GRC – terra incognita?

GRC jest zdolnością do wiarygodnego osiągania celów biznesowych [governance] przy jednoczesnym zajmowaniu się kwestią niepewności [risk management] i działaniu w sposób zgodny z normami, przepisami i standardami [compliance].

GRC – krótkie wprowadzenie

Governance Risk Compliance, a w skrócie GRC, obecnie nie ma formalnie opracowanej definicji, poza rozwinięciem akronimu. Nie da się również tych trzech słów przełożyć wprost na język polski:

  • Governance – odnosi się do nadzoru, zarządzania
  • Risk – do ryzyka
  • Compliance – do zgodności

Tematyka GRC jest powszechna w organizacjach działających na rynku. Zarządzanie, wyznaczanie celów, określanie ryzyk kluczowych dla działania firmy, stosowanie się do wymagań zgodności, np. z aktami prawnymi. Jednakże, pomimo wielu dużych nakładów na dostosowanie się do standardów, regulacji i procedur, efekty tych działań są często niezauważalne lub mało widoczne. Opracowane procesy są ignorowane lub pomijane, a to może mieć nieodwracalne skutki. Dlaczego? Chodzi o integrację poszczególnych obszarów oraz o ich wzajemne interakcje.

Spróbujmy może spojrzeć na procesy zachodzące firmie jak na rozpędzony na drodze samochód. Prowadzenie auta, tak jak prowadzenie firmy to zespół działań, na które składa się:

  • Governance (zarządzanie i nadzór) na drodze, tak jak w biznesie należy ustalać mapę celów oraz na bieżąco monitorować wskaźniki konieczne do osiągnięcia tych celów
  • Risk (zarządzanie ryzykiem) – profesjonalny manager, tak jak profesjonalny kierowca dążąc do swojego celu powinien mieć pełną świadomość realnych i potencjalnych zagrożeń, z którymi może się zetknąć na swojej drodze. Musi również stale podejmować decyzje, które ryzyko jest akceptowalne w stosunku do założonego celu
  • Compliance (zgodność) – prowadzenie biznesu, tak jak jazda samochodem, to nie tylko pęd rozpędzonej maszyny. To również ciąg odpowiedzialnych i kosztownych decyzji, koniecznych do zapewnienia bezpieczeństwa, zgodności z obowiązującymi normami, przepisami czy standardami

Bardzo ważne jest by te 3 elementy ze sobą współgrały i przenikały się wzajemnie. Rozpędzona maszyna tylko wtedy dotrze do swojego celu, gdy zostaną przewidziane wszystkie ryzyka, przy pełnej zgodności z obowiązującymi regulacjami.

GRC – krok dalej

Z powodu braku formalnej definicji GRC różne organizacje określają w różny sposób, co rozumieją pod tą nazwą. Cechą wspólną tych definicji jest integracja tych trzech obszarów, jak również interakcje pomiędzy ludźmi, technologami oraz procesami, które je wspierają.

Definicję, która moim zdaniem najbardziej oddaje ideę, opracował think-tank OCEG. GRC określana jest jako zdolność do przewidywalnego osiągania celów, adresując niepewność przy zachowaniu zgodności. Poniżej krótko podsumowuję jak w firmach wygląda implementacja tych trzech obszarów:

  • zarządzanie i nadzór (governance) – określa sposób w jaki organizacja jest zarządzana oraz jak reaguje na ryzyka, jaki poziom ryzyka jest akceptowalny oraz jak
    planowane jest przeciwdziałanie, lub wykorzystanie ryzyk. Obszar zawiera elementy takie jak: określanie strategii biznesowej i celów, ustanowienie wartości i kultury organizacji, określenie odpowiedzialności za ryzyka, ustalenie apetytu na ryzyko, wprowadzenie standardów i polityk korporacyjnych
  • ryzyko (risk) – zarządzanie procesami i zasobami, poprzez które identyfikowane są ryzyka, jak również analizowane oraz przygotowywane są plany przeciwdziałania lub wykorzystania ryzyk (pamiętajmy, że ryzyko może mieć również pozytywny skutek). Obszar wymaga ustalenia, własności ryzyk, metod identyfikacji i analizy, odpowiedzi na ryzyko, zintegrowanego raportowania
  • zgodność (compliance) – zapewnienie zgodności z wymaganiami wewnętrznymi i zewnętrznymi, w tym aktami prawnymi i wytycznymi branżowymi. Określa
    ryzyka wynikające z braku zgodności i priorytety dla działań naprawczych. Obszar zapewnia, określenie wymagań w zakresie zgodności, testowanie zgodności z kontrolami, politykami, standardami itd., zarządzanie działaniami naprawczymi, możliwość raportowania zgodności

Integracja pomiędzy tymi obszarami to przede wszystkim wspólne taksonomie, repozytoria i procesy przebiegające w organizacjach, nieodłącznie wiąże się z tym również współpraca i bieżąca komunikacja zaangażowanych zespołów.

GRC – dojrzałość i perspektywa IT

Ostatnie lata to okres kiedy wprowadzono mechanizmy pomiaru poziomu dojrzałości GRC w firmach w oparciu o model CMMI, w oparciu o te dane dobierane są odpowiednie narzędzia, które mogą właściwie wesprzeć ten proces. Więcej informacji o tym modelu oraz przełożeniu na obszary IT przedstawimy w kolejnym artykule.

 

Autor: Andrzej Partyka, GRC Advisory

2018-04-17T14:10:11+00:002017/09/16|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <