняет неопределенность и действует добросовестно. Управление - это комбинация процессов, установленных и выполняемых директорами (или советом директоров), которые отражены в структуре организации и в том, как ею управляют и ведут к достижению целей. Управление рисками - это прогнозирование и управление рисками, которые могут помешать организации надежно достичь своих целей в условиях неопределенности. Под соответствием понимается соблюдение установленных границ (законы и нормативные акты) и добровольных границ (политики, процедуры компании и т. Д.).
GRC - это дисциплина, направленная на синхронизацию информации и действий в рамках корпоративного управления, а также соблюдение требований в целях чтобы работать более эффективно, обеспечивать эффективный обмен информацией, более эффективно сообщать о деятельности и избегать ненужного дублирования. Несмотря на то, что в разных организациях интерпретируется по-разному, GRC обычно включает в себя такие виды деятельности, как корпоративное управление, управление рисками предприятия (ERM) и корпоративное соблюдение применимых законов и нормативных актов.
Организации достигают размера, при котором для эффективной работы требуется скоординированный контроль над деятельностью GRC. Каждая из этих трех дисциплин создает информацию, имеющую ценность для двух других, и все три влияют на одни и те же технологии, людей, процессы и информацию.
Существенное дублирование задач возникает, когда корпоративное управление, управление рисками и комплаенс управляются независимо. Перекрывающиеся и повторяющиеся действия GRC негативно влияют как на операционные расходы, так и на матрицы GRC. Например, каждая внутренняя служба может ежегодно проверяться и оцениваться несколькими группами, что приводит к огромным затратам и разрозненным результатам. Отключенный подход GRC также не позволит организации предоставлять исполнительные отчеты GRC в реальном времени. GRC предполагает, что при таком подходе, как и в случае плохо спланированной транспортной системы, будет работать каждый отдельный маршрут, но сети не хватит качеств, которые позволят им эффективно работать вместе.
Если не интегрировать, если использовать традиционный " «разрозненный» подход, большинство организаций должны поддерживать неуправляемое количество требований, связанных с GRC, из-за изменений в технологии, увеличения объема хранения данных, глобализации рынка и ужесточения регулирования.
Программа GRC может быть учреждена, чтобы сосредоточить внимание на любой отдельной области в рамках предприятия или полностью интегрированный GRC может работать во всех сферах предприятия, используя единую структуру.
Полностью интегрированный GRC использует единый основной набор контрольных материалов, сопоставленный со всеми основными контролируемыми факторами корпоративного управления. Использование единой структуры также снижает вероятность дублирования корректирующих действий.
При рассмотрении как отдельных областей GRC тремя наиболее распространенными отдельными заголовками считаются финансовая GRC, IT GRC и Legal GRC.
Аналитики расходятся во мнениях относительно того, как эти аспекты GRC определяются как рыночные категории. Gartner заявила, что широкий рынок GRC включает следующие области:
Они также разделите рынок управления IT GRC на эти ключевые возможности. Хотя этот список относится к IT GRC, аналогичный список возможностей подойдет и для других областей GRC.
Различия между вспомогательными -сегменты широкого рынка стеклопластика часто неясны. В связи с тем, что на этот рынок недавно вышло большое количество поставщиков, определение лучшего продукта для данной бизнес-задачи может оказаться сложной задачей. Учитывая, что аналитики не полностью согласны с сегментацией рынка, позиционирование поставщика может увеличить путаницу.
Из-за динамичного характера этого рынка любой анализ поставщиков часто устаревает относительно вскоре после его публикации.
В общих чертах рынок поставщиков можно разделить на 3 сегмента:
Интегрированные решения GRC пытаются объединить управление этими областями, а не рассматривать их как отдельные объекты. Интегрированное решение способно администрировать одну центральную библиотеку средств контроля соответствия, но управлять, отслеживать и представлять их с учетом всех факторов управления. Например, в подходе, специфичном для предметной области, можно получить три или более результатов по одному нарушенному действию. Интегрированное решение распознает это как одно нарушение, связанное с отображенными факторами управления.
Поставщики GRC для конкретных областей понимают циклическую связь между корпоративным управлением, рисками и соответствием в конкретной области управления. Например, в финансовой обработке - риск будет связан либо с отсутствием контроля (необходимость обновления корпоративного управления), либо с несоблюдением (или плохим качеством) существующего контроля. Первоначальная цель выделения GRC на отдельный рынок оставила некоторых поставщиков в замешательстве по поводу отсутствия движения. Считается, что отсутствие глубокого образования в области аудита в сочетании с недоверием к аудиту в целом вызывает раскол в корпоративной среде. Тем не менее, на рынке есть поставщики, которые, оставаясь ориентированными на предметную область, начали продавать свой продукт конечным пользователям и отделам, которые, хотя и косвенно, или частично совпадают, расширились за счет включения внутреннего корпоративного внутреннего аудита (CIA) и групп внешнего аудита. (уровень 1 большая четверка И уровень два и ниже), информационная безопасность и операции / производство в качестве целевой аудитории. Такой подход обеспечивает более «открытую книгу» в процессе. Считается, что если производственная группа будет проверяться ЦРУ с использованием приложения, к которому производственная группа также имеет доступ, это снизит риск быстрее, поскольку конечной целью является не «соответствие», а «безопасность» или максимальная безопасность.
Точечные решения GRC отмечены своей ориентацией на решение только одной из его областей. В некоторых случаях ограниченных требований эти решения могут быть полезны. Однако, поскольку они, как правило, были разработаны для глубокого решения проблем, специфичных для предметной области, они обычно не используют единый подход и не терпят требований интегрированного управления. Информационные системы будут решать эти вопросы лучше, если требования к управлению GRC будут учтены на стадии проектирования как часть согласованной структуры.
Поставщики GRC с интегрированной структурой данных теперь могут предлагать специализированные хранилища данных GRC и решения для бизнес-аналитики. Это позволяет сопоставлять и анализировать ценные данные из любого количества существующих приложений GRC.
Агрегирование данных GRC с использованием этого подхода дает значительные преимущества в раннем выявлении рисков и улучшении бизнес-процессов (и управления бизнесом).
Дополнительные преимущества этого подхода включают: (i) он позволяет существующим, специализированным и ценным приложениям продолжать работу без последствий; (ii) организации могут упростить переход к интегрированному подходу GRC, поскольку первоначальное изменение только добавляет уровень отчетности и (iii) он обеспечивает возможность в реальном времени сравнивать и сопоставлять значения данных в системах, в которых ранее не было общей схемы данных ».
Обзор публикаций, проведенный в 2009 году, показал, что научных исследований по GRC практически не проводилось. Авторы вывели первое краткое определение GRC на основе обширного обзора литературы. Впоследствии это определение было подтверждено в опросе профессионалов GRC. «GRC - это интегрированный, целостный подход к GRC в масштабах всей организации, гарантирующий, что организация действует этически корректно и в соответствии со своим аппетитом к риску, внутренней политикой и внешними правилами посредством согласования стратегии, процессов, технологий и людей, тем самым повышая эффективность и результативность.. " Затем авторы перевели определение в систему координат для исследования GRC.
Каждая из основных дисциплин - управление, управление рисками и комплаенс - состоит из четырех основных компонентов: стратегии, процессов, технологий и людей. склонность к риску организации, ее внутренняя политика и внешние правила составляют правила GRC. Дисциплины, их компоненты и правила теперь должны быть объединены интегрированным, целостным и общеорганизационным (три основные характеристики GRC) способом - в соответствии с (бизнес-операциями), которые управляются и поддерживаются через GRC. Применяя этот подход, организации стремятся достичь целей: этически корректное поведение и повышение эффективности и результативности любого из задействованных элементов.
