Yönetişim, risk yönetimi ve uyumluluk - Governance, risk management, and compliance

Yönetişim, risk yönetimi ve uyumluluk ( GRC ), bir kuruluşun şu üç uygulamadaki yaklaşımını kapsayan bir terimdir: yönetişim , risk yönetimi ve uyumluluk . GRC ile ilgili ilk bilimsel araştırma, GRC'nin resmi olarak "bir kuruluşun hedeflere güvenilir bir şekilde ulaşmasını, belirsizliği ele almasını ve bütünlük içinde hareket etmesini sağlayan entegre yetenekler topluluğu" olarak tanımlandığı 2007'de yayınlandı. Araştırma, iç denetim, uyum, risk, hukuk, finans, BT, İK gibi departmanların yanı sıra iş kolları, yönetici grubu ve yönetim kurulunun kendisinde yürütülen ortak "şirketi rayında tutma" faaliyetlerine atıfta bulundu.

genel bakış

Yönetişim, risk yönetimi ve uyumluluk, bir kuruluşun hedeflere güvenilir bir şekilde ulaşmasını, belirsizliği ele almasını ve dürüstlükle hareket etmesini sağlamayı amaçlayan birbiriyle ilişkili üç unsurdur. Yönetişim, yöneticiler (veya yönetim kurulu) tarafından oluşturulan ve yürütülen, organizasyonun yapısına ve nasıl yönetildiğine ve hedeflere ulaşmaya yönlendirildiğine yansıyan süreçlerin birleşimidir. Risk yönetimi, kuruluşun belirsizlik altında hedeflerine güvenilir bir şekilde ulaşmasını engelleyebilecek riskleri tahmin etmek ve yönetmektir. Uyum, zorunlu sınırlara (yasalar ve yönetmelikler) ve gönüllü sınırlara (şirketin politikaları, prosedürleri vb.) bağlı kalmayı ifade eder.

GRC, daha verimli çalışmak, etkin bilgi paylaşımını sağlamak, faaliyetleri daha etkin bir şekilde raporlamak ve israflı çakışmalardan kaçınmak için yönetim genelinde bilgi ve etkinliği ve uyumluluğu senkronize etmeyi amaçlayan bir disiplindir. Çeşitli kuruluşlarda farklı yorumlansa da, GRC tipik olarak kurumsal yönetim , kurumsal risk yönetimi (ERM) ve geçerli yasa ve yönetmeliklere kurumsal uyum gibi faaliyetleri kapsar .

Kuruluşlar, etkin bir şekilde çalışmak için GRC faaliyetleri üzerinde eşgüdümlü kontrolün gerekli olduğu bir boyuta ulaşır. Bu üç disiplinin her biri diğer ikisi için değerli bilgiler yaratır ve üçü de aynı teknolojileri, insanları, süreçleri ve bilgileri etkiler.

Yönetişim, risk yönetimi ve uyumluluk bağımsız olarak yönetildiğinde, görevlerin önemli ölçüde tekrarlanması gelişir. Örtüşen ve yinelenen GRC faaliyetleri, hem işletim maliyetlerini hem de GRC matrislerini olumsuz etkiler. Örneğin, her bir dahili hizmet, birden fazla grup tarafından yıllık olarak denetlenip değerlendirilebilir, bu da muazzam maliyetler ve bağlantısız sonuçlar doğurabilir. Bağlantısız bir GRC yaklaşımı, bir kuruluşun gerçek zamanlı GRC yönetici raporları sunmasını da önleyecektir. GRC, bu yaklaşımın, kötü planlanmış bir ulaşım sistemi gibi, her bir güzergahın çalışacağını, ancak ağın birlikte etkili bir şekilde çalışmasına izin verecek niteliklerden yoksun olacağını varsayıyor.

Entegre edilmezse, geleneksel bir "silo" yaklaşımıyla ele alınırsa, çoğu kuruluş teknolojideki değişiklikler, artan veri depolaması, pazar küreselleşmesi ve artan düzenlemeler nedeniyle yönetilemez sayıda GRC ile ilgili gereksinimleri sürdürmek zorundadır.

