Zarządzanie, zarządzanie ryzykiem i zgodność - Governance, risk management, and compliance

Część serii na
Zarządzanie
Modele
Algorytmiczne Zły Współpraca Elektroniczny Dobry Wielu interesariuszy Otwarte źródło Prywatny Samego siebie
Według poziomu
Lokalny Światowy
Według pola
Klimat Kliniczny Zbiorowy Kulturalny Dane System Ziemi Kościelny Środowiskowy Wyższa edukacja Informacja Sieć Ocean Partia polityczna Projekt Sektor bezpieczeństwa Samego siebie Symulacja Architektura zorientowana na usługi Gleba Technologia Ponadnarodowy Strona internetowa
Środki
Światowy Indeks Zarządzania Wskaźniki zrównoważonego zarządzania Indeks transformacji Bertelsmanna
powiązane tematy
Dyrektor Zarządzający Zarządzanie, zarządzanie ryzykiem i zgodność Ład środowiskowy, społeczny i korporacyjny Mechanizm zarządzania rynkiem
v T mi

Zarządzanie, zarządzanie ryzykiem i zgodność ( GRC ) to termin obejmujący podejście w organizacji poprzek tych trzech praktyk: zarządzanie , zarządzanie ryzykiem i zgodność . Pierwsze badania naukowe nad GRC zostały opublikowane w 2007 r., w których GRC zostało formalnie zdefiniowane jako „zintegrowany zbiór zdolności, które umożliwiają organizacji niezawodne osiąganie celów, rozwiązywanie problemów związanych z niepewnością i uczciwe działanie”. Badanie dotyczyło wspólnych działań „utrzymania firmy na właściwym torze” prowadzonych w działach takich jak audyt wewnętrzny, compliance, ryzyka, prawny, finanse, IT, HR oraz w liniach biznesowych, kadrze kierowniczej i samym zarządzie.

Przegląd

Nadzór, zarządzanie ryzykiem i zgodność to trzy powiązane aspekty, które mają na celu zapewnienie, że organizacja niezawodnie osiąga cele, zajmuje się niepewnością i działa uczciwie. Nadzór to połączenie procesów ustanowionych i realizowanych przez dyrektorów (lub radę dyrektorów), które znajdują odzwierciedlenie w strukturze organizacji oraz sposobie jej zarządzania i prowadzenia w kierunku osiągnięcia celów. Zarządzanie ryzykiem to przewidywanie i zarządzanie ryzykiem, które może utrudnić organizacji rzetelne osiągnięcie jej celów w warunkach niepewności. Zgodność odnosi się do przestrzegania narzuconych granic (prawo i przepisy) i dobrowolnych granic (polityki, procedury firmy itp.).

GRC to dyscyplina, która ma na celu synchronizację informacji i działań w ramach zarządzania oraz zgodności w celu bardziej wydajnego działania, umożliwienia efektywnego dzielenia się informacjami, efektywniejszego raportowania działań i unikania marnotrawnego nakładania się. Chociaż różnie interpretowane w różnych organizacjach, GRC zazwyczaj obejmuje takie działania jak ładu korporacyjnego , zarządzania ryzykiem dla przedsiębiorstw (ERM) oraz zgodności z obowiązującymi przepisami prawa korporacyjnego i regulacjami.

Organizacje osiągają rozmiary, w których do skutecznego działania wymagana jest skoordynowana kontrola nad działaniami GRC. Każda z tych trzech dyscyplin tworzy informacje wartościowe dla pozostałych dwóch, a wszystkie trzy wpływają na te same technologie, ludzi, procesy i informacje.

Znaczne powielanie zadań rozwija się, gdy nadzór, zarządzanie ryzykiem i zgodność są zarządzane niezależnie. Nakładające się i powielane działania GRC mają negatywny wpływ zarówno na koszty operacyjne, jak i macierze GRC. Na przykład każda usługa wewnętrzna może być corocznie kontrolowana i oceniana przez wiele grup, co wiąże się z ogromnymi kosztami i niepowiązanymi wynikami. Niezależne podejście GRC uniemożliwi również organizacji dostarczanie raportów wykonawczych GRC w czasie rzeczywistym. GRC zakłada, że ​​to podejście, podobnie jak źle zaplanowany system transportowy, będzie działać na każdej indywidualnej trasie, ale sieci będzie brakować cech, które umożliwią im efektywną współpracę.

