Пример решения: По следам внедрения Oracle GRС Manager в России

Если ранее, в условиях бурного роста, внедрение GRC систем в России было вызвано лишь необходимостью соответствовать требованиям появившихся нормативных актов, законов и стандартов, таких, как SOX (закон Сарбейнса – Оксли), Basel II, ISO и других, то на сегодня разумный и эффективный подход к управлению и контролю бизнесом является жизненной необходимостью.

Что такое GRC? В первую очередь, это  концепция, призванная повысить качество процесса управления компанией (Governance), управления рисками (Risk) и обеспечения соответствия нормативным требованиям (Comliance).

Появлением данного направления, GRC, в ИT мы обязаны событиям в мире, произошедшим в начале 21 века. Банкротство крупных публичных компаний, связанных с  недостоверностью их финансовой отчетности, привело к волне громких скандалов  и ужесточению требований со стороны законодательства. Наличие подобного рода систем стало одним из основных условий успешного прохождения аудита.

Какие бывают GRC системы

Существует два основных направления GRC систем. Во-первых, это системы, глубоко интегрированные в системы управления ресурсами предприятия (Enterprise Resource Planning) и работающие на технологическом уровне. Они нацелены на повышение общей информационной безопасности компании путем  контроля транзакций в ERP системе и разграничения доступа к данным. Данные системы обеспечивают соблюдение таких элементарных требований SOX в части SOD (Segregation of Duties), как: «Совершение действия должно быть отделено от получения разрешения на него» и «Если существует опасность мошенничества, меры защиты должны быть реализованы так, чтобы участие в действиях принимали несколько человек».

Второе направление – системы, которые могут быть как интегрированными в общую ИТ архитектуру, так и независимыми от нее. Они нацелены на эффективное управление процессами и рисками, совершенствование системы внутреннего контроля (СВК). Что представляют из себя такие системы и чем они могут быть интересны для  современного руководителя? Недавний успешный опыт внедрения поможет ответить нам на эти вопросы.

• Основой любой такой GRC системы является хранилище данных, которое, в свою очередь, состоит из следующих компонентов:
• бизнес процессы, на которые разбивается деятельность любого предприятия;
• цели, которые преследуют бизнес процессы;
• риски, которые препятствуют достижению целей;
• контроли, призванные полностью покрыть или минимизировать риски;
• инструкции по тестированию контролей.

Интерфейс для работы с данными состоит из легко настраиваемых информационных панелей. Доступ к таким панелям управления хранилищем данных устанавливается на базе ролей пользователей, таким образом, предоставляемая аналитическая информация защищена и ее объем  зависит от функций руководителя, владельца процесса или аудитора. Явным преимуществом такого хранилища является его централизованность, исключающая возможность дублирования информации. Занесение любых данных в хранилище должно быть согласовано в соответствии преднастроенным цепочкам утверждения. Хранилище - это единый источник защищенных, актуальных, структурированных  и согласованных данных.

Для оценки рисков в системе предусмотрены общепризнанные ключевые показатели эффективности: вероятность возникновения и величина влияния. Существует возможность настроить регулярные процессы выявления новых и оценки существующих рисков. Одним из важнейших плюсов системы является сохранение истории оценок за все отчетные периоды, позволяющей руководителям  отслеживать тенденции.

В системе настроены процессы тестирования и регулярного подтверждения  исполнения контролей, например, в виде актов сверки. Очевидно, что такая необходимость значительно более дисциплинирует сотрудника, чем любая, даже задокументированная, инструкция.  Все выявленные в процессе тестирования недостатки фиксируются в системе, и  их устранение может быть назначено на ответственных исполнителей. Такие процедуры значительно повышают эффективность системы внутреннего контроля предприятия.

Система позволяет создавать, помимо множества преднастроенных, удобные  отчеты, разнообразные по форме и содержанию,  которые могут быть созданы  в виде интуитивно понятных графических представлений с возможностью глубокой детализации данных. Такая отчетность позволяет руководителю в любой момент времени осуществлять своевременный контроль за текущим состоянием дел и принимать верные управленческие решения.

Рекомендации

В заключении хотелось бы дать ряд советов, основанных на полученном проектном опыте, тем, кто всерьез задумывается о внедрении GRC системы в своей компании. В отличие от таких направлений, как финансы или бухгалтерия, GRC - довольно новая область для России, и практика построения процессов GRC только формируется, поэтому первым и, наверное, основным залогом успешного внедрения системы является четкаяпредварительная постановка цели. Еще до начала проекта необходимо определиться, для каких целей будет использоваться данная система (будь то управление рисками, соответствием или совершенствование системы внутреннего контроля) и  какие процессы будут реализовываться  в системе.

Немаловажную роль в успехе проекта играет и команда специалистов, выделенных для организации работы. Стоит отметить, что большинство участников процессов GRC являются менеджерами довольно высокого уровня, например, владельцами процессов, имеющими массу прямых обязанностей помимо выполнения  процессов GRC, работу в системе они воспринимают скорее как вынужденную необходимость, поэтому обязательно назначить группу сотрудников, которые будут отслеживать своевременное исполнение всех активностей в системе.

Доказано что, новые процессы проще внедрять постепенно: мы рекомендуем для начала отработать процессы GRC в одной функции в одном организационном подразделении. Впоследствии же GRC система должна охватить все области бизнеса по всей компании.

Многие компании сталкиваются с проблемой отсутствия удобного инструмента для описания своих бизнес-процессов. Наличие в GRC системе настраиваемых процедур утверждения данных, возможности хранения всех версий объектов и возможности прикрепления к объектам файлов любого формата делает ее мощным средством ведения централизованного реестра процессов.

 Немаловажным советом будет подготовить заранее свои требования по отчетности и выделить необходимый для этого бюджет. Дело в том, что какими бы ни были преднастроенные отчеты, они вряд ли смогут сразу покрыть все запросы. Опыт показывает, что у каждой компании есть своя специфика в подготовке отчетности, и надо сказать, что данная система способна удовлетворить самого требовательного заказчика.

Ну и наконец, представьте себе: вы построили идеальную картину всех процессов, но и в этой картине обязательно появятся свои исключения и недостатки, будь то новые риски, отсутствие контролей или нефункционирование контролей. Помните, необходимо предусмотреть процедуры обработки таких недостатков, как в самой системе, так и в организационном плане.

Тот факт, что три крупнейших в России оператора сотовой связи используют решения Oracle из семейства GRC, говорит сам за себя. При этом два из них воспользовались услугами Группы AT Consulting для внедрения этих  продуктов.