GRC: как управлять рисками организации?

PR служба
25 Октября 2019

Автор – Иван Боков, ведущий эксперт департамента корпоративных информационных систем ALP Group по R&D и корпоративному управлению.


Концепция Governance, Risk Management, Compliance как средство обеспечения непрерывности и развития бизнеса. Характерная для современных предприятий разобщенность трёх систем — принятия стратегических решений, управления ограничениями и управления рисками — сама становится источником существенных рисков.

В современном динамично меняющемся мире скорость принятия решений является одним из главных конкурентных преимуществ. Причем это относится не только к тактике бизнеса, но и к его стратегии, включая внедрение новых моделей менеджмента и управления на основе данных, а также применение цифровых технологий для глубокой трансформации организаций с целью повышения их эффективности и конкурентоспособности в среднесрочной и долгосрочной перспективе.

1.jpg

Новизна применяемых управленческих идей и инструментов, а также средств автоматизации способствуют тому, что управленческие решения могут чаще, чем это случалось раньше, нарушать те или иные формализованные или неявные ограничения. Эти ограничения могут как идти извне (требования регуляторов и проверяющих организаций, а также государств и международных организаций), так и быть выработанными самой компанией (от ее миссии и корпоративной культуры до запретов на совмещение сотрудниками определенных полномочий). Это создает новые риски и повышает требования к системе управления ими. При этом она должна успевать реагировать на управленческие решения и отсекать те из них, которые нарушают актуальные ограничения.

Характерная для современных предприятий разобщенность трёх систем — принятия стратегических решений, управления ограничениями и управления рисками — сама становится источником существенных рисков, поскольку неизбежно приводит к дублированию функций и неэффективности. Полностью преодолеть эту разобщенность позволяет концепция GRC (Governance, Risk Management, Compliance) и одноименный класс ИТ-решений.

GRC-решения, ставшие одним из обязательных элементов информационных систем западных компаний, пока практически не известны российским заказчикам. Если учесть разнообразие и скорость изменений, с которыми сталкиваются организации сегодня и которые ожидают их завтра, эта ситуация просто опасна. В данной статье мы рассмотрим простой универсальный вариант внедрения GRC на наиболее опасных участках. Пройдя его, организация в дальнейшем может шаг за шагом беспроблемно расширять сферу применения GRC-решения, раскрывая потенциал этой технологии наиболее удобным для себя способом.

Начните с ограничений в сфере информационной безопасности

Ограничения — это интуитивно понятный универсальный язык для описания с единых позиций зон неприемлемого риска любой природы. Поэтому начать практическое использование GRC целесообразно именно с составления свода актуальных ограничений и перечня рисков, связанных с их нарушением в тех или иных сочетаниях. Причем особое внимание надо уделить запретам совмещения сотрудниками определенных полномочий, так как для сегодняшних крупных организаций отсутствие или нарушение таких запретов является мощнейшим источником уязвимостей и основой разнообразных криминальных схем.

Последствия недостаточного контроля за разграничением полномочий хорошо известны: утечка конфиденциальных данных, подмена и разрушение целостности информации, хищение средств, безнаказанное мошенничество с участием инсайдеров, неавторизованные закупки, рост издержек и т.п. Прямые убытки, репутационные издержки и иные негативные последствия подобных инцидентов могут быть достаточно серьезными. В особенности это касается компаний, размещающих свои акции на бирже — они вынуждены выплачивать многомиллионные штрафы, терять прибыль, акционеров, партнеров и репутацию.

Вдвойне опасно внутреннее мошенничество, которое совершается самими сотрудниками организации или с их участием. Всем известны случаи продажи товара подставным лицам по сильно заниженной цене и закупки товаров у участников аферы по ценам, завышенным в разы. Другой типичный пример — перевод средств в подставные организации. Этот ряд нетрудно продолжить. Но важнее осознать, что тщательная разработка и неукоснительное соблюдение ограничений на совмещение полномочий крайне затрудняет такие преступления, ускоряет их обнаружение и повышает шансы на успех в их расследовании.

Практика внедрения GRC: очередные шаги

В качестве следующего шага желательно провести аудит имеющихся в компании бизнес-процессов и ИТ-систем, чтобы выявить и ранжировать риски от неправильного разграничения полномочий. Нужно проанализировать, есть ли в компании роли или пользователи, обладающие избыточными полномочиями или такими их сочетаниями, которые могут использоваться в схемах мошенничества, способных привести к тяжелым последствиям для организации, ее партнеров и клиентов.

