Любая компания с момента своего основания стремится к росту и развитию. По мере взросления перед бизнесом возникают новые задачи, увеличиваются объемы обрабатываемой информации, возникают новые риски. Также, выходят законы влияющие на деятельность компании, меняются внутренние регламенты и подход к управлению бизнес-процессами, возникают новые проблемы. Таким образом на одном из этапов развития бизнеса возникает необходимость комплексного подхода к решению ряда организационных задач, затянув с выполнением которых есть риск снизить темпы роста, или даже отстать от конкурентов. К таким задачам можно отнести:
- Управление внутренним аудитом (Audit Management)
- Планирование непрерывности бизнеса (Business Continuity Management Planning)
- Соответствие корпоративным требованиям (Corporate Compliance and Oversight)
- Соответствие требованиям законодательства (Enterprise Legal Management
- Управление операционными рисками (Operational Risk Management)
- Управление рисками, связанными с поставщиками ИТ-услуг/ИТ-систем (IT Vendor Risk Management)
- Управление рисками ИТ (IT Risk Management)
Такие задачи могут возникать отдельно друг от друга или все вместе и осознание необходимости их решения свидетельствует о зрелости компании, а правильно подобранные инструменты позволят сделать это централизовано, понятно и удобно. Такие инструменты чаще всего являются частью GRC-систем.
Тренога – устойчивая конструкция
GRC расшифровывается как Governance, Risk and Compliance. По сути это общий термин, описывающий подход к решению достаточно широкого спектра задач, перечисленного выше. Состоит он в сочетании людей, процессов и продуктов, участвующих в определении и достижении бизнес-целей, при одновременном снижении риска и подтверждении соответствия нормативным требованиям. Выглядит такое определение не слишком понятно, поэтому давайте разберем каждое понятие подробнее:
Governance – Управление. Имея тот же смысл в переводе на русский, значительно отличается от management и означает скорее стратегическое управление. В данном случае отвечает за определение целей, инициацию и контроль деятельности, направленной на достижение этих целей.
Risk management – Управление рисками. Отвечает за определение причин возможного срыва сроков или невозможности достижения целей, а также оценивает возможные потери на пути их достижения.
Compliance – Контроль соответствия целей и деятельности направленной на их достижение относительно внешних и внутренних ограничений и правил, таких как государственные законы или внутренние регламенты и бизнес процессы компании, как на этапе планирования, так и на этапе реализации.
Другими словами, компания, использующая концепцию GRC, имеет возможность контролировать бизнес-процессы и планировать развитие своей деятельности правильно оценивая риски и полностью соответствуя внутренним и внешним требованиям на всех этапах.
На рынке достаточно много инструментов, позволяющих использовать концепцию GRC, и их основная задача состоит в том, чтобы связать в одно целое информацию о стратегии развития, управлении бизнес-процессами и рисками и предоставить ее в удобном для понимания виде. Для вывода оперативной информации и возможности своевременной корректировки такие инструменты должны встраиваться в существующие системы управления и быть с ними полностью совместимыми. Давайте рассмотрим реализацию данной концепции на примере облачной платформы ServiceNow.
Все просто. Все в одном
Начнем с того, что ServiceNow это ITSM облачная платформа, в составе которой работают необходимые приложения для управления многими аспектами бизнеса в целом, такими как «Управление юридическими подразделениями», «Управление конфигурациями и активами» и конечно же его IT-составляющей, такими как «Управление инцидентами». Вся работа с приложениями ведется в браузере и не требует каких-либо настроек или обслуживания, этот вид услуги называется PaaS (Platform as a Service) и он становиться все популярнее среди компаний по всему миру, позволяя экономить время и, конечно же, средства на квалифицированном персонале.
GRC в ServiceNow реализована тремя основными приложениями, полностью интегрированными в основную платформу и работающие на основе данных получаемых из ее сервисов. Рассмотрим подробнее каждое из них:
1. Приложение ServiceNow Risk Management – обеспечивает централизованный процесс выявления, оценки, реагирования и постоянного мониторинга корпоративных и ИТ-рисков, которые могут негативно повлиять на бизнес. Так же позволяет управлять оценками рисков, индикаторами риска и проблемами риска.
