Управление, управление рисками и соблюдение требований

Управление, управление рисками и соблюдение требований ( GRC ) — это термин, охватывающий подход организации к трем практикам: управление , управление рисками и соблюдение требований . ^[1]^[2]^[3]^[4]

Первое научное исследование GRC было опубликовано в 2007 году. ^[5] где GRC был формально определен как «интегрированный набор возможностей, которые позволяют организации надежно достигать целей, устранять неопределенность и действовать добросовестно». Исследование касалось общих мероприятий по поддержанию компании в правильном направлении, проводимых в таких отделах, как внутренний аудит, соблюдение требований, управление рисками, юридический, финансовый, ИТ, HR, а также в подразделениях бизнеса, исполнительном аппарате и самом совете директоров.

Обзор

Управление, управление рисками и соблюдение требований — это три взаимосвязанных аспекта, целью которых является обеспечение того, чтобы организация надежно достигала целей, устраняла неопределенность и действовала добросовестно. ^[6] Управление — это совокупность процессов, установленных и выполняемых директорами (или советом директоров), которые отражены в структуре организации, а также в том, как ею управляют и ведут к достижению целей. Управление рисками – это прогнозирование и управление рисками, которые могут помешать организации надежно достичь своих целей в условиях неопределенности. Соответствие означает соблюдение обязательных границ (законов и правил) и добровольных границ (политик, процедур и т. д. компании). ^[7]^[8]

GRC — это дисциплина, целью которой является синхронизация информации и деятельности в рамках управления и соблюдения требований, чтобы работать более эффективно, обеспечивать эффективный обмен информацией, более эффективно сообщать о деятельности и избегать ненужного дублирования. Несмотря на то, что в различных организациях GRC интерпретируется по-разному, он обычно включает в себя такие виды деятельности, как корпоративное управление , управление рисками предприятия (ERM) и корпоративное соблюдение применимых законов и правил.

Организации достигают размеров, когда для эффективной работы требуется скоординированный контроль над деятельностью GRC. Каждая из этих трех дисциплин создает информацию, ценную для двух других, и все три влияют на одни и те же технологии, людей, процессы и информацию.

Существенное дублирование задач возникает, когда управление, управление рисками и соблюдение требований осуществляются независимо. Перекрытие и дублирование действий GRC негативно влияют как на эксплуатационные расходы, так и на матрицы GRC. Например, каждая внутренняя служба может ежегодно проверяться и оцениваться несколькими группами, что приводит к огромным затратам и разрозненным результатам. Подход с отключением GRC также не позволит организации предоставлять исполнительные отчеты GRC в режиме реального времени. GRC предполагает, что при таком подходе, как и при плохо спланированной транспортной системе, каждый отдельный маршрут будет работать, но сети не хватит качеств, позволяющих им эффективно работать вместе. ^[9]

Если их не интегрировать и использовать традиционный «разрозненный» подход, большинству организаций придется поддерживать неуправляемое количество требований, связанных с GRC, из-за изменений в технологиях, увеличения объема хранения данных, глобализации рынка и усиления регулирования.