GRC konuları

Temel konseptler

  • Yönetişim , üst düzey yöneticilerin yönetim bilgisi ve hiyerarşik yönetim kontrol yapılarının bir kombinasyonunu kullanarak tüm organizasyonu yönlendirdiği ve kontrol ettiği genel yönetim yaklaşımını tanımlar. Yönetişim faaliyetleri, yönetim ekibine ulaşan kritik yönetim bilgilerinin, uygun yönetim kararlarının alınmasını sağlamak için yeterince eksiksiz, doğru ve zamanında olmasını sağlar ve yönetimden gelen stratejilerin, talimatların ve talimatların sistematik ve etkili bir şekilde yürütülmesini sağlamak için kontrol mekanizmalarını sağlar.
  • Zorunlu farkındalık, kuruluşun tüm zorunlu ve gönüllü yükümlülüklerinden, yani ilgili yasalar, düzenleyici gereksinimler, sektör kuralları ve kurumsal standartların yanı sıra iyi yönetişim standartları, genel kabul görmüş en iyi uygulamalar, etik ve toplum beklentileri. Bu yükümlülükler, operasyonel mülkiyet güvenliği, ürün güvenliği, gıda güvenliği, işyeri sağlığı ve güvenliği, varlık bakımı vb. gibi çeşitli alanları içerdiği durumlarda finansal, stratejik veya operasyonel olabilir.
  • Risk yönetimi , yönetimin kuruluşun iş hedeflerinin gerçekleştirilmesini olumsuz yönde etkileyebilecek riskleri belirlediği, analiz ettiği ve gerektiğinde uygun şekilde yanıt verdiği süreçler dizisidir. Risklere verilen yanıt tipik olarak algılanan ciddiyete bağlıdır ve bunları kontrol etmeyi, kaçınmayı, kabul etmeyi veya üçüncü bir tarafa aktarmayı içerirken, kuruluşlar rutin olarak çok çeşitli riskleri (örneğin teknolojik riskler, ticari/finansal riskler, bilgi güvenliği riskleri vb.) yönetir. ).
  • Uygunluk , belirtilen gerekliliklere uygunluk anlamına gelir. Organizasyonel düzeyde, uygulanabilir gereksinimleri belirleyen (örneğin yasalar, yönetmelikler, sözleşmeler, stratejiler ve politikalarda tanımlanan), uyum durumunu değerlendiren, riskleri ve uyumsuzluğun potansiyel maliyetlerini değerlendiren yönetim süreçleri aracılığıyla gerçekleştirilir. uyumluluğu sağlamak ve dolayısıyla gerekli görülen düzeltici eylemleri finanse etmek ve başlatmak için öngörülen harcamaları önceliklendirin. Uyum yönetimi, tüm uyum belgelerinin güncel tutulması, risk kontrollerinin güncelliğinin sağlanması ve uyum raporlarının oluşturulmasına yönelik idari uygulamayı ifade eder.

GRC pazar segmentasyonu

İşletme içindeki herhangi bir alana odaklanmak için bir GRC programı oluşturulabilir veya tam entegre bir GRC, tek bir çerçeve kullanarak işletmenin tüm alanlarında çalışabilir.

Tam entegre bir GRC, izlenen tüm birincil yönetişim faktörlerine eşlenen tek bir çekirdek kontrol malzemesi seti kullanır. Tek bir çerçevenin kullanılması, yinelenen düzeltici eylemlerin olasılığını azaltma avantajına da sahiptir.

Bireysel GRC alanları olarak incelendiğinde, en yaygın bireysel başlıklar Mali GRC, Operasyonel GRC, WHS GRC, IT GRC ve Legal GRC olarak kabul edilir.

  • Mali GRC, tüm mali süreçlerin doğru işleyişini sağlamayı amaçlayan faaliyetlerle ve aynı zamanda finansla ilgili her türlü talimata uyulmasıyla ilgilidir.
  • Operasyonel GRC, mülkiyet güvenliği, ürün güvenliği, gıda güvenliği, işyeri sağlığı ve güvenliği, BT uyumluluğu varlık bakımı gibi tüm operasyonel faaliyetlerle ilgilidir.
  • Operasyonel GRC'nin bir alt kümesi olan WHS GRC, tüm işyeri sağlık ve güvenlik faaliyetleriyle ilgilidir.
  • Operasyonel GRC'nin bir alt kümesi olan BT GRC, BT ( Bilgi Teknolojisi ) organizasyonunun işletmenin mevcut ve gelecekteki ihtiyaçlarını desteklemesini ve BT ile ilgili tüm yetkilere uymasını sağlamaya yönelik faaliyetlerle ilgilidir .
  • Legal GRC, bir kuruluşun hukuk departmanı ve baş uyum görevlisi aracılığıyla üç bileşenin tümünü birbirine bağlamaya odaklanır . Ancak bu, ISO 37301 zorunlu ve gönüllü yükümlülüklere atıfta bulunduğundan ve yasal GRC'ye odaklanmanın önyargıya yol açabileceğinden yanıltıcı olabilir.