Jeśli nie są zintegrowane, jeśli są rozwiązywane w tradycyjnym podejściu „silosowym”, większość organizacji musi spełnić niemożliwą do opanowania liczbę wymagań związanych z GRC ze względu na zmiany w technologii, rosnące przechowywanie danych, globalizację rynku i zwiększone regulacje.

Tematy GRC

Podstawowe koncepcje

• Zarządzanie opisuje ogólne podejście do zarządzania, za pomocą którego kadra kierownicza wyższego szczebla kieruje i kontroluje całą organizację, wykorzystując kombinację informacji zarządczych i hierarchicznych struktur kontroli zarządzania. Działania zarządcze zapewniają, że krytyczne informacje zarządcze docierające do zespołu wykonawczego są wystarczająco kompletne, dokładne i terminowe, aby umożliwić podejmowanie właściwych decyzji zarządczych oraz zapewniają mechanizmy kontrolne zapewniające systematyczne i skuteczne wykonywanie strategii, wskazówek i instrukcji kierownictwa.
• Świadomość obowiązkowa odnosi się do zdolności organizacji do uświadomienia sobie wszystkich swoich obowiązkowych i dobrowolnych zobowiązań, a mianowicie odpowiednich przepisów prawa, wymogów regulacyjnych, kodeksów branżowych i standardów organizacyjnych, a także standardów dobrego zarządzania, ogólnie przyjętych najlepszych praktyk, etyki i oczekiwania społeczności. Obowiązki te mogą mieć charakter finansowy, strategiczny lub operacyjny, jeżeli działalność operacyjna obejmuje tak różnorodne obszary, jak bezpieczeństwo mienia, bezpieczeństwo produktów, bezpieczeństwo żywności, bezpieczeństwo i higiena pracy, utrzymanie aktywów itp.
• Zarządzanie ryzykiem to zestaw procesów, poprzez które kierownictwo identyfikuje, analizuje i, w razie potrzeby, odpowiednio reaguje na ryzyka, które mogą niekorzystnie wpłynąć na realizację celów biznesowych organizacji. Reakcja na ryzyko zazwyczaj zależy od jego postrzeganej wagi i obejmuje kontrolowanie, unikanie, akceptowanie lub przekazywanie ich stronie trzeciej, podczas gdy organizacje rutynowo zarządzają szerokim zakresem ryzyka (np. ryzyka technologicznego, handlowego/finansowego, bezpieczeństwa informacji itp. ).
• Zgodność oznacza spełnienie określonych wymagań. Na poziomie organizacyjnym osiąga się to poprzez procesy zarządcze, które identyfikują obowiązujące wymagania (określone np. w przepisach, regulacjach, umowach, strategiach i politykach), oceniają stan zgodności, oceniają ryzyko i potencjalne koszty niezgodności w stosunku do przewidywane wydatki w celu osiągnięcia zgodności, a tym samym ustalenia priorytetów, finansowania i inicjowania wszelkich działań naprawczych uznanych za konieczne. Administracja zgodności odnosi się do czynności administracyjnych polegających na aktualizowaniu wszystkich dokumentów dotyczących zgodności, utrzymywaniu aktualności kontroli ryzyka i sporządzaniu raportów dotyczących zgodności.

Segmentacja rynku GRC

Program GRC można wprowadzić, aby skoncentrować się na dowolnym pojedynczym obszarze w przedsiębiorstwie, lub w pełni zintegrowany GRC może działać we wszystkich obszarach przedsiębiorstwa przy użyciu jednej struktury.

W pełni zintegrowany system GRC wykorzystuje jeden podstawowy zestaw materiałów kontrolnych, przyporządkowanych do wszystkich monitorowanych głównych czynników zarządzania. Korzystanie z jednolitych ram ma również tę zaletę, że ogranicza możliwość powielania działań naprawczych.

Przy przeglądzie jako indywidualne obszary GRC, najbardziej powszechne poszczególne pozycje są uważane za finansowe GRC, operacyjne GRC, WHS GRC, IT GRC i prawne GRC.