темы GRC

Основные понятия

Управление описывает общий подход к управлению, посредством которого старшие руководители управляют и контролируют всю организацию, используя комбинацию управленческой информации и иерархических структур управленческого контроля. Деятельность по управлению гарантирует, что критически важная управленческая информация, поступающая к исполнительному руководству, является достаточно полной, точной и своевременной, чтобы обеспечить принятие соответствующих управленческих решений, а также обеспечивает механизмы контроля, гарантирующие, что стратегии, указания и инструкции руководства выполняются систематически и эффективно. ^[10]
Управление рисками — это набор процессов, посредством которых руководство выявляет, анализирует и, при необходимости, соответствующим образом реагирует на риски, которые могут отрицательно повлиять на реализацию бизнес-целей организации. Реакция на риски обычно зависит от их воспринимаемой серьезности и включает контроль, избегание, принятие или передачу их третьей стороне, тогда как организации обычно управляют широким спектром рисков (например, технологическими рисками, коммерческими/ финансовыми рисками , информационной безопасности рисками и т. д.). ).
Соответствие означает соответствие заявленным требованиям. На организационном уровне это достигается посредством процессов управления, которые определяют применимые требования (определенные, например, в законах, нормативных актах, контрактах, стратегиях и политиках), оценивают состояние соответствия, оценивают риски и потенциальные издержки несоблюдения требований. прогнозируемые расходы на достижение соответствия и, следовательно, определение приоритетов, финансирование и инициирование любых корректирующих действий, которые будут сочтены необходимыми. Администрирование соответствия означает административную деятельность по поддержанию актуальности всех документов по обеспечению соответствия, поддержанию актуальности средств контроля рисков и составлению отчетов о соответствии. Осведомленность об обязательствах означает способность организации осознавать все свои обязательные и добровольные обязательства, а именно соответствующие законы, нормативные требования, отраслевые кодексы и организационные стандарты, а также стандарты надлежащего управления, общепринятые передовые практики, этику и ожидания сообщества. Эти обязательства могут быть финансовыми, стратегическими или операционными, когда операционная деятельность включает в себя такие разнообразные области, как безопасность имущества, безопасность продукции, безопасность пищевых продуктов, гигиена и безопасность на рабочем месте, обслуживание активов и т. д.

Сегментация рынка GRC

Программа GRC может быть направлена на любую отдельную область внутри предприятия, или полностью интегрированная программа GRC может работать во всех областях предприятия, используя единую структуру.

Полностью интегрированный GRC использует единый базовый набор контрольных материалов, сопоставленный со всеми отслеживаемыми основными факторами управления. Использование единой системы также имеет преимущество, заключающееся в уменьшении возможности дублирования мер по исправлению ситуации.

При рассмотрении отдельных областей GRC наиболее распространенными отдельными заголовками считаются Финансовый GRC, Операционный GRC, WHS GRC, IT GRC и Юридический GRC .

Финансовый GRC относится к деятельности, направленной на обеспечение правильного функционирования всех финансовых процессов, а также соблюдения любых финансовых мандатов.
Операционный GRC относится ко всей операционной деятельности, такой как безопасность имущества, безопасность продукции, безопасность пищевых продуктов, здоровье и безопасность на рабочем месте, обслуживание активов в соответствии с требованиями ИТ и т. д.
WHS GRC, подмножество Operational GRC, относится ко всей деятельности по охране труда и технике безопасности на рабочем месте.
IT GRC, подмножество Operational GRC, относится к деятельности, направленной на обеспечение того, чтобы организация ИТ ( информационные технологии ) поддерживала текущие и будущие потребности бизнеса и соблюдала все мандаты, связанные с ИТ.
Legal GRC фокусируется на объединении всех трех компонентов через юридический отдел организации и директора по соблюдению нормативных требований . Однако это может ввести в заблуждение, поскольку ISO 37301 относится к обязательным и добровольным обязательствам, а акцент на юридических GRC может привести к предвзятости.

Однако AICD (Австралийский институт директоров компаний ) разделяет риски на три супергруппы.

Финансовый риск
Операционный риск
Стратегический риск

Аналитики расходятся во мнениях относительно того, как эти аспекты GRC определяются как рыночные категории. Gartner заявила, что широкий рынок GRC включает в себя следующие области:

Финансы и аудит GRC
ИТ-менеджмент GRC
Управление рисками предприятия.

Они далее делят рынок управления ИТ GRC на эти ключевые возможности.

Библиотека элементов управления и политик
Распространение политики и реагирование
ИТ-контроль контролирует самооценку и измерение
Репозиторий ИТ-активов
Сборник автоматизированного общекомпьютерного управления (ОСУ)
Исправление и управление исключениями
Отчетность
Расширенные панели оценки ИТ-рисков и соответствия требованиям

Поставщики продукции GRC

Различия между подсегментами широкого рынка GRC часто не ясны. Поскольку в последнее время на этот рынок выходит большое количество поставщиков, определить лучший продукт для конкретной бизнес-задачи может быть непросто. Учитывая, что аналитики не до конца согласны с сегментацией рынка, позиционирование поставщиков может усилить путаницу.

Из-за динамичного характера этого рынка любой анализ поставщиков часто устаревает вскоре после его публикации.

В целом рынок поставщиков можно разделить на три сегмента:

Интегрированные решения GRC (интересы нескольких государственных органов, в масштабах всего предприятия)
Решения GRC для конкретной области (единый интерес управления, в масштабе всего предприятия)
Точечные решения для GRC (относятся к общекорпоративному управлению, общекорпоративным рискам или общекорпоративному обеспечению соответствия, но не вместе).

Интегрированные решения GRC пытаются унифицировать управление этими областями, а не рассматривать их как отдельные объекты. Интегрированное решение способно администрировать одну центральную библиотеку средств контроля соответствия, а также управлять, отслеживать и представлять их с учетом каждого фактора управления. Например, при подходе, специфичном для предметной области, по одному нарушенному действию можно получить три или более результатов. Интегрированное решение распознает это как один из прорывов в сопоставлении факторов управления.

Поставщики GRC для конкретных областей понимают циклическую связь между управлением, рисками и соблюдением требований в конкретной области управления. Например, в рамках финансовой обработки риск будет связан либо с отсутствием контроля (необходимостью обновления управления), либо с несоблюдением (или низким качеством) существующего контроля. Первоначальная цель по выделению GRC на отдельный рынок привела некоторых поставщиков в замешательство из-за отсутствия движения. Считается, что отсутствие глубокого образования в области аудита в сочетании с недоверием к аудиту в целом вызывает раскол в корпоративной среде. Тем не менее, на рынке есть поставщики, которые, оставаясь ориентированными на предметную область, начали продавать свой продукт конечным пользователям и отделам, которые, хотя и косвенно, либо частично дублируя друг друга, расширились, включив в себя группы внутреннего корпоративного внутреннего аудита (CIA) и группы внешнего аудита. (уровень 1, большая четверка И второй уровень и ниже), информационная безопасность и операции/производство в качестве целевой аудитории. Этот подход обеспечивает более «открытый подход» к процессу. Считается, что если производственная группа будет проверяться ЦРУ с использованием приложения, к которому производство также имеет доступ, это, как полагают, снизит риск быстрее, поскольку конечная цель состоит не в том, чтобы быть «соответствующим», а в том, чтобы быть «безопасным» или максимально безопасным. Вы также можете попробовать различные инструменты GRC, доступные на рынке, которые основаны на автоматизации и могут снизить вашу рабочую нагрузку.

Точечные решения GRC характеризуются сосредоточением внимания только на одной из его областей. В некоторых случаях ограниченных требований эти решения могут служить жизнеспособной цели. Однако, поскольку они, как правило, разрабатываются для более глубокого решения конкретных проблем предметной области, они, как правило, не используют унифицированный подход и нетерпимы к требованиям интегрированного управления. Информационные системы будут лучше решать эти вопросы, если требования к управлению GRC будут включены на этапе проектирования как часть целостной структуры. ^[11]

Хранилище данных GRC и бизнес-аналитика

Поставщики GRC с интегрированной платформой данных теперь могут предлагать специально созданные решения для хранилищ данных GRC и бизнес-аналитики. Это позволяет сопоставлять и анализировать ценные данные из любого количества существующих приложений GRC.

Агрегирование данных GRC с использованием этого подхода дает значительные преимущества в раннем выявлении рисков и улучшении бизнес-процессов (и контроля бизнеса).

Дополнительные преимущества этого подхода включают в себя: (i) он позволяет существующим, специализированным и ценным приложениям продолжать работу без каких-либо последствий (ii) организации могут упростить переход к интегрированному подходу GRC, поскольку первоначальные изменения лишь добавляют к уровню отчетности и (iii) ) он обеспечивает возможность в режиме реального времени сравнивать и сопоставлять значения данных в системах, которые ранее не имели общей схемы данных».