AICD (Şirket Yönetim Avustralya Enstitüsü) ancak üç süper gruba riskini böler

  • Finansal risk
  • Operasyonel risk
  • Stratejik Risk

Analistler, GRC'nin bu yönlerinin pazar kategorileri olarak nasıl tanımlandığı konusunda hemfikir değiller. Gartner , geniş GRC pazarının aşağıdaki alanları içerdiğini belirtti:

  • Finans ve denetim GRC
  • BT GRC yönetimi
  • Kurumsal Risk Yönetimi.

BT GRC yönetim pazarını ayrıca bu temel yeteneklere bölerler.

  • Denetimler ve ilke kitaplığı
  • Politika dağıtımı ve yanıt
  • BT, öz değerlendirme ve ölçümü kontrol eder
  • BT Varlık deposu
  • Otomatik genel bilgisayar kontrolü (GCC) toplama
  • Düzeltme ve istisna yönetimi
  • Raporlama
  • Gelişmiş BT risk değerlendirmesi ve uyumluluk panoları

GRC ürün satıcıları

Geniş GRC pazarının alt segmentleri arasındaki ayrımlar genellikle net değildir. Son zamanlarda çok sayıda satıcının bu pazara girmesiyle, belirli bir iş sorunu için en iyi ürünü belirlemek zor olabilir. Analistlerin pazar bölümlendirme konusunda tam olarak anlaşamadıkları göz önüne alındığında, satıcı konumlandırması kafa karışıklığını artırabilir.

Bu pazarın dinamik doğası gereği, herhangi bir satıcı analizi genellikle yayınlandıktan hemen sonra güncelliğini yitirir.

Genel olarak, satıcı pazarının üç segmentte var olduğu düşünülebilir:

  • Entegre GRC çözümleri (çoklu yönetim ilgisi, kurumsal çapta)
  • Alana özel GRC çözümleri (tek yönetim ilgi alanı, kurumsal çapta)
  • Çözümleri GRC'ye yönlendirin (kurum çapında yönetişim veya kurumsal çapta risk veya kurum çapında uyumluluk ile ilgilidir ancak bir arada değil.)

Entegre GRC çözümleri, ayrı varlıklar olarak ele almak yerine bu alanların yönetimini birleştirmeye çalışır. Entegre bir çözüm, tek bir uyumluluk kontrolleri kitaplığını yönetebilir, ancak bunları her yönetişim faktörüne karşı yönetebilir, izleyebilir ve sunabilir. Örneğin, alana özgü bir yaklaşımda, tek bir bozuk etkinliğe karşı üç veya daha fazla bulgu üretilebilir. Entegre çözüm, bunu eşlenen yönetişim faktörleriyle ilgili bir kırılma olarak kabul eder.

Alana özel GRC satıcıları, belirli bir yönetişim alanındaki yönetişim, risk ve uyumluluk arasındaki döngüsel bağlantıyı anlar. Örneğin, finansal işlemlerde - bir riskin ya bir kontrolün olmaması (yönetimi güncelleme ihtiyacı) ve/veya mevcut bir kontrole uyulmaması (veya düşük kaliteli) ile ilgili olması. GRC'yi ayrı bir pazara bölmenin ilk hedefi, bazı satıcıların hareket eksikliği konusunda kafasını karıştırdı. Denetim tarafında bir alanda derin bir eğitim eksikliğinin, genel olarak denetime güvensizlikle birleştiğinde, kurumsal bir ortamda bir çatlağa neden olduğu düşünülmektedir. Bununla birlikte, piyasada, alana özgü kalırken, ürünlerini son kullanıcılara ve departmanlara pazarlamaya başlayan ve teğet veya örtüşse de iç kurumsal iç denetim (CIA) ve dış denetim ekiplerini içerecek şekilde genişleyen satıcılar vardır. (tier 1 büyük dört VE katman iki ve altı), hedef kitle olarak bilgi güvenliği ve operasyonlar/üretim. Bu yaklaşım, sürece daha 'açık kitap' bir yaklaşım sağlar. Üretim ekibi, üretimin de erişimi olan bir uygulama kullanılarak CIA tarafından denetlenecekse, nihai hedefin 'uyumlu' olmak değil, 'güvenli' veya mümkün olduğunca güvenli olması nedeniyle riski daha hızlı azaltacağı düşünülmektedir. Ayrıca piyasada bulunan otomasyona dayalı ve iş yükünüzü azaltabilecek çeşitli GRC Araçlarını da deneyebilirsiniz.

