GRC - управление ИТ, управление рисками и соответствие требованиям в ServiceNow

Цель нашей компании - автоматизация бизнес-процессов и создание сервисной модели, которая помогает не тратить время на рутинные операции, а способствует росту и развитию бизнеса.

puzzle-720x440.jpg

Любая компания с момента своего основания стремится к росту и развитию. По мере взросления перед бизнесом возникают новые задачи, увеличиваются объемы обрабатываемой информации, возникают новые риски. Также, выходят законы влияющие на деятельность компании, меняются внутренние регламенты и подход к управлению бизнес-процессами, возникают новые проблемы. Таким образом на одном из этапов развития бизнеса возникает необходимость комплексного подхода к решению ряда организационных задач, затянув с выполнением которых есть риск снизить темпы роста, или даже отстать от конкурентов. К таким задачам можно отнести:

  • Управление внутренним аудитом (Audit Management)
  • Планирование непрерывности бизнеса (Business Continuity Management Planning)
  • Соответствие корпоративным требованиям (Corporate Compliance and Oversight)
  • Соответствие требованиям законодательства (Enterprise Legal Management
  • Управление операционными рисками (Operational Risk Management)
  • Управление рисками, связанными с поставщиками ИТ-услуг/ИТ-систем (IT Vendor Risk Management)
  • Управление рисками ИТ (IT Risk Management)  

Такие задачи могут возникать отдельно друг от друга или все вместе и осознание необходимости их решения свидетельствует о зрелости компании, а правильно подобранные инструменты позволят сделать это централизовано, понятно и удобно. Такие инструменты чаще всего являются частью GRC-систем.

Тренога – устойчивая конструкция

GRC расшифровывается как Governance, Risc, Compliance. По сути это общий термин, описывающий подход к решению достаточно широкого спектра задач, перечисленного выше. Состоит он в сочетании людей, процессов и продуктов, участвующих в определении и достижении бизнес-целей, при одновременном снижении риска и подтверждении соответствия нормативным требованиям. Выглядит такое определение не слишком понятно, поэтому давайте разберем каждое понятие подробнее:

Governance – Управление. Имея тот же смысл в переводе на русский, значительно отличается от management и означает скорее стратегическое управление. В данном случае отвечает за определение целей, инициацию и контроль деятельности, направленной на достижение этих целей.

Risk management – Управление рисками. Отвечает за определение причин возможного срыва сроков или невозможности достижения целей, а также оценивает возможные потери на пути их достижения.

Compliance – Контроль соответствия целей и деятельности направленной на их достижение относительно внешних и внутренних ограничений и правил, таких как государственные законы или внутренние регламенты и бизнес процессы компании, как на этапе планирования, так и на этапе реализации.

Другими словами, компания, использующая концепцию GRC, имеет возможность контролировать бизнес-процессы и планировать развитие своей деятельности правильно оценивая риски и полностью соответствуя внутренним и внешним требованиям на всех этапах.

На рынке достаточно много инструментов, позволяющих использовать концепцию GRC, и их основная задача состоит в том, чтобы связать в одно целое информацию о стратегии развития, управлении бизнес-процессами и рисками и предоставить ее в удобном для понимания виде. Для вывода оперативной информации и возможности своевременной корректировки такие инструменты должны встраиваться в существующие системы управления и быть с ними полностью совместимыми. Давайте рассмотрим реализацию данной концепции на примере облачной платформы ServiceNow.

Все просто. Все в одном

Начнем с того, что ServiceNow это ITSM облачная платформа, в составе которой работают необходимые приложения для управления многими аспектами бизнеса в целом, такими как «Управление юридическими подразделениями», «Управление конфигурациями и активами» и конечно же его IT-составляющей, такими как «Управление инцидентами». Вся работа с приложениями ведется в браузере и не требует каких-либо настроек или обслуживания, этот вид услуги называется PaaS (Platform as a Service) и он становиться все популярнее среди компаний по всему миру, позволяя экономить время и, конечно же, средства на квалифицированном персонале.

GRC в ServiceNow реализована тремя основными приложениями, полностью интегрированными в основную платформу и работающие на основе данных получаемых из ее сервисов. Рассмотрим подробнее каждое из них:

1. Приложение ServiceNow Risk Management – обеспечивает централизованный процесс выявления, оценки, реагирования и постоянного мониторинга корпоративных и ИТ-рисков, которые могут негативно повлиять на бизнес. Так же позволяет управлять оценками рисков, индикаторами риска и проблемами риска.

Приложение состоит из нескольких частей:

  • GRC Workbench представляет собой графический интерфейс для создания профилей и зависимостей от рисков. Эти связи позволяют осуществлять последовательное сопоставление и моделирование рисков.

GRC Workbench

  • Раздел Library содержит все структуры рисков и отчеты о них, так же позволяет сгруппировать отчеты о рисках в управляемые категории.
  • Раздел Risk Register является центральным хранилищем всех потенциальных рисков, которые могут возникнуть в любое время и в любом месте организации.

Также, приложение дает возможность обзора сводной информации, на основании которой можно быстро определять проблемные области, выявляя профили с известным высоким уровнем риска.

GRC - обзор сводной информации

2. Приложение ServiceNow Policy and Compliance Management – обеспечивает централизованный процесс создания и управления политиками, стандартами и процедурами внутреннего контроля, которые сопоставляются с внешними правилами. Также, дает возможность идентификации, оценки и мониторинга деятельности по контролю.

Приложение состоит из двух основных модулей:

  • Модуль Complience - содержит обзорную информацию о соответствиях, а также списки ваших официальных документов и ссылок. 

ServiceNow Policy and Compliance Management - 1

В официальных документах определяются политики, риски, элементы управления, аудиты и другие процессы. Каждый официальный документ принадлежит определенной записи, а соответствующие списки в этой записи содержат индивидуальные условия этого документа. Взаимосвязи этих элементов документооборота видны в инструментальной панели GRC в приложении Policy and Compliance Management.

  • Модуль Policies and Procedures – содержит несколько разделов, позволяющих управлять политиками и соответствием, а также получать о них полную информацию.

Раздел Overview содержит информацию о соблюдении соответствия, для наглядного определения проблемных областей. Право просмотра этой информации имеют пользователи с ролью «Администратор соответствия» и «Менеджер соответствия».

ServiceNow Policy and Compliance Management - 2

Раздел My Policies содержит все политики, требующие вашего утверждения и после того как будут утверждены считаются актуальными на период времени, установленного менеджерами соответствия. Доступные типы политик: процедура, стандарт, план, контрольный список, структура, шаблон и, конечно же политика.

В раздел Policies менеджеры соответствия публикуют внутренние политики, определяющие работу бизнес-процессов и стандартов.

Раздел Policy Statements содержит каталогизированную информацию о работающих политиках.

3. Приложение ServiceNow Audit Management – позволяет планировать аудиторские задания, контролировать выполнение и предоставлять отчеты ответственным лицам. Отчетность о взаимодействии гарантирует ключевым заинтересованным сторонам, что стратегия управления рисками организации и соблюдением законодательства эффективна.

ServiceNow Audit Management

Процесс аудита включает в себя создание, планирование, определение области охвата и проведение аудиторских заданий, а также отчетность о результатах. Основной задачей является предоставление документального подтверждения того что организация соблюдает внешние правила и внутреннюю политику. При создании или переназначении задач аудита, ответственный пользователь получает уведомление.

Данное приложение позволяет также запускать тестирование планов аудита и имеет графический интерфейс, для удобства использования.

Дополнительно хочется отметить, что каждое из приложений, помимо возможности настройки содержит модуль Scoping, содержащий профили и типы профилей для использования во всех связанных с GRC приложениях.

Таким образом GRC в ServiceNow являясь частью мощной платформы автоматизации бизнеса помогает решать большое количество важных задач за счет интеграции с существующими бизнес-процессами и использования общих данных с основными сервисами управления, просто запустив решение «из коробки».

Заключение

Любая компания на определенном этапе развития сталкивается с необходимостью решать «взрослые задачи», такие как планирование развития, оценка рисков и соответствие законодательству. Использование методов GRC является не просто показателем зрелости бизнеса, но и эффективным инструментом, позволяющим сохранить, или даже увеличить темпы развития. В то же время внедрение и использование таких инструментов должно быть простым и понятным, чтобы освоение технологий направленных на улучшение показателей бизнеса не обратилось головной болью для всей компании.


Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.