исследование GRC

Каждая из основных дисциплин – управление, управление рисками и соблюдение требований – состоит из четырех основных компонентов : стратегия, процессы, технологии и люди. организации Склонность к риску , ее внутренняя политика и внешние правила составляют правила GRC. Дисциплины, их компоненты и правила теперь должны быть объединены интегрированным, целостным и общеорганизационным образом (три основные характеристики GRC) – в соответствии с (бизнес) операциями, которые управляются и поддерживаются через GRC. Применяя этот подход, организации стремятся достичь целей : этически корректного поведения и повышения эффективности и результативности любого из задействованных элементов. ^[12]

См. также

Оценка соответствия
Управление информацией
Системы управления соответствием ISO 37301:2021 (ранее ISO 19600 )
ISO 31000:2018 Управление рисками
ISO 41001:2018 Управление объектами. Системы менеджмента
Правовое управление, управление рисками и соблюдение требований
Управление записями
Соответствие нормативным требованиям

Ссылки

^ Энтони Тарантино (25 февраля 2008 г.), Справочник по управлению, рискам и соблюдению требований , ISBN 978-0-470-09589-8
^ Дениз Ву Броуди; Холли А. Роланд (25 апреля 2008 г.), «Азбука GRC» , SAP GRC для чайников , ISBN 978-0-470-33317-4
^ Сильвейра, П., Родригес, К., Бируку, А., Казати, Ф., Дэниел, Ф., Д'Андреа, В., Уорледж и К., Зухаир, Т. (2012), «Содействие управлению соблюдением требований в Бизнес-процессы на основе сервисов» , Справочник по исследованиям сервис-ориентированных систем и нефункциональных свойств (PDF) , IGI Global, стр. 524–548, doi : 10.4018/978-1-61350-432-1.ch022 , ISBN 9781613504321 , получено 6 апреля 2013 г. {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Скотт Л. Митчелл (01 октября 2007 г.), «GRC360: Система, помогающая организациям добиться принципиальной эффективности», Международный журнал раскрытия информации и управления , 4 (4): 279–296, doi : 10.1057/palgrave.jdg.2050066 , ISSN 1741-3591 , S2CID 154869217
^ Скотт Л. Митчелл (01 октября 2007 г.), «GRC360: Система, помогающая организациям добиться принципиальной эффективности», Международный журнал раскрытия информации и управления , 4 (4): 279–296, doi : 10.1057/palgrave.jdg.2050066 , ISSN 1741-3591 , S2CID 154869217
^ OCEG (2004), «Модель возможностей GRC» Скотт Л. Митчелл, OCEG (01 января 2004 г.), Модель возможностей GRC (бесплатный открытый исходный код)
^ Курт Ф. Рединг, Пол Дж. Собел, Уртон Л. Андерсон, Майкл Дж. Хед, Шридхар Рамамурти, Марк Саламасик, Крис Риддл (2013), «Внутренний аудит: гарантии и консультационные услуги»
^ OCEG (2004), «Модель возможностей GRC» Скотт Л. Митчелл, OCEG (01 января 2004 г.), Модель возможностей GRC (бесплатный открытый исходный код)
^ Terminus Systems (2018), «GRC» Не в списке, Terminus Systems (01 января 2018 г.), GRC {Бесплатно с открытым исходным кодом}
^ Ламм, Блаунт и др. (28 декабря 2009 г.), «Под контролем: управление на предприятии» , ISBN 978-1430215929 {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Бонацци Р., Хуссами Л. и Пиньёр Ю. (2009), «Управление соблюдением требований становится основной проблемой при проектировании ИС» (PDF) , в Д'атри, Алессандро; Сакка, Доменико (ред.), Информационные системы: люди, организации, институты и технологии , Springer, стр. 391–398, doi : 10.1007/978-3-7908-2148-2 , ISBN 978-3-7908-2147-5 , заархивировано из оригинала (PDF) 12 марта 2012 г. , получено 6 апреля 2013 г. {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Рац Н., Вейппль Э. и Зойферт А. (2010), Барт Де Декер; Ингрид Шаумюллер-Бихл (ред.), Система координат для исследования интегрированного GRC , vol. Коммуникационная и мультимедийная безопасность, 11-я Международная конференция IFIP TC 6/TC 11, CMS 2010 Proceedings, Берлин: Springer, стр. 106–117, ISBN 978-3-642-13240-7 {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )

[1] Энтони Тарантино (25 февраля 2008 г.), Справочник по управлению, рискам и соблюдению требований , ISBN 978-0-470-09589-8

[2] Дениз Ву Броуди; Холли А. Роланд (25 апреля 2008 г.), «Азбука GRC» , SAP GRC для чайников , ISBN 978-0-470-33317-4

[3] Сильвейра, П., Родригес, К., Бируку, А., Казати, Ф., Дэниел, Ф., Д'Андреа, В., Уорледж и К., Зухаир, Т. (2012), «Содействие управлению соблюдением требований в Бизнес-процессы на основе сервисов» , Справочник по исследованиям сервис-ориентированных систем и нефункциональных свойств (PDF) , IGI Global, стр. 524–548, doi : 10.4018/978-1-61350-432-1.ch022 , ISBN 9781613504321 , получено 6 апреля 2013 г. {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )

[4] Скотт Л. Митчелл (01 октября 2007 г.), «GRC360: Система, помогающая организациям добиться принципиальной эффективности», Международный журнал раскрытия информации и управления , 4 (4): 279–296, doi : 10.1057/palgrave.jdg.2050066 , ISSN 1741-3591 , S2CID 154869217

[5] Скотт Л. Митчелл (01 октября 2007 г.), «GRC360: Система, помогающая организациям добиться принципиальной эффективности», Международный журнал раскрытия информации и управления , 4 (4): 279–296, doi : 10.1057/palgrave.jdg.2050066 , ISSN 1741-3591 , S2CID 154869217

[6] OCEG (2004), «Модель возможностей GRC» Скотт Л. Митчелл, OCEG (01 января 2004 г.), Модель возможностей GRC (бесплатный открытый исходный код)

[7] Курт Ф. Рединг, Пол Дж. Собел, Уртон Л. Андерсон, Майкл Дж. Хед, Шридхар Рамамурти, Марк Саламасик, Крис Риддл (2013), «Внутренний аудит: гарантии и консультационные услуги»

[8] OCEG (2004), «Модель возможностей GRC» Скотт Л. Митчелл, OCEG (01 января 2004 г.), Модель возможностей GRC (бесплатный открытый исходный код)

[9] Terminus Systems (2018), «GRC» Не в списке, Terminus Systems (01 января 2018 г.), GRC {Бесплатно с открытым исходным кодом}

[10] Ламм, Блаунт и др. (28 декабря 2009 г.), «Под контролем: управление на предприятии» , ISBN 978-1430215929 {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )

[11] Бонацци Р., Хуссами Л. и Пиньёр Ю. (2009), «Управление соблюдением требований становится основной проблемой при проектировании ИС» (PDF) , в Д'атри, Алессандро; Сакка, Доменико (ред.), Информационные системы: люди, организации, институты и технологии , Springer, стр. 391–398, doi : 10.1007/978-3-7908-2148-2 , ISBN 978-3-7908-2147-5 , заархивировано из оригинала (PDF) 12 марта 2012 г. , получено 6 апреля 2013 г. {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )

[12] Рац Н., Вейппль Э. и Зойферт А. (2010), Барт Де Декер; Ингрид Шаумюллер-Бихл (ред.), Система координат для исследования интегрированного GRC , vol. Коммуникационная и мультимедийная безопасность, 11-я Международная конференция IFIP TC 6/TC 11, CMS 2010 Proceedings, Берлин: Springer, стр. 106–117, ISBN 978-3-642-13240-7 {{citation}}: CS1 maint: несколько имен: список авторов ( ссылка )

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]