GRC
Governance, risk management and compliance (GRC) – termin ogólny obejmujący podejście organizacji w trzech obszarach: governance, risk management and compliance[1][2][3]. Pierwsze badania naukowe dotyczące GRC opublikowano w 2007 r.[4], gdzie GRC zostało formalnie zdefiniowane jako „zintegrowany zbiór zdolności, który umożliwia organizacji wiarygodne osiąganie celów, rozwiązywanie problemów związanych z niepewnością i działanie w sposób uczciwy”. Badanie dotyczyło wspólnych działań „utrzymania firmy na właściwym torze” prowadzonych w działach takich jak audyt wewnętrzny, zgodność, ryzyko, prawo, finanse, IT, HR, a także w działach biznesowych, w zarządzie i w samym zarządzie.
Przegląd
[edytuj | edytuj kod]Governance, risk management and compliance to trzy powiązane aspekty, które pomagają zapewnić, że organizacja rzetelnie osiąga cele, rozwiązuje problemy niepewności i działa w sposób uczciwy[5]. Ład korporacyjny to połączenie procesów ustanowionych i realizowanych przez dyrektorów (lub zarząd), które znajdują odzwierciedlenie w strukturze organizacji oraz w sposobie, w jaki jest ona zarządzana i kierowana w kierunku osiągania celów. Zarządzanie ryzykiem polega na przewidywaniu i zarządzaniu ryzykiem, które może utrudnić organizacji wiarygodne osiąganie celów w warunkach niepewności. Zgodność odnosi się do przestrzegania wyznaczonych granic (praw i przepisów) i granic dobrowolnych (polityki, procedur firmy itp.)[6][5].
GRC jest dyscypliną, która ma na celu synchronizację informacji i działań w całym systemie zarządzania, a także przestrzeganie przepisów, aby działać skuteczniej, umożliwiać skuteczną wymianę informacji, skuteczniejsze raportowanie działań i unikanie zbędnego powielania działań. Chociaż GRC jest różnie interpretowany w różnych organizacjach, zazwyczaj obejmuje działania takie jak ład korporacyjny, zarządzanie ryzykiem przedsiębiorstwa (ERM) oraz zgodność korporacyjną z obowiązującymi przepisami i regulacjami.
Organizacje osiągają wielkość, w której skuteczna działalność wymaga skoordynowanej kontroli nad działaniami GRC. Każda z tych trzech dyscyplin tworzy informacje wartościowe dla pozostałych dwóch, a wszystkie trzy mają wpływ na te same technologie, ludzi, procesy i informacje.
Znaczne powielanie zadań rozwija się, gdy zarządzanie ładem korporacyjnym, zarządzaniem ryzykiem i zgodnością z przepisami jest zarządzane niezależnie. Nakładające się na siebie i powielające się działania GRC mają negatywny wpływ zarówno na koszty operacyjne, jak i matryce GRC. Na przykład każda służba wewnętrzna może być corocznie kontrolowana i oceniana przez wiele grup, co powoduje ogromne koszty i niepowiązane ze sobą wyniki. Niepowiązane podejście GRC uniemożliwi również organizacji dostarczanie sprawozdań wykonawczych GRC w czasie rzeczywistym. GRC zakłada, że podejście to, podobnie jak źle zaplanowany system transportowy, będzie funkcjonowało na każdej indywidualnej trasie, ale sieci zabraknie cech, które pozwolą im na efektywną współpracę[7].
Jeśli nie są one zintegrowane, jeśli są rozwiązywane w ramach tradycyjnego podejścia „silosowego”, większość organizacji musi utrzymać niemożliwą do opanowania liczbę wymogów związanych z GRC ze względu na zmiany technologiczne, zwiększające przechowywanie danych, globalizację rynku i zwiększoną regulację.
Tematyka GRC
[edytuj | edytuj kod]Pojęcia podstawowe
[edytuj | edytuj kod]Zarządzanie opisuje ogólne podejście do zarządzania, poprzez które kierownictwo kieruje i kontroluje całą organizację, wykorzystując połączenie informacji zarządczej i hierarchicznych struktur kontroli zarządzania. Działania związane z zarządzaniem zapewniają, że krytyczne informacje zarządcze docierające do zespołu wykonawczego są wystarczająco kompletne, dokładne i aktualne, aby umożliwić podejmowanie właściwych decyzji zarządczych, a także zapewniają mechanizmy kontrolne zapewniające systematyczne i skuteczne realizowanie strategii, kierunków i instrukcji ze strony kierownictwa[8].
