В современном динамично меняющемся мире скорость принятия решений является одним из главных конкурентных преимуществ. Причем это относится не только к тактике бизнеса, но и к его стратегии, включая внедрение новых моделей менеджмента и управления на основе данных, а также применение цифровых технологий для глубокой трансформации организаций с целью повышения их эффективности и конкурентоспособности в среднесрочной и долгосрочной перспективе.
Новизна применяемых управленческих идей и инструментов, а также средств автоматизации способствуют тому, что управленческие решения могут чаще, чем это случалось раньше, нарушать те или иные формализованные или неявные ограничения. Эти ограничения могут как идти извне (требования регуляторов и проверяющих организаций, а также государств и международных организаций), так и быть выработанными самой компанией (от ее миссии и корпоративной культуры до запретов на совмещение сотрудниками определенных полномочий). Это создает новые риски и повышает требования к системе управления ими. При этом она должна успевать реагировать на управленческие решения и отсекать те из них, которые нарушают актуальные ограничения.
Характерная для современных предприятий разобщенность трёх систем — принятия стратегических решений, управления ограничениями и управления рисками — сама становится источником существенных рисков, поскольку неизбежно приводит к дублированию функций и неэффективности. Полностью преодолеть эту разобщенность позволяет концепция GRC (Governance, Risk Management, Compliance) и одноименный класс ИТ-решений.
GRC-решения, ставшие одним из обязательных элементов информационных систем западных компаний, пока практически не известны российским заказчикам. Если учесть разнообразие и скорость изменений, с которыми сталкиваются организации сегодня и которые ожидают их завтра, эта ситуация просто опасна. В данной статье мы рассмотрим простой универсальный вариант внедрения GRC на наиболее опасных участках. Пройдя его, организация в дальнейшем может шаг за шагом беспроблемно расширять сферу применения GRC-решения, раскрывая потенциал этой технологии наиболее удобным для себя способом.
Начните с ограничений в сфере информационной безопасности
Ограничения — это интуитивно понятный универсальный язык для описания с единых позиций зон неприемлемого риска любой природы. Поэтому начать практическое использование GRC целесообразно именно с составления свода актуальных ограничений и перечня рисков, связанных с их нарушением в тех или иных сочетаниях. Причем особое внимание надо уделить запретам совмещения сотрудниками определенных полномочий, так как для сегодняшних крупных организаций отсутствие или нарушение таких запретов является мощнейшим источником уязвимостей и основой разнообразных криминальных схем.
Последствия недостаточного контроля за разграничением полномочий хорошо известны: утечка конфиденциальных данных, подмена и разрушение целостности информации, хищение средств, безнаказанное мошенничество с участием инсайдеров, неавторизованные закупки, рост издержек и т.п. Прямые убытки, репутационные издержки и иные негативные последствия подобных инцидентов могут быть достаточно серьезными. В особенности это касается компаний, размещающих свои акции на бирже — они вынуждены выплачивать многомиллионные штрафы, терять прибыль, акционеров, партнеров и репутацию.
Вдвойне опасно внутреннее мошенничество, которое совершается самими сотрудниками организации или с их участием. Всем известны случаи продажи товара подставным лицам по сильно заниженной цене и закупки товаров у участников аферы по ценам, завышенным в разы. Другой типичный пример — перевод средств в подставные организации. Этот ряд нетрудно продолжить. Но важнее осознать, что тщательная разработка и неукоснительное соблюдение ограничений на совмещение полномочий крайне затрудняет такие преступления, ускоряет их обнаружение и повышает шансы на успех в их расследовании.
Практика внедрения GRC: очередные шаги
В качестве следующего шага желательно провести аудит имеющихся в компании бизнес-процессов и ИТ-систем, чтобы выявить и ранжировать риски от неправильного разграничения полномочий. Нужно проанализировать, есть ли в компании роли или пользователи, обладающие избыточными полномочиями или такими их сочетаниями, которые могут использоваться в схемах мошенничества, способных привести к тяжелым последствиям для организации, ее партнеров и клиентов.
