Исследование управления рисками и соответствия нормативным актам (GRC): Результаты

Нечитайлов Юрий Вячеславович

Исследование зарубежного опыта


Нечитайлов Юрий Вячеславович 21 февраля 2011, 03:46

Автор: Норман Маркс (Norman Marks)

В результате исследования, проведенного мной в конце 2010 года (прим. перев.: статья написана от лица Нормана Маркса), были получены некоторые интересные результаты. Вы можете ознакомиться с отчетом, а также моими выводами и комментариями здесь (на англ.).

В общем, ободряет наблюдавшийся уровень поддержки определения, данного организацией OCEG (Open Compliance and Ethics Group), управлению рисками и соответствием нормативным актам (GRC) и понимание того, что их коммерчески ориентированный взгляд на GRC имеет большое значение.

Также меня воодушевляет то единодушие, с которым GRC признается чем-то, идущим намного дальше просто рисков и соответствий. GRC сконцентрировано на оптимизации производительности и выполнении организационных стратегий.

Что это означает для директоров и руководителей?

  • Не позволяйте консультантам и поставщикам путать вас разговорами о новых «требованиях по GRC» или же «необходимости усовершенствования GRC». Сконцентрируйте внимание на том, каким образом вы можете оптимизировать производительность и выполнение стратегий.
  • Установите общепринятое определение GRC в рамках своей организации (Я рекомендую определение OCEG). Необходимо понять, что это и есть та призма, через которую вы смотрите на методы осуществления руководства и управления бизнесом, а также на необходимость согласованной работы различных элементов в рамках GRC. Суть GRC не заключается в технологии, оптимизации издержек на процессы обеспечения соответствия внешним нормативным требованиям, или в наличии эффективной SOX и внутренних аудиторских программ. Последние являются лишь аспектами GRC, но не исчерпывают её.
  • Не позволяйте консультантам и поставщикам говорить вам, что значит GRC (вкладывая в него смысл, соответствующий их продукции и сервисам) или, на что вам следует обратить внимание в качестве приоритетных направлений внутри вашей организации.
  • Осознайте, что сквозь призму GRC можно увидеть: разрозненность хранилищ (silo), фрагментацию, недостаточную согласованность, нехватку информации и т.д.
  • Установите, что имеет значение для вашей организации, а не ориентируйтесь на мифическое представление о GRC.
  • Не вводите себя в заблуждение, полагая, что вам требуется отдельное должностное лицо по GRC – большинство организаций не нуждается в нем. Им требуются руководители, отвечающие за различные функции в рамках GRS для осуществления взаимодействия и сотрудничества ради совместной бизнес выгоды.

Что это означает для внутренних аудиторов?

  • Функция внутреннего аудита может быть определяющим фактором внутри организации для общего определения и видения GRC. Важно не только видеть необходимость в том, чтобы различные элементы GRC (такие, как риск и стратегия) работали вместе, но и в том, чтобы каждый элемент оптимизировался по отдельности (например, управление рисками), включая решение проблемы фрагментации.
  • Рассмотрение рисков фрагментированных процессов GRC, разрозненных хранилищ операций в рамках GRC, а также недостаточной информации для ведения бизнеса. Включение их в аудиторский план в качестве необходимых.
  • Клиентское приложение (CAE) может объединяет руководителей, ответственных за различные процессы внутри GRC, что позволяет им работать вместе для определения приоритетных проблем, связанных с GRC, поддерживать и финансировать проекты, доводя их до успешного завершения.

Что это означает для консультантов?

  • Это имеет огромное значение с точки зрения общего языка (common language). Примите и публично поддержите определение OCEG.
  • Присоединяйтесь и участвуйте в будущих руководствах OCEG и в стратегическом лидерстве в GRC.
  • Рекомендуйте OCEG и книгу Red Book (www.oceg.org) своим покупателям.

Что это значит для тех, кто занимается проблемой рисков на предприятии?

  • Не стоит путать управление ресурсами предприятия (ERM) c GRC. Следует помочь руководителям понять, что ERM работает значительно эффективнее, когда есть согласованность (с необходимой степенью интеграции) между управлением рисками и стратегией, и т.д. Это также касается случаев, когда рассматриваются проблемы фрагментированных методов управления рисками, и в случае, когда информация, необходимая для понимания и определения риска является своевременной, актуальной, полной и надежной.
  • Участвуйте и рассматривайте инициативы ведущих предприятий для того, чтобы обратиться к проблемам разрозненных хранилищ, фрагментации и нехватки информации.

Изучайте дальше. OCEG организует интернет трансляции по поводу этого и других исследований управления рисками и соответствием нормативным требованиям (GRC).


Перевод выполнен издательством ООО "Эксперт РП" для портала www.SAPLand.ru Английская версия была размещена на сайте «NormanMarks.WordPress.com»

http://normanmarks.wordpress.com/2011/02/01/the-grc-survey-the-results-are-in/

Тэги: Управление рисками , Управление соответствием нормативным актам , GRC , обзор GRC

← Назад