Zarządzanie ryzykiem to zbiór procesów, za pomocą których kierownictwo identyfikuje, analizuje i, tam gdzie to konieczne, odpowiednio reaguje na ryzyka, które mogą mieć negatywny wpływ na realizację celów biznesowych organizacji. Reakcja na ryzyka zależy zazwyczaj od ich postrzeganej wagi i obejmuje kontrolowanie, unikanie, akceptowanie lub przekazywanie ich stronie trzeciej. Podczas gdy organizacje rutynowo zarządzają szerokim zakresem ryzyka (np. ryzykiem technologicznym, handlowym/finansowym, bezpieczeństwa informacji itp.).
Zgodność oznacza zgodność z określonymi wymogami. Na poziomie organizacyjnym, jest to osiągane poprzez procesy zarządzania, które identyfikują obowiązujące wymagania (zdefiniowane na przykład w przepisach prawnych, regulacjach, umowach, strategiach i politykach), oceniają stan zgodności, oceniają ryzyko i potencjalne koszty braku zgodności w stosunku do przewidywanych wydatków na osiągnięcie zgodności, a tym samym ustalają priorytety, finansują i podejmują wszelkie działania naprawcze uznane za konieczne.
Segmentacja rynku GRC
[edytuj | edytuj kod]Program GRC może zostać wprowadzony w celu skupienia się na każdym indywidualnym obszarze przedsiębiorstwa, lub w pełni zintegrowany GRC jest w stanie pracować we wszystkich obszarach przedsiębiorstwa, przy użyciu jednej struktury.
W pełni zintegrowany GRC wykorzystuje jeden podstawowy zestaw materiałów kontrolnych, przyporządkowanych do wszystkich głównych czynników zarządzania, które są monitorowane. Zastosowanie jednolitych ram ma również tę zaletę, że ogranicza możliwość powielania działań naprawczych. W przypadku przeglądu jako poszczególnych obszarów GRC, trzy najbardziej powszechne poszczególne działy uznaje się za finansowe GRC, IT GRC i prawne GRC.
- Finansowy GRC odnosi się do działań, których celem jest zapewnienie prawidłowego funkcjonowania wszystkich procesów finansowych, jak również zgodności z wszelkimi mandatami związanymi z finansami.
- IT GRC odnosi się do działań mających na celu zapewnienie, aby organizacja IT (Information Technology) wspierała obecne i przyszłe potrzeby przedsiębiorstwa oraz przestrzegała wszystkich mandatów związanych z IT.
- Prawny GRC koncentruje się na powiązaniu wszystkich trzech komponentów poprzez dział prawny organizacji i dyrektora ds. zgodności.
Analitycy nie zgadzają się co do tego, jak te aspekty GRC są definiowane jako kategorie rynkowe. Gartner stwierdził, że szeroki rynek GRC obejmuje następujące obszary:
- Finanse i audyt GRC
- Zarządzanie IT GRC
- Zarządzanie ryzykiem w przedsiębiorstwie.
Następnie dzielą rynek zarządzania IT GRC na te kluczowe możliwości. Chociaż lista ta odnosi się do GRC IT, podobna lista możliwości byłaby odpowiednia dla innych obszarów GRC.
- Kontrole i biblioteka polityk
- Rozkład polityki i reakcja na nią
- IT Kontroluje samoocenę i pomiar.
- Repozytorium aktywów IT
- Zbiórka w ramach zautomatyzowanej ogólnej kontroli komputerowej (GCC)
- Środki zaradcze i zarządzanie sytuacjami wyjątkowymi
- Sprawozdawczość
- Zaawansowana ocena ryzyka IT i pulpity zgodności z przepisami
Sprzedawcy produktów GRC
[edytuj | edytuj kod]Rozróżnienie między podsegmentami szerokiego rynku GRC często nie jest jasne. Przy dużej liczbie dostawców wchodzących na ten rynek, określenie najlepszego produktu dla danego problemu biznesowego może stanowić wyzwanie. Biorąc pod uwagę, że analitycy nie w pełni zgadzają się co do segmentacji rynku, pozycjonowanie sprzedawców może zwiększyć zamieszanie. Ze względu na dynamiczny charakter tego rynku, analiza dostawcy jest często nieaktualna stosunkowo szybko po jej opublikowaniu.