Особое внимание нужно уделить ситуациям, когда один и тот же человек является и исполнителем потенциально опасного действия, и его единственным контролером. Тогда уже на этом шаге можно выявить группы ролей и пользователей, которые, например, имеют возможность единолично создавать, подтверждать и проводить закупки товаров или услуг. Важно, чтобы аудитор или сотрудники службы внутреннего контроля могли связывать с рисками контрольные процедуры, позволяющие в автоматизированном режиме предотвращать риск мошенничества. Однако системы GRC, предоставляющие такие возможности, обычно дороги в приобретении и обслуживании, что особенно критично для малых и средних предприятий.
Очевидно, что в условиях современного рынка одной лишь концепции и рекомендаций недостаточно. Необходим ИТ-инструмент для практического применения GRC в организации. Сегодня есть немало коммерческих программных продуктов для создания GRC-решений, отвечающих потребностям крупных организаций. Решить задачи по контролю и разграничению уровня доступа, а также по управлению рисками в процессах и системах позволяют такие специализированные программные продукты западных вендоров, как SAP GRC, ACL GRC, RSA Archer и ряд других. Отмечу, что сегодня некоторые функции GRC начинают появляться в наиболее развитых решениях класса IDM (из российских разработок это Avanpost IDM). Однако IDM-системы, будучи нацеленными главным образом на автоматизацию перенастройки прав доступа в ИТ-системах в ответ на кадровые события, уступают специализированным GRC-решениям в плане комплексной поддержки концепции GRC как бизнес-инструмента стратегического уровня.
Импортозамещение платформ GRC
Для российских компаний, большинство которых имеют в своем ИТ-ландшафте системы на платформе «1С» или планируют их внедрение, зарубежные платформы GRC не подходят — ни одна из них не поддерживает работу с этой платформой. Но в связи с санкционными рисками и с политикой импортозамещения ИТ именно такие решения (включая системы управления предприятием и решения класса i-ERP) становятся все более востребованными в крупных российских организациях и являются центральным звеном создаваемой ими новой ИТ-экосистемы. Причем, именно бизнес-ПО на базе «1С» чаще всего применяется в бухгалтерских и финансовых процессах, становится ядром систем учета, планирования и обработки различных финансовых документов и поручений. Иными словами, это ПО применяется на самых критичных и рискованных (с точки зрения возможности махинаций и масштаба ущерба) участках. Отмечу, что в России появились отечественные GRC-решения, в частности, позволяющие в автоматическом режиме распознавать риски разграничения полномочий на уровне ролей и прав пользователей в любых системах «1С», управлять контрольными процедурами (как автоматизированными, так и работающими в ручном режиме), а также предоставлять средства для анализа результатов их выполнения.
Синергетический эффект
Компания, применяющая GRC, получает очевидные преимущества. Она может сократить финансовые потери, сделать выполнение процессов максимально эффективным и повысить собственную репутацию. У нее появляется модель рисков и ограничений, а также средства автоматизации, предотвращающие саму возможность их нарушения.
При внедрении GRC-решений имеется как универсальная последовательность начальных шагов, так и возможность в дальнейшем развивать это решение так, чтобы сначала снижать или полностью исключать наиболее значимые риски, а в итоге — охватить всю систему ограничений и рисков.
Быстро меняющиеся направления развития систем менеджмента, деловой среды и ИТ-ландшафта требуют периодической корректировки системы ограничений и рисков. Вручную это сделать практически невозможно. Применение обособленных ИТ-решений, поддерживающих выработку и реализацию ключевых управленческих решений, управление рисками и контроль ограничений, неизбежно приводит к возрастающему дублированию функций и усиливающейся несогласованности. Такие ИТ-решения — это лебедь, рак и щука. Принося определенную пользу в своих зонах ответственности, они на самом деле препятствуют развитию предприятия.
Концепция GRC, реализованная с помощью специализированной платформы, восстанавливает согласованность и синергию стратегического управления, управления ограничениями и рисками. GRC-система позволяет структурировать и повысить эффективность бизнес-процессов, обеспечить контроль за доступом к информации, четко разграничить и управлять правами пользователей, снизить затраты на поддержание бизнес-процессов.
Автор – Иван Боков, ведущий эксперт департамента корпоративных информационных систем ALP Group по R&D и корпоративному управлению