Как обосновать внедрение GRC системы?

Роль современного риск-менеджера в организации предельно ясна: на нем лежит задача максимально заполнить пробелы между инициативами на стратегическом уровне и операционными рисками, появляющимися на уровне деятельности организации, при реализации подобных инициатив.

Для осуществления данной цели, многие организации внедряют риск-ориентированные GRC программы, с одной стороны — по требованию руководства, с другой – для того чтобы соответствовать регулятивным нормам госорганов. Для сбора и учета информации со всех департаментов и уровней организации существует множество программ, которые консолидируют информацию из распределенных электронных таблиц и общих файловых хранилищ. Сегодняшние GRC технологии гарантированно способны добиться гораздо более весомого результата, нежели обычные электронные таблицы.

GRC-системы на основе риск-ориентированного подхода способны связать информацию, полученную из различных отделов и уровней организации, с целью выявить возможные отклонения или «дыры» в деятельности компании, способные повлечь за собой катастрофические сбои. Другими словами, подобные системы помогают вам быть готовым к неприятным сюрпризам.

Без риск-ориентированных GRC-технологий риск-менеджеру проблематично собрать полную необходимую информацию, связать ее с деятельностью всех департаментов, после чего еще преобразовать в информативный отчет, запрашиваемый директорами или регуляторами. И, наконец, не стоит надеяться на то, что все эти шаги будут сделаны до того, как информация перестанет быть актуальной.

Можете ли вы представить, что как правило до 62% времени риск-менеджеры тратят только на оперативные действия или, проще говоря, разного рода «текучку»? Из 40 часов в неделю, более 24 часов тратится на манипуляции с электронными таблицами, сбор данных и формирование отчетов! Как специалисты могут заниматься стратегическим планированием, если они больше половины своего времени пытаются выяснить, какими рисками должны управлять?

Если перед вами встал вопрос обоснования внедрения GRC-решения в вашей компании, то далее вы найдете ряд аргументов, которые помогут вам сформировать бизнес-кейс для внедрения GRC-решения:

Работа с распределенными электронными таблицами и общими файловыми хранилищами в большинстве случаев приводит к потере в стандартизации и унификации, которые требуются для расчета рисков в масштабе предприятия. В случае, когда каждый отдел использует собственные электронные таблицы, методы оценки, и собственный «язык риска», руководство организации получает ограниченное представление о возможных угрозах и об эффективности мер по обработке рисков. Использование механизмов оценки рисков в общей GRC-системе снимает данную проблему и позволяет увидеть единую картину рисков.

GRC-системы как правило адаптируемы и позволяют программе рисков изменяться вместе с целями и приоритетами компании. Когда организации определяют и документируют динамические связи между ключевыми элементами и активами в единой базе, они способны создать значительно более надежную и ценную программу по управлению рисками, которая непрерывно эволюционирует совместно с основополагающими целями и задачами организации.

Система может оперативно создавать все необходимые отчеты, опираясь на наиболее свежие данные. Возможности отчетности внутри ПО прежде всего снижают вероятность ошибок в важных отчетах из-за ошибок внутри таблиц. Кроме того, использование GRC-решения устраняет сложность и путаницу в процессах отчетности. Наиболее продвинутые решения предлагают передовые механизмы анализа данных, которые помогают конструировать собственные отчеты и сохранять их на интерактивных дашбордах, которые далее могут быть продемонстрированы руководству.

Использование GRC-системы позволяет наладить совместную работу с отделами Аудита и контроля соответствия. Единая система обеспечивает возможность работы не только владельцам бизнес-процессов и риск-менеджерам, но и работникам отделов аудита – «третьему рубежу защиты» компании. Корпоративная GRC-система помогает компаниям соответствовать нормам законодательства, посредством наличия в базе данных требований нормативных и отраслевых документов, которые интегрируются в соответствующие процессы за счет GRC. Кроме того, соответствующие механизмы помогают сгруппировать результаты работы отделов риск-менеджмента, аудита, оценки соответствия в одном месте, ускоряя работу по решению проблем и избавляя от двойной работы

GRC-система обеспечивает достоверность данных, возможность сравнения их внутри базы данных и помогает навести порядок в общем объеме документов и информации. Последние исследования Гавайского Университета об использовании электронных таблиц, показали, что подавляющее большинство, 94% электронных таблиц содержат ошибки, и это в среднем, по одной ошибке в каждой двадцатой ячейке. Из-за отсутствия механизмов контроля в таблицах, очень часто, специалисты меняют какое-либо значение ячейки или формулу (даже по случайности) и забывают применить изменения в остальных важных Excel документах.

Стоит отметить, что зрелые GRC-разработчики, как правило, помимо самого продукта предоставляют расширенную поддержку и профессиональные услуги для того, чтобы ПО работало исправно, а также для разработки кастомизированных отчетов, внедрения новых возможностей в существующую среду и для предоставления дополнительной консультативной помощи. Консультант, в подобной ситуации, становится практически частью вашей команды и действует как любой другой сотрудник. Крайне малоэффективными способами консультирования в данном случае являются обычная техническая поддержка или же, напротив, дорогостоящие профессиональные консультационные услуги.

Поделиться записью:
Scroll Up