Поставить перед собой цели и задачи — это одно дело, но научиться работать над их достижением — другое. Очень просто изложить то, что вы хотите в итоге получить от вашего бизнеса. Сложность в том, как это осуществить. Для этого требуются знания в области GRC.

GRC — корпоративное управление, риск-менеджмент и комплаенс

В бизнес-деле совсем недавно появился термин: GRC. GRC включает в себя решения высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance) — три концепции, которые служат ориентирами, обеспечивающими достижение целей компании. В процессе усовершенствования GRC постепенно превратился в дисциплину или подход, который используется большинством корпораций в своей деятельности.

Современные корпорации  – основная сфера применения GRC. Именно в больших и сложно составных корпорациях часто наблюдаются запутанные каналы связи, а также и возможные способы обмена знаниями. В корпорациях идет интенсивный поток информации, и поэтому их руководители считают, что здесь GRC предлагает наиболее эффективные способы решения поставленных задач.

Корпоративное управление

Корпоративное управление является системой взаимоотношений между управленцами и сотрудниками, и определяется как «совокупность процессов, установленных и выполняемых Советом директоров, а также отражённых в структуре организации, и способов управления этими процессами для достижения целей организации».

Корпоративное управление выполняет функцию наблюдения и относится к общему методу управления, которое осуществляет  высшее руководство. Корпоративное управление направлено на своевременную передачу важнейшей и актуальной информации по вопросам управления в отвечающую за это команду и контролирует актуальность и достоверность поступающей информации.  Благодаря этому процесс принятия решений сокращается в два раза. Кроме того, данный вид деятельности участвует в разработке методов контроля выполнения решений, принятых руководством компании.

Процессы, включенные в эту категорию:

  • Документальное оформление процесса и рисков
  • Определение способа контроля и документирование на месте
  • Оценка эффективности контроля
  • Выявление и сертификация процессов соответствия
  • Устранение проблем

Риск-менеджмент

Управление рисками — это инструмент для принятия решений. Это означает прогнозирование непредвиденных ситуаций и рисков, которые могут влиять на достижение целей  компании. В развитии бизнеса риски явление постоянное. Поэтому  главная задача бизнеса – своевременно  выявить эти риски и найти способ их устранения. Таким образом, руководство должно не только определить риски, которые могут негативно влиять на реализацию бизнес — целей компании. Следующий, немаловажный шаг- анализ рисков. Следует понять, какие риски являются серьезными и нуждаются во внимании. Далее — нужно незамедлительно искать пути решения.

Управление рисками также включает в себя мониторинг результатов принятых мер по снижению риска.

Процессы управления рисками включают:

  • Выявление и классификацию рисков
  • Оценку рисков
  • Снижение рисков
  • Отчётность о применении мер по сдерживании рисков

Комплаенс

Данное понятие включает не только согласованность политики и методов компании, но также соответствие государственным законам и  правилам. Комплаенс  подразумевает  собой выявление критериев, которые должны соблюдаться, а также оценку то, насколько в компании соблюдаются эти критерии. Конечная цель комплаенса — обеспечить соблюдение этих критериев.

Процессы комплаенса обычно включают:

  • Документальное оформление того, что следует делать в рамках проведения комплаенса
  • Идентификацию, определение и документальное оформление результатов комплаенса
  • Оценку эффективности компленса
  • Определение и сертификацию процессов комплаенса
  • Устранение проблем, выявленных комплаенсом.

Ценность GRC

Во многих компаниях корпоративное управление, риск-менеджмент и комплаенс зачастую не связаны между собой. Интеграция этих трех направлений подразумевает использование GRC . Данный метод можно считать более  эффективным и действенным, поскольку в процессе интеграции  уменьшаются  или  устраняются  дублирование и избыточность работы.Это  экономит время, усилия и деньги,  то есть те ресурсы, которые все компании должны уметь использовать рационально.

Данная тройка предоставляет ресурсы для создания нескольких систем, которые в свою очередь будут решать одни и те же проблемы, ведь есть проблемы, которые пересекаются по двум или по всем трём категориям.  GRC позволяет создать единую систему, которая сможет решить все проблемы. Это увеличит продуктивность сотрудников в несколько раз, так-как они не будут тратить время на поиск информации и путей решения.

Таким образом, важно, чтобы компании могли отслеживать свои процессы и деятельность в рамках GRC и управлять ими упорядоченным и скоординированным образом, чтобы обеспечить корпоративную целостность, устойчивость и прибыльность.

Как максимизировать ценность GRC?

GRC сможет полностью изменить бизнес и увеличить доходы.  Но только если вы будете максимально использовать ее ценность. Недостаточно иметь программы GRC в вашей организации, нужно понять ее и научиться пользоваться.

Существую несколько шагов для правильного использования  GRC.

Шаг 1. Разработка программ GRC должна быть гибкой

Имейте в виду, что GRC — это система, которая должна постоянно меняться. Необходимо постоянно подстраивать систему под свои стратегические задачи и находить способы, с помощью которых компания достигнет поставленных целей.