GRC'ye yönelik noktasal çözümler, alanlarından yalnızca birini ele almaya odaklanmalarıyla kendini gösterir. Bazı sınırlı gereksinim durumlarında, bu çözümler uygulanabilir bir amaca hizmet edebilir. Ancak, alana özgü sorunları büyük derinlikte çözmek için tasarlanma eğiliminde olduklarından, genellikle birleşik bir yaklaşım benimsemezler ve entegre yönetişim gereksinimlerine tolerans göstermezler. Bilgi sistemleri , GRC yönetimi gereksinimlerinin tasarım aşamasında tutarlı bir çerçevenin parçası olarak dahil edilmesi halinde bu konuları daha iyi ele alacaktır.

GRC veri ambarı ve iş zekası

Entegre bir veri çerçevesine sahip GRC satıcıları artık özel olarak oluşturulmuş GRC veri ambarı ve iş zekası çözümleri sunabilmektedir. Bu, herhangi bir sayıda mevcut GRC uygulamasından yüksek değerli verilerin derlenmesine ve analiz edilmesine olanak tanır.

Bu yaklaşımı kullanarak GRC verilerinin toplanması, riskin erken belirlenmesinde ve iş süreci (ve iş kontrolü) iyileştirmesinde önemli faydalar sağlar.

Bu yaklaşımın diğer faydaları arasında (i) mevcut, uzman ve yüksek değerli uygulamaların etkisi olmadan devam etmesine izin verir (ii) ilk değişiklik yalnızca raporlama katmanına eklendiği için kuruluşlar entegre bir GRC yaklaşımına daha kolay bir geçişi yönetebilir ve (iii) ) daha önce ortak bir veri şeması olmayan sistemler arasında veri değerini karşılaştırma ve karşılaştırma için gerçek zamanlı bir yetenek sağlar.'

GRC araştırması

2009 yılında yapılan bir yayın incelemesi, GRC hakkında neredeyse hiç bilimsel araştırma olmadığını ortaya koydu. Yazarlar, kapsamlı bir literatür taramasından ilk GRC kısa tanımını türetmeye devam ettiler. Daha sonra tanım, GRC uzmanları arasında yapılan bir ankette doğrulandı. "GRC, bir kuruluşun strateji, süreçler, teknoloji ve insanların uyumlaştırılması yoluyla etik açıdan doğru ve risk iştahına, iç politikalara ve dış düzenlemelere uygun olarak hareket etmesini sağlayan, böylece verimliliği ve etkinliği artıran, kuruluş çapındaki GRC'ye entegre, bütünsel bir yaklaşımdır. " Yazarlar daha sonra tanımı GRC araştırması için bir referans çerçevesine çevirdi.

Yönetim, Risk Yönetimi ve Uyum gibi temel disiplinlerin her biri dört temel bileşenden oluşur : strateji, süreçler, teknoloji ve insanlar. Kuruluşun risk iştahı , iç politikaları ve dış düzenlemeleri GRC kurallarını oluşturmaktadır . Disiplinler, bileşenleri ve kuralları artık entegre, bütünsel ve organizasyon çapında ( GRC'nin üç ana özelliği ) bir şekilde birleştirilecek - GRC aracılığıyla yönetilen ve desteklenen (iş) operasyonları ile uyumlu. Bu yaklaşımı uygularken, kuruluşlar şu hedeflere ulaşmayı çok isterler : etik olarak doğru davranış ve ilgili unsurlardan herhangi birinin geliştirilmiş verimliliği ve etkinliği.

Ayrıca bakınız

Referanslar