Rynek dostawców można uznać za istniejący w 3 segmentach:
- Zintegrowane rozwiązania GRC (interes wielu rządów, ogólnozakładowy)
- Rozwiązania GRC specyficzne dla danej dziedziny (pojedynczy interes w zakresie ładu korporacyjnego, dla całego przedsiębiorstwa)
- Rozwiązania punktowe dla GRC (odnoszą się do ładu korporacyjnego na poziomie przedsiębiorstwa lub ryzyka na poziomie przedsiębiorstwa lub zgodności na poziomie przedsiębiorstwa, ale nie w połączeniu.)
Zintegrowane rozwiązania GRC starają się ujednolicić zarządzanie tymi obszarami, zamiast traktować je jako odrębne jednostki. Zintegrowane rozwiązanie jest w stanie zarządzać jedną centralną biblioteką kontroli zgodności, ale zarządzać nimi, monitorować i prezentować je w odniesieniu do każdego czynnika zarządzania. Na przykład w podejściu specyficznym dla danej dziedziny, można by wygenerować trzy lub więcej wyników w odniesieniu do jednej przerwanej działalności. Zintegrowane rozwiązanie uznaje to za jedno załamanie związane z mapowanymi czynnikami zarządzania.
Sprzedawcy GRC dla poszczególnych domen rozumieją cykliczny związek pomiędzy zarządzaniem, ryzykiem i zgodnością w ramach danego obszaru zarządzania. Na przykład w ramach przetwarzania finansowego – że ryzyko związane jest albo z brakiem kontroli (potrzeba aktualizacji zarządzania) i/lub brakiem przestrzegania (lub słabą jakością) istniejącej kontroli. Pierwotny cel podziału GRC na osobny rynek sprawił, że niektórzy sprzedawcy byli zdezorientowani brakiem ruchu. Uważa się, że brak głębokiej edukacji w danej dziedzinie po stronie audytu w połączeniu z ogólną nieufnością do audytu powoduje rozdźwięk w środowisku korporacyjnym. Jednakże istnieją dostawcy na rynku, że, podczas gdy pozostałe specyficzne domeny, rozpoczęły marketing ich produktu do użytkowników końcowych i działów, które, podczas gdy albo styczne lub nakładające się, zostały rozszerzone w celu włączenia wewnętrznego audytu wewnętrznego firmy (CIA) i zespołów audytu zewnętrznego (poziom 1 duże cztery I poziom 2 i poniżej), bezpieczeństwa informacji i operacji/produkcji jako grupy docelowej. Takie podejście zapewnia bardziej otwarte podejście do procesu. Jeśli zespół produkcyjny zostanie poddany audytowi przez CIA przy użyciu aplikacji, do której produkcja również ma dostęp, uważa się, że należy szybciej ograniczyć ryzyko, ponieważ celem końcowym nie jest bycie „zgodnym”, ale bycie „bezpiecznym” lub jak najbezpieczniejszym.
Rozwiązania punktowe dla GRC charakteryzują się tym, że koncentrują się na tylko jednym z jej obszarów. W niektórych przypadkach, gdy wymagania są ograniczone, rozwiązania te mogą służyć realistycznemu celowi. Ponieważ jednak zwykle zostały one zaprojektowane w celu bardzo dogłębnego rozwiązania specyficznych dla danej dziedziny problemów, na ogół nie przyjmują one jednolitego podejścia i nie są tolerancyjne w odniesieniu do zintegrowanych wymogów w zakresie zarządzania. Systemy informatyczne lepiej rozwiążą te kwestie, jeżeli wymogi dotyczące zarządzania GRC zostaną włączone na etapie projektowania, jako część spójnych ram[9].
Magazynowanie danych GRC i wywiad gospodarczy
[edytuj | edytuj kod]Dostawcy GRC ze zintegrowaną strukturą danych są teraz w stanie zaoferować niestandardowo zbudowane hurtownie danych GRC i rozwiązania business intelligence. Pozwala to na zestawianie i analizę danych o dużej wartości z dowolnej liczby istniejących aplikacji GRC.
Agregacja danych GRC przy użyciu tego podejścia przynosi znaczące korzyści w zakresie wczesnej identyfikacji ryzyka i poprawy procesów biznesowych (i kontroli biznesowej).
Dalsze korzyści płynące z tego podejścia obejmują (i) umożliwienie kontynuacji istniejących, specjalistycznych i wartościowych aplikacji bez wpływu (ii) organizacje mogą zarządzać łatwiejszym przejściem do zintegrowanego podejścia GRC, ponieważ początkowa zmiana dodaje jedynie warstwę sprawozdawczą oraz (iii) zapewnia możliwość porównywania i porównywania wartości danych w czasie rzeczywistym pomiędzy systemami, które wcześniej nie miały wspólnego schematu danych.