• GRC finansowe odnosi się do działań, które mają zapewnić prawidłowe działanie wszystkich procesów finansowych, a także zgodność z wszelkimi mandatami finansowymi.
• Operacyjne GRC odnosi się do wszystkich działań operacyjnych, takich jak bezpieczeństwo mienia, bezpieczeństwo produktów, bezpieczeństwo żywności, bezpieczeństwo i higiena pracy, konserwacja zasobów zgodności IT itp.
• WHS GRC, podzbiór operacyjnego GRC, odnosi się do wszystkich działań w zakresie bezpieczeństwa i higieny pracy
• IT GRC, podzbiór Operacyjnego GRC, odnosi się do działań mających na celu zapewnienie, że organizacja IT ( Informatyka ) wspiera bieżące i przyszłe potrzeby biznesowe oraz spełnia wszystkie mandaty związane z IT.
• Dział prawny GRC koncentruje się na powiązaniu wszystkich trzech komponentów za pośrednictwem działu prawnego organizacji i dyrektora ds . zgodności . Może to jednak wprowadzać w błąd, ponieważ ISO 37301 odnosi się do obowiązkowych i dobrowolnych zobowiązań, a skupienie się na prawnych GRC może wprowadzać stronniczość.

AICD (Australian Institute of Dyrektorów Spółki) jednak ryzyko dzieli się na trzy grupy Super

• Ryzyko finansowe
• Ryzyko operacyjne
• Ryzyko strategiczne

Analitycy nie zgadzają się, jak te aspekty GRC są definiowane jako kategorie rynkowe. Gartner stwierdził, że szeroki rynek GRC obejmuje następujące obszary:

• Finanse i audyt GRC
• Zarządzanie IT GRC
• Zarządzanie ryzykiem korporacyjnym.

Ponadto dzielą rynek zarządzania IT GRC na te kluczowe zdolności.

• Kontrolki i biblioteka zasad
• Dystrybucja polityki i odpowiedź
• IT kontroluje samoocenę i pomiar
• Repozytorium zasobów IT
• Zbieranie zautomatyzowanego ogólnego sterowania komputerowego (GCC)
• Naprawa i zarządzanie wyjątkami
• Raportowanie
• Zaawansowane panele oceny ryzyka IT i zgodności

Dostawcy produktów GRC

Różnice między podsegmentami szerokiego rynku GRC często nie są jasne. Przy dużej liczbie dostawców wchodzących na ten rynek w ostatnim czasie, określenie najlepszego produktu dla danego problemu biznesowego może być wyzwaniem. Biorąc pod uwagę, że analitycy nie są w pełni zgodni co do segmentacji rynku, pozycjonowanie dostawców może zwiększyć zamieszanie.

Ze względu na dynamiczny charakter tego rynku każda analiza dostawców jest często nieaktualna stosunkowo szybko po jej opublikowaniu.

Ogólnie rzecz biorąc, rynek dostawców można uznać za istniejący w trzech segmentach:

• Zintegrowane rozwiązania GRC (interes multi-governance, całe przedsiębiorstwo)
• Rozwiązania GRC specyficzne dla domeny (pojedynczy interes w zarządzaniu, w całym przedsiębiorstwie)
• Wskaż rozwiązania do GRC (dotyczą zarządzania w całym przedsiębiorstwie, ryzyka w całym przedsiębiorstwie lub zgodności z przepisami w całym przedsiębiorstwie, ale nie w połączeniu).

Zintegrowane rozwiązania GRC starają się ujednolicić zarządzanie tymi obszarami, a nie traktować je jako odrębne byty. Zintegrowane rozwiązanie jest w stanie administrować jedną centralną biblioteką kontroli zgodności, ale zarządzać nimi, monitorować i prezentować je pod kątem każdego czynnika nadzoru. Na przykład w podejściu specyficznym dla domeny można wygenerować trzy lub więcej wyników dla pojedynczej uszkodzonej aktywności. Zintegrowane rozwiązanie rozpoznaje to jako jedną przerwę związaną z mapowanymi czynnikami zarządzania.

Sprzedawcy GRC specyficzni dla danej domeny rozumieją cykliczny związek między zarządzaniem, ryzykiem i zgodnością w określonym obszarze zarządzania. Na przykład w ramach przetwarzania finansowego – ryzyko będzie związane z brakiem kontroli (konieczność aktualizacji zarządzania) i/lub brakiem przestrzegania (lub niskiej jakości) istniejącej kontroli. Początkowy cel podziału GRC na oddzielny rynek sprawił, że niektórzy dostawcy zdezorientowali się brakiem ruchu. Uważa się, że brak głębokiej edukacji w danej domenie po stronie audytu w połączeniu z ogólną nieufnością do audytu powoduje rozłam w środowisku korporacyjnym. Na rynku są jednak dostawcy, którzy, pozostając specyficzni dla domeny, rozpoczęli marketing swojego produktu użytkownikom końcowym i działom, które, choć niejednoznaczne lub nakładające się, rozszerzyły się o wewnętrzny audyt wewnętrzny firmy (CIA) i zespoły audytu zewnętrznego (poziom 1 duża czwórka ORAZ poziom drugi i niższy), bezpieczeństwo informacji i operacje/produkcja jako grupa docelowa. Takie podejście zapewnia bardziej „otwartą księgę” w procesie. Jeśli zespół produkcyjny zostanie poddany audytowi przez CIA przy użyciu aplikacji, do której produkcja również ma dostęp, uważa się, że zmniejszy to ryzyko szybciej, ponieważ ostatecznym celem nie jest bycie „zgodnym”, ale „bezpiecznym” lub tak bezpiecznym, jak to możliwe. Możesz również wypróbować różne dostępne na rynku narzędzia GRC, które są oparte na automatyzacji i mogą zmniejszyć obciążenie pracą.

Rozwiązania punktowe dla GRC charakteryzują się skupieniem się na adresowaniu tylko jednego z jego obszarów. W niektórych przypadkach o ograniczonych wymaganiach rozwiązania te mogą służyć realnemu celowi. Jednakże, ponieważ zazwyczaj są one projektowane z myślą o dogłębnym rozwiązywaniu problemów specyficznych dla danej dziedziny, na ogół nie przyjmują ujednoliconego podejścia i nie tolerują wymagań zintegrowanego zarządzania. Systemy informacyjne lepiej zajmą się tymi sprawami, jeśli wymagania dotyczące zarządzania GRC zostaną włączone na etapie projektowania w ramach spójnych ram.

Hurtownia danych GRC i business intelligence

Sprzedawcy GRC ze zintegrowaną strukturą danych mogą teraz oferować niestandardowe rozwiązania hurtowni danych GRC i analizy biznesowej. Pozwala to na zestawianie i analizowanie wartościowych danych z dowolnej liczby istniejących aplikacji GRC.

Agregacja danych GRC przy użyciu tego podejścia zapewnia znaczne korzyści we wczesnej identyfikacji ryzyka i usprawnieniu procesów biznesowych (i kontroli biznesowej).

Dalsze korzyści płynące z tego podejścia obejmują (i) pozwala na kontynuację istniejących, specjalistycznych aplikacji o wysokiej wartości bez wpływu (ii) organizacje mogą łatwiej zarządzać przejściem na zintegrowane podejście GRC, ponieważ początkowa zmiana jest tylko dodatkiem do warstwy raportowania oraz (iii ), zapewnia możliwość porównywania i kontrastowania wartości danych w czasie rzeczywistym w systemach, które wcześniej nie miały wspólnego schematu danych”.

Badania GRC

Przegląd publikacji przeprowadzony w 2009 r. wykazał, że prawie nie przeprowadzono badań naukowych dotyczących GRC. Autorzy wyprowadzili pierwszą skróconą definicję GRC z obszernego przeglądu literatury. Następnie definicja została zweryfikowana w ankiecie przeprowadzonej wśród specjalistów GRC. „GRC to zintegrowane, holistyczne podejście do GRC w całej organizacji zapewniające, że organizacja działa poprawnie etycznie i zgodnie z apetytem na ryzyko, wewnętrznymi politykami i regulacjami zewnętrznymi poprzez dostosowanie strategii, procesów, technologii i ludzi, poprawiając w ten sposób wydajność i skuteczność ”. Autorzy następnie przetłumaczyli definicję na ramy odniesienia dla badań GRC.

Każda z podstawowych dyscyplin – Governance, Zarządzanie Ryzykiem i Compliance – składa się z czterech podstawowych komponentów : strategii, procesów, technologii i ludzi. Apetyt na ryzyko organizacji , jej polityki wewnętrzne oraz regulacje zewnętrzne stanowią zasady GRC. Dyscypliny, ich komponenty i zasady mają być teraz połączone w sposób zintegrowany, całościowy i obejmujący całą organizację (trzy główne cechy charakterystyczne GRC) – dostosowany do operacji (biznesowych) zarządzanych i wspieranych przez GRC. Stosując to podejście, organizacje długo osiągają cele : etycznie poprawne zachowanie oraz poprawę wydajności i skuteczności każdego z zaangażowanych elementów.

Zobacz też

• Ocena zgodności
• ISO 37301:2021 Systemy zarządzania zgodnością (wcześniej ISO 19600 )
• ISO 31000:2018 Zarządzanie ryzykiem
• ISO 41001:2018 Zarządzanie obiektami — Systemy zarządzania
• Zarządzanie rekordami
• Zgodność z przepisami
• Zarządzanie informacjami

Bibliografia