Приложение состоит из нескольких частей:
- GRC Workbench представляет собой графический интерфейс для создания профилей и зависимостей от рисков. Эти связи позволяют осуществлять последовательное сопоставление и моделирование рисков.
- Раздел Library содержит все структуры рисков и отчеты о них, так же позволяет сгруппировать отчеты о рисках в управляемые категории.
- Раздел Risk Register является центральным хранилищем всех потенциальных рисков, которые могут возникнуть в любое время и в любом месте организации.
Также, приложение дает возможность обзора сводной информации, на основании которой можно быстро определять проблемные области, выявляя профили с известным высоким уровнем риска.
2. Приложение ServiceNow Policy and Compliance Management – обеспечивает централизованный процесс создания и управления политиками, стандартами и процедурами внутреннего контроля, которые сопоставляются с внешними правилами. Также, дает возможность идентификации, оценки и мониторинга деятельности по контролю.
Приложение состоит из двух основных модулей:
- Модуль Complience — содержит обзорную информацию о соответствиях, а также списки ваших официальных документов и ссылок.
В официальных документах определяются политики, риски, элементы управления, аудиты и другие процессы. Каждый официальный документ принадлежит определенной записи, а соответствующие списки в этой записи содержат индивидуальные условия этого документа. Взаимосвязи этих элементов документооборота видны в инструментальной панели GRC в приложении Policy and Compliance Management.
- Модуль Policies and Procedures – содержит несколько разделов, позволяющих управлять политиками и соответствием, а также получать о них полную информацию.
Раздел Overview содержит информацию о соблюдении соответствия, для наглядного определения проблемных областей. Право просмотра этой информации имеют пользователи с ролью «Администратор соответствия» и «Менеджер соответствия».
Раздел My Policies содержит все политики, требующие вашего утверждения и после того как будут утверждены считаются актуальными на период времени, установленного менеджерами соответствия. Доступные типы политик: процедура, стандарт, план, контрольный список, структура, шаблон и, конечно же политика.
В раздел Policies менеджеры соответствия публикуют внутренние политики, определяющие работу бизнес-процессов и стандартов.
Раздел Policy Statements содержит каталогизированную информацию о работающих политиках.
3. Приложение ServiceNow Audit Management – позволяет планировать аудиторские задания, контролировать выполнение и предоставлять отчеты ответственным лицам. Отчетность о взаимодействии гарантирует ключевым заинтересованным сторонам, что стратегия управления рисками организации и соблюдением законодательства эффективна.
Процесс аудита включает в себя создание, планирование, определение области охвата и проведение аудиторских заданий, а также отчетность о результатах. Основной задачей является предоставление документального подтверждения того что организация соблюдает внешние правила и внутреннюю политику. При создании или переназначении задач аудита, ответственный пользователь получает уведомление.
Данное приложение позволяет также запускать тестирование планов аудита и имеет графический интерфейс, для удобства использования.
Дополнительно хочется отметить, что каждое из приложений, помимо возможности настройки содержит модуль Scoping, содержащий профили и типы профилей для использования во всех связанных с GRC приложениях.
Таким образом GRC в ServiceNow являясь частью мощной платформы автоматизации бизнеса помогает решать большое количество важных задач за счет интеграции с существующими бизнес-процессами и использования общих данных с основными сервисами управления, просто запустив решение «из коробки».
Заключение
Любая компания на определенном этапе развития сталкивается с необходимостью решать «взрослые задачи», такие как планирование развития, оценка рисков и соответствие законодательству. Использование методов GRC является не просто показателем зрелости бизнеса, но и эффективным инструментом, позволяющим сохранить, или даже увеличить темпы развития. В то же время внедрение и использование таких инструментов должно быть простым и понятным, чтобы освоение технологий направленных на улучшение показателей бизнеса не обратилось головной болью для всей компании.