Шаг 2. Упростите процессы GRC

Для того, чтобы управлять рисками и контролировать корпоративное управление, модель GRC должна быть  всеобъемлющей и охватывать  всю компанию, а не только ее ключевые подразделения или операционные центры. Эта сбалансированная стратегия обеспечит также чёткое определение и разграничит обязанности руководителей и рядовых сотрудников.

Внутри компании есть много функций, большинство из которых заметно отличаются друг от друга. Теперь компания должна согласовать эти функции — даже сильно дифференцированные — для того, чтобы сделать свои программы GRC успешными.

Создание модели управления рисками и механизмами контроля в масштабах всей компании

Почему компании важно иметь свою модель риск-менеджмента? Потому что она:

  • обеспечивает сбалансированную стратегию корпоративного риска;
  • определяет обязанности по надзору за рисками и участием;
  • улучшает мониторинг рисков и устанавливает тональность культуры риска во всей компании.

Обратите внимание, что модель должна распространяться на всю компанию, а не ограничиваться конкретными подразделениями или отделами.

Нужно создать такую модель, которая будет учитывать базовые составные элементы риска, в число которых входят:

  • Комплексная и формальная стратегия риска, которая учитывает параметры приемлемого риска и видение: принятие решений будет разрешено, если у вас есть комплексная стратегия риска внутри компании, так как бизнес при этом получает устойчивый механизм реагирования на риски, которым он подвергается. Неприятие риска — это хорошо, но только до определённой степени. Слишком сильное неприятие риска представляет опасность для руководства, так как подразумевает стремление проводить только безопасные сделки и полностью избегать рискованных предприятий, даже если потенциал получения прибыли столь же высок или даже выше, чем риск.
  • Формальный процесс выявления рисков: первый шаг к управлению рисками — возможность их выявить. Поэтому компания должна иметь процесс выявления рисков на месте. Следует учитывать, что риски присутствуют постоянно, поэтому управление рисками также является непрерывной работой. Но недостаточно, чтобы процесс мог выявить риски. Он также должен быть в состоянии оценить влияние рисков на компанию и начать реагировать на риск в случае его возникновения. Этот процесс также должен способствовать передаче сообщений о позиции или положении компании всем заинтересованным сторонам.
  • Оценка рисков: после выявления рисков важно провести оценку, чтобы увидеть, как риски влияют на ключевые стратегии и общую бизнес-стратегию компании. Риски также будут влиять на производительность, и это ещё одна причина, почему их необходимо оценивать. Результаты оценки риска дадут руководству более чёткое представление о сильных и слабых сторонах организации, а также об угрозах и возможностях, которые, скорее всего, будут выявлены.
  • Управление рисками: управление рисками не является делом одного подразделения; оно должно проводиться в масштабах всей компании. Поэтому стратегия риска, которую компания решает принять, должна быть сбалансирована на всех уровнях и для всех ее подразделений.Важнейшим фактором успеха управления рисками является обеспечение того, чтобы культура риска была прочно внедрена внутри всей компании, а не только на уровне исполнительной власти или высшего руководства (совета директоров).

Согласование функций и процессов GRC

Неправильно спроектированная программа GRC, скорее всего, столкнётся с проблемами, связанными с повторяющимися процессами и действиями, или с системами, которые дублируются в рамках одной компании. Это, безусловно, неэффективно, так как компания будет тратить в два, три или более раз большие суммы там, где она может тратить меньше. Человеческие, денежные и другие ресурсы будут распределены в небольших объёмах, или компания не будет использовать большую часть этих ресурсов.

Например, компания может применять один процесс GRC для внутреннего аудита, а другой процесс GRC — для определения соответствия законам. Компания будет нести расходы дважды, так как есть два процесса. Однако оказывается, что оба процесса одинаковы. Представьте, сколько можно сэкономить, если просто осуществить один процесс, охватывающий обе функции.

Сближение процессов для рисков и соответствия имеет следующие последствия:

  • Согласование задач и сферы деятельности компании;
  • Координация инфраструктуры и персонала с уделением особого внимания квалификации ваших сотрудников и имеющимся ресурсам; а также
  • Уделение особого внимания последовательным методам и практике, которые применяет компания.

Когда мы говорим о сближении функций и деятельности GRC, мы в основном говорим о консолидации и стандартизации этих функций и действий в компании. Преимущества этого процесса включают:

  • Снижение издержек: снижение затрат связано с сокращением расходов на персонал, время и другие ресурсы. Сокращение избыточности, дублирования и повторения процессов приводит к экономии.
  • Улучшение охвата рисков и усиление интеграции: поскольку ресурсы распределены в не слишком малом объёме, и есть баланс в распределении функций, риск контролируется лучше. Мониторинг будет осуществляться на уровне организации, а не на уровне отдела и процесса. Улучшение бизнес-процессов также будет обеспечено в значительной степени, поскольку организация сможет следить за рисками и действовать надлежащим образом в случае возникновения рисков.
  • Максимизация ценности деятельности по управлению рисками: совершенствование бизнес-процессов будет обеспечено в значительной степени, поскольку компания сможет следить за рисками и действовать надлежащим образом в случае возникновения рисков.