Особое внимание нужно уделить ситуациям, когда один и тот же человек является и исполнителем потенциально опасного действия, и его единственным контролером. Тогда уже на этом шаге можно выявить группы ролей и пользователей, которые, например, имеют возможность единолично создавать, подтверждать и проводить закупки товаров или услуг. Важно, чтобы аудитор или сотрудники службы внутреннего контроля могли связывать с рисками контрольные процедуры, позволяющие в автоматизированном режиме предотвращать риск мошенничества. Однако системы GRC, предоставляющие такие возможности, обычно дороги в приобретении и обслуживании, что особенно критично для малых и средних предприятий.

Очевидно, что в условиях современного рынка одной лишь концепции и рекомендаций недостаточно. Необходим ИТ-инструмент для практического применения GRC в организации. Сегодня есть немало коммерческих программных продуктов для создания GRC-решений, отвечающих потребностям крупных организаций. Решить задачи по контролю и разграничению уровня доступа, а также по управлению рисками в процессах и системах позволяют такие специализированные программные продукты западных вендоров, как SAP GRC, ACL GRC, RSA Archer и ряд других. Отмечу, что сегодня некоторые функции GRC начинают появляться в наиболее развитых решениях класса IDM (из российских разработок это Avanpost IDM). Однако IDM-системы, будучи нацеленными главным образом на автоматизацию перенастройки прав доступа в ИТ-системах в ответ на кадровые события, уступают специализированным GRC-решениям в плане комплексной поддержки концепции GRC как бизнес-инструмента стратегического уровня.

Импортозамещение платформ GRC

Для российских компаний, большинство которых имеют в своем ИТ-ландшафте системы на платформе «1С» или планируют их внедрение, зарубежные платформы GRC не подходят — ни одна из них не поддерживает работу с этой платформой. Но в связи с санкционными рисками и с политикой импортозамещения ИТ именно такие решения (включая системы управления предприятием и решения класса i-ERP) становятся все более востребованными в крупных российских организациях и являются центральным звеном создаваемой ими новой ИТ-экосистемы. Причем, именно бизнес-ПО на базе «1С» чаще всего применяется в бухгалтерских и финансовых процессах, становится ядром систем учета, планирования и обработки различных финансовых документов и поручений. Иными словами, это ПО применяется на самых критичных и рискованных (с точки зрения возможности махинаций и масштаба ущерба) участках. Отмечу, что в России появились отечественные GRC-решения, в частности, позволяющие в автоматическом режиме распознавать риски разграничения полномочий на уровне ролей и прав пользователей в любых системах «1С», управлять контрольными процедурами (как автоматизированными, так и работающими в ручном режиме), а также предоставлять средства для анализа результатов их выполнения.

2.png

Синергетический эффект

Компания, применяющая GRC, получает очевидные преимущества. Она может сократить финансовые потери, сделать выполнение процессов максимально эффективным и повысить собственную репутацию. У нее появляется модель рисков и ограничений, а также средства автоматизации, предотвращающие саму возможность их нарушения.

При внедрении GRC-решений имеется как универсальная последовательность начальных шагов, так и возможность в дальнейшем развивать это решение так, чтобы сначала снижать или полностью исключать наиболее значимые риски, а в итоге — охватить всю систему ограничений и рисков.

Быстро меняющиеся направления развития систем менеджмента, деловой среды и ИТ-ландшафта требуют периодической корректировки системы ограничений и рисков. Вручную это сделать практически невозможно. Применение обособленных ИТ-решений, поддерживающих выработку и реализацию ключевых управленческих решений, управление рисками и контроль ограничений, неизбежно приводит к возрастающему дублированию функций и усиливающейся несогласованности. Такие ИТ-решения — это лебедь, рак и щука. Принося определенную пользу в своих зонах ответственности, они на самом деле препятствуют развитию предприятия.

Концепция GRC, реализованная с помощью специализированной платформы, восстанавливает согласованность и синергию стратегического управления, управления ограничениями и рисками. GRC-система позволяет структурировать и повысить эффективность бизнес-процессов, обеспечить контроль за доступом к информации, четко разграничить и управлять правами пользователей, снизить затраты на поддержание бизнес-процессов.

Читать в СМИ