Badania GRC
[edytuj | edytuj kod]W przeglądzie publikacji przeprowadzonym w 2009 r. [potrzeba powołania] stwierdzono, że badań naukowych nad GRC prawie nie było. Autorzy opracowali pierwszą krótką definicję GRC na podstawie obszernego przeglądu literatury. Następnie definicja ta została zatwierdzona w badaniu przeprowadzonym wśród specjalistów GRC. „GRC jest zintegrowanym, holistycznym podejściem do GRC w całej organizacji, zapewniającym, że organizacja działa w sposób etycznie poprawny i zgodny z jej apetytem na ryzyko, polityką wewnętrzną i regulacjami zewnętrznymi poprzez dostosowanie strategii, procesów, technologii i ludzi, poprawiając w ten sposób wydajność i skuteczność. Następnie autorzy przełożyli definicję na ramy odniesienia dla badań GRC.
Każda z podstawowych dyscyplin – Governance, risk management and compliance – składa się z czterech podstawowych elementów: strategii, procesów, technologii i ludzi. Gotowość organizacji do podejmowania ryzyka, jej polityka wewnętrzna i przepisy zewnętrzne stanowią zasady GRC. Dyscypliny, ich elementy składowe i zasady mają obecnie zostać połączone w zintegrowany, całościowy i obejmujący całą organizację sposób (trzy główne cechy GRC) – dostosowany do operacji (biznesowych) zarządzanych i wspieranych przez GRC. Stosując to podejście, organizacje pragną osiągnąć cele: poprawne pod względem etycznym zachowanie oraz poprawę wydajności i skuteczności któregokolwiek z zaangażowanych elementów[10].
Przypisy
[edytuj | edytuj kod]- ↑ Anthony Tarantino , Governance, Risk, and Compliance Handbook, 25 lutego 2008, ISBN 978-0-470-09589-8 .
- ↑ Holly A. Roland , SAP GRC for dummies, Hoboken, NJ: Wiley, 2008, ISBN 978-0-470-38591-3, OCLC 608622791 [dostęp 2019-05-24] .
- ↑ Patrícia Silveira i inni, Aiding Compliance Governance in Service-Based Business Processes, IGI Global, 2012, s. 524–548, DOI: 10.4018/978-1-61350-432-1.ch022, ISBN 978-1-61350-432-1 [dostęp 2019-05-24] .
- ↑ Scott L Mitchell , GRC360: A framework to help organisations drive principled performance, „International Journal of Disclosure and Governance”, 4 (4), 2007, s. 279–296, DOI: 10.1057/palgrave.jdg.2050066, ISSN 1741-3591 [dostęp 2019-05-24] .
- ↑ a b OCEG Capability Model GRC Standards, Hoboken, NJ, USA: John Wiley & Sons, Inc., 20 grudnia 2011, s. 215–224, DOI: 10.1002/9781118269145.ch11, ISBN 978-1-118-26914-5 [dostęp 2019-05-24] .
- ↑ Marcia L. Weidenmier , Sridhar Ramamoorti , Research Opportunities in Information Technology and Internal Auditing, „Journal of Information Systems”, 20 (1), 2006, s. 205–219, DOI: 10.2308/jis.2006.20.1.205, ISSN 0888-7985 [dostęp 2019-05-24] .
- ↑ Howard S. Greer , Irving Heymont , MTMC CONUS Movement Scheduling Program., Fort Belvoir, VA, 1 sierpnia 1979, DOI: 10.21236/ada324530 [dostęp 2019-05-24] .
- ↑ Jacob Lamm , Governance Today, Berkeley, CA: Apress, 2010, s. 14–24, DOI: 10.1007/978-1-4302-1593-6_2, ISBN 978-1-4302-1592-9 [dostęp 2019-05-24] .
- ↑ Bonazzi i inni, Compliance Management is Becoming a Major Issue in IS Design, „Information Systems: People, Organizations, Institutions, and Technologies”, Springer, 2009, s. 391–398, DOI: 10.1007/978-3-7908-2148-2 .
- ↑ Decker i inni, Communications and multimedia security: 11th IFIP TC 6/TC ; 11 international conference, CMS 2010, Linz, Austria, May 31 – June 2, 2010 ; proceedings, Berlin: Springer, 2010, ISBN 978-3-642-13241-4, OCLC 654396258 [dostęp 2019-05-24] .