Report about error or idea
YouControl
logo youcontrol
ENG
youcontrol youcontrol
0 800 309 077
Free call

Register and check 10 companies for free, or get a phone consultation by calling us at 0 800 309 077.

Інтегрована модель GOVERNANCE, RISK and COMPLIANCE
20 min

Інтегрована модель GOVERNANCE, RISK and COMPLIANCE

 

Сучасний бізнес-клімат складніший та більш мінливий, ніж будь-коли раніше. Навіть маленькі підприємства, некомерційні організації та державні установи стикаються з проблемами, які історично стосувалися лише найбільших міжнародних корпорацій.

Сучасні ризики та законодавчі вимоги численні, постійно змінюються і швидко впливають на організацію та її сталий розвиток. Для вирішення цього зростаючого переліку проблемних питань прогресивні організації прийняли своє бачення «принципової ефективності» (далі по тексту - «Principled Performance») як точки зору та підходу до бізнесу, який допомагає організаціям надійно досягти цілей, одночасно вирішуючи питання невизначеності та діючи сумлінно. Термін «Principled Performance» на даний момент не має аналогів в українській мові на кшталт гуглівського «перфоманс менеджменту».

Зосередження уваги на «Principled Performance» на всіх рівнях організації, при плануванні та виконанні кожного проекту або завдання, встановлює спільну мету та культуру, що підтримує успіх. Це, в свою чергу, дозволяє ефективно досягати встановленої мети, враховуючи як загрози, так і можливості, одночасно виконуючи всі необхідні регуляторні вимоги.

На даний момент на міжнародній арені все більшої популярності набувають інтегровані моделі GRC (Governance, Risk and Compliance), однією з яких є модель GRC Capability Model (рис 1). Ця модель розроблена OSEG (відома американська Open Compliance & Ethics Group). Остання, третя версія моделі була презентована у 2015 році та переглядається на постійній основі.

Організація, яка прагне досягти «Principled Performance», матиме ряд інтегрованих можливостей для сталого розвитку. Модель можливостей GRC, зазначена на рис.1, окреслює ці можливості.

Рис. 1. Модель GRC Capability Model 3.0.

*Джерело: https://go.oceg.org/grc-capability-model-red-book

Модель містить 4 основні компоненти та 20 елементів, які визначають кожний з компонентів. На нашому занятті ми більш детально зупинимося на розгляді компонентів моделі.

Компоненти GRC Capability Model

Компоненти моделі окреслюють ітеративний процес постійного вдосконалення для досягнення «Principled Performance». Поки існує неявна послідовність, компоненти моделі працюють одночасно.

Перелік компонентів моделі

*Джерело: https://go.oceg.org/grc-capability-model-red-book

* Мається на увазі дизайн контрольної процедури.

** Мається на увазі оцінка ефективності контрольної процедури.

 

Компонент «LEARN»

Розуміння зовнішнього та внутрішнього контекстів, в яких функціонує організація, та культури організації, є першочерговим кроком у визначенні організаційних цілей, стратегії та структури. Організації існують для досягнення певних цілей, які часто диктуються можливостями та потребами, виявленими у зовнішньому контексті. Внутрішній контекст та культура часто визначають, які організація вибирає заходи для досягнення зазначених цілей.

Вивчення та розуміння контексту має вирішальне значення для розробки відповідних цілей, стратегії та можливостей. Оскільки контекст постійно розвивається і змінюється, організації повинні забезпечити достатній моніторинг суттєвих змін у контексті. Вони повинні також усвідомити, що хоча вони можуть впливати на контекст, деякі його аспекти знаходяться поза їх контролем.

Важливо розуміти контекст і культуру організації, а також потреби та вимоги різних зацікавлених сторін, щоб створити та підтримувати можливості GRC відповідної організації.

Точні аспекти контексту будуть різнитися залежно від сфери застосування (загальносуспільні, відомчі, проєктні тощо), масштабу та стилю організації. Однак у кожному випадку важливо:

  • Розуміти зовнішній та внутрішній контекст та можливості змін;
  • Враховувати, що зміна контексту може призвести до необхідності перегляду цілей, стратегії, оцінки ризику або визначених дій та засобів контролю;
  • Визначати культуру організації в управлінні, ризик-менеджменті, людському капіталі та етичній поведінці;
  • Розуміти потреби та вимоги різних зацікавлених сторін;
  • Визначати та планувати відносини із зацікавленими сторонами.

 

Компонент «ALIGN»

Principled Performance вимагає вирівнювання. Рішення про те, як можливості, загрози та комплаєнс-вимоги повинні відповідати контексту, організаційній культурі та критеріям прийняття рішень. Показники ефективності, ризику та комплаєнсу (відповідно KPIs, KRIs та KCIs) повинні узгоджуватися із встановленими стратегічними цілями та критеріями прийняття рішень. Визначення толерантності до ризиків, ризик-апетиту, а також критеріїв прийняття рішень, які застосовуватимуться при кожному оцінюванні, надалі забезпечуватимуть уніфікований підхід до оцінки фінансових результатів, ризиків та ефективності комплаєнс-контролю, забезпечуючи менеджмент керівництвом щодо належної поведінки.

Організації повинні враховувати сили, події та умови, які можуть вплинути на досягнення цілей через визначені стратегії. Вони повинні оцінювати як властиві, так і залишкові рівні ризиків, винагороди та дотримання вимог (ті, що існують до, а потім після застосування дій та управління). Це необхідно для того, щоб забезпечити відповідні дії та засоби контролю, щоб залишатись в межах визначених рівнів толерантності при досягненні бажаних рівнів продуктивності та відповідності.

Точні аспекти узгодження будуть відрізнятися залежно від сфери застосування (наприклад, на рівні організації, відомства, проєкту), масштабу та стилю організації. Однак у кожному випадку важливо:

  • Забезпечити напрямок прийняття рішень через місію, бачення, цінності та критерії прийняття рішень (наприклад, ризик-апетит, толерантність до ризику);
  • Визначити стратегії для досягнення цілей, що відповідають критеріям прийняття рішень;
  • Виявляти та контролювати можливості, загрози, комплаєнс-вимоги та оцінювати, як вони впливають на цілі організації;
  • Створити плани дій шляхом розподілу необхідних ресурсів, фінансування та мінімізувати вплив стримуючих факторів, що заважають досягненню цілей.
  • Забезпечити ефективне корпоративне управління та сформувати настанови менеджменту щодо належних критеріїв прийняття рішень.
  • Встановити стратегічні цілі та каскадувати їх по всіх рівнях організації.

 

Компонент «PERFORM»

Для досягнення Principled Performance організація повинна застосовувати дії та засоби контролю, щоб забезпечити мінімізацію невизначеності та сумлінне досягнення встановлених цілей. Для цього необхідно активно стимулювати належну поведінку та заходи, що підтримують зазначені цілі, і намагатися запобігти тому, що загрожує досягненню цих цілей. Необхідно також мати можливість аналізувати прогрес в досягненні цілей, визначати небажану поведінку, умови та події, що призвели/можуть призвести до неналежної поведінки. Нарешті, організація повинна належним чином реагувати на бажану та небажану поведінку. Реагування включає дисципліну, мотивацію належної поведінки, а також аналіз та рекомендацію змін щодо виявлених слабких сторін у проєктній або оперативній ефективності дій та контролю.

Дії та засоби контролю, як правило, класифікуються на процеси, людський капітал, технологію та фізичні типи контролів. Те, як кожна організація інтегрує та практично застосовує різні типи контрольних дій та засобів контролю буде залежати від ідентифікованих можливостей, загроз та комплаєнс-вимог, а також від того, який вплив має кожен тип контролю  на діяльність організації на основі різних оцінок та міркувань. Сьогодні багато організацій мають технологію, яка дозволяє збирати, сортувати та аналізувати дані як ніколи раніше. Ця здатність може підтримувати зусилля щодо виявлення, запобігання та навіть прогнозування подій та поведінки, які потім можна вирішити за допомогою різних дій та засобів контролю.

Кілька ключових дій та засобів контролю застосовуються практично в кожній організації, і вони, як правило, підтримуються різними типами технологій.

До них належать:

● Проактивні дії та засоби контролю

○ Політики

○ Комунікації

○ Навчання

○ Мотивація

● Детективні дії та засоби управління

○ Повідомлення

○ Аудит

○ Контрольні перевірки

○ Комплаєнс-аудит

● Адаптивні дії та засоби управління.

 

Компонент «REVIEW»

Для досягнення Principled Performance організація повинна здійснювати моніторинг, вимірювання ефективності застосованих заходів контролю, забезпечити їх постійне вдосконалення та надавати впевненість у встановлених діях та засобах контролю для забезпечення їх використання належним чином.

Зміни у зовнішньому та внутрішньому контексті можуть змінити властиві та залишкові рівні ризику та комплаєнс-цілі, а також можуть призвести до зниження ефективності контрольних дій. Коли операційна ефективність низька або відбулась суттєва зміна внутрішнього або зовнішнього контексту, організація повинна актуалізувати прийнятні дії та засоби контролю, що відповідають вимогам критеріїв прийняття рішень. У деяких випадках також доведеться переглянути цілі та стратегії (калібрування стратегії).

Існує кілька ключових дій та засобів контролю, що можуть бути застосовані у даному випадку та мають найбільшу ефективність. До них належать:

  • Моніторинг ефективності всіх визначених дій та засобів контролю;
  • Забезпечення гарантії щодо належного дизайну й ефективності контрольних дій та засобів контролю, визначення їх впливу на досягнення цілі (ключові контрольні процедури). Такі гарантії в основному надаються внутрішнім аудитом організації;
  • Забезпечення циклів зворотного зв’язку та оцінок “засвоєних уроків”;
  • Покращення дизайну та операційної ефективності визначених дій та засобів контролю у разі необхідності.

В цілому GRC-моделі надають можливість компаніям реалізувати комплексний підхід до концепції GRC, дозволяючи вирішувати такі завдання:

  • чітко структурувати, автоматизувати і підвищувати ефективність бізнес-процесів;
  • забезпечувати централізоване зберігання і доступ до інформації;
  • формувати детальну та агреговану управлінську звітність;
  • ефективно керувати правами доступу користувачів;
  • автоматизувати розрахункові моделі;
  • знижувати витрати на підтримку бізнес-процесів.

В свою чергу, впровадження інтегрованих GRC-систем - досить трудомісткий і тривалий процес, проте, як показують результати досліджень, проведених OCEG [1], більш ніж у 70 відсотках випадків результати, отримані від впровадження GRC-систем, повністю відповідали очікуванням бізнес-замовника , а в деяких випадках навіть перевищували їх.

Згідно з даними досліджень OCEG[2], найбільш значущими результатами від впровадження інтегрованих GRC систем стали:

  • Зниження кількості виявлених недоліків в процесах управління ризиками і комплаєнс на 71%;
  • Скорочення надлишкових та дублюючих функцій/заходів – на 62%;
  • Підвищення ефективності надання інформації керівництву – на 58%;
  •  Підвищення ефективності доступу до необхідної інформації – на 57%;
  • Підвищення ефективності бізнес-процесів – на 48%;
  • Зниження впливу розбіжності підходів в оцінці ризиків та комплаєнсу – на 35%;
  • Зниження затрат на підтримання GRC-процесів – на 32%.

Зрозуміло, що впровадження інтегрованих GRC-систем - непросте завдання, що вимагає від компаній певного рівня зрілості бізнес-процесів, усталених підходів до управління ризиками, розуміння комплаєнс вимог, як з боку законодавства, так і з боку бізнесу. Тому найчастіше впровадження інтегрованих GRC-систем стає вибором високотехнологічних і прогресивних компаній, які прагнуть трансформувати накопичену інформацію в конкурентні переваги для бізнесу та ефективно ними управляти.

 


 

[1] https://go.oceg.org/oceg-2015-grc-maturity-survey-report#action

[2] https://go.oceg.org/oceg-2015-grc-maturity-survey-report#action

 

Автор уроку: Марія Поломошнова (PhD, MBA, MICA, Int.Dip (GRC), LSS, GRCP), незалежний директор ЗАТ «МТБанк», Голова Аудиторського комітету Ради директорів, членкиня Комітету з ризиків, Комітету з винагород та номінацій.

Отримайте знання від кращих експертів на ринку
Реєстрація в академії
Add "YouControl" app to your home screen
Press load -> ‘Add to Home Screen’