Шаг 3: Используйте интегрированный подход к управлению рисками

Первым этапом интегрированного подхода к управлению рисками является выявление и понимание различных рисков, которым подвергается бизнес. Для этой цели мы будем использовать классификацию рисков по Роберту Каплану и Анетт Майкс:

  1. Предотвратимыми рисками считаются операционные и финансовые риски, возникающие внутри компании. Они не приводят к получению стратегической выгоды и приводят к денежным затратам при наступлении события, поэтому организация предпринимает шаги для их устранения, предотвращения или смягчения. Если это не срабатывает, следует найти способ передачи этих рисков наиболее эффективным с точки зрения затрат образом, уменьшая денежные потери компании. Помимо денежных затрат, эти риски также оказывают негативное влияние на репутацию компании в отрасли, в которой она работает.

Примеры:

  • Некорректная финансовая отчётность.
  • Несоблюдение законов и положений, влекущее за собой штрафы и пени.

Возможные решения:

  • Создание правильного программного заявления.
  • Разработка правил и настройка систем для стандартных рабочих процедур, приемлемых для всех сотрудников компании.
  • Создание механизмов внутреннего контроля и внутреннего аудита.
  1. Стратегические риски — это риски, которые возникают в результате определенных действий руководства компании. Вступление в бизнес — изначально процесс, который не гарантирует стопроцентный успех. Его можно сравнить с азартной игрой, и, как и все игры имеет два исхода, положительный и отрицательный. Существует принцип, которым следуют агрессивные предприниматели: «высокий риск, высокая отдача». Если вы  не боитесь рисковать и у вас достаточный начальный капитал, то вы можете делать большие ставки. Но это не означает что вам нужно и можно раскидываться вашими финансами. Риски должны быть стратегическими. А тут как пойдет, если вы готовы к большим рискам, то ждите высокую доходность. Но грамотный  предприниматель должен составить такой план, чтобы при его выполнении компания смогла уменьшить или избежать негативного воздействия рисков, которые он выбрал для решения этой проблемы. Таким образом, целью руководства является достижение баланса между уменьшением рисков и созданием ценности.

Примеры:

  • Приобретение небольших компаний в целях расширения.
  • Расширение на зарождающиеся или новые рынки.

Возможные решения:

  • Мозговой штурм внутри команды менеджеров в целях обсуждения определённых рисков и потенциального увеличения бизнес-решений.
  • Установление допусков на риск.
  • Проведение интеллектуальных дискуссий, рассмотрение всех возможных сценариев.
  • Мониторинг показателей риска с использованием оценочных листов показателей ключевых рисков.
  1. Внешние риски — это риски, которые возникают за пределами компании. Вероятность их возникновения не отслеживается и компания не может повлиять на них. Следовательно, всё, что она может сделать, — это принять меры, которые оградят ее от негативных последствий и уменьшать вероятность наступления риска.

Примеры:

  • Форс-мажорные обстоятельства и другие природные и антропогенные катастрофы.
  • Экономические потрясения.

Возможные решения:

  • Ограничение доступности бизнеса для рисков.
  • Проведение анализа сценариев и оценка способности организации сохранять устойчивость и реагировать на наступление риска.

Шаг 4. Рассмотрите возможность использования технологии GRC

Требуется автоматизировать большое количество данных, информации и деталей для оптимизации всех процессов GRC. Данная технология стала одним из основных  инструментов, к помощи которых прибегают компании, чтобы все процессы, операции и задачи выполняли эффективно и действенно. Благодаря технологиям GRC бизнес оптимизируется и стандартизируется. Автоматизация процессов и централизация информации в организации являются неотъемлемыми характеристиками использования технологии GRC.

Наиболее распространёнными действиями в рамках технологии GRC являются:

  • Стандартизация и автоматизация средств контроля и процессов;
  • Поддержание только одной версии риска и контрольной даты;
  • Динамичный интеллектуальный анализ и предоставление отчётность в режиме реального времени о риске и контроле;
  • Управление комплексным подходом к рискам и к соответствию установленным требованиям;
  • Анализ индикаторов риска.

Если правильно пользоваться технологиями GRC,  компания сможет достичь все поставленные цели.

Компаниям рекомендуется рассмотреть следующие рекомендации для оптимизации своей технологии GRC.

  • Всесторонняя дорожная карта GRC: предпочтительной является дорожная карта GRC, которая рассчитана на долгосрочное использование и охватывает несколько лет.  Так же, дорожная карта отображает все элементы программы, а также ключевые этапы и точки интеграции в течение всего периода.
  • Исполнительные спонсоры: исполнительные спонсоры должны регулировать две сферы: бизнес и сферу информационных технологий, чтобы они могли квалифицироваться как технологии GRC, и они же должны показать, что эта технология согласована с программой GRC в целом.
  • Экономические обоснования: при подготовке экономических обоснований необходимо проследить, чтобы они были всеобъемлющими и чётко указывали на возврат от инвестиций в результате использования технологии GRC в рамках программы GRC вашей компании.

GRC — это  система, которая требует время на освоение и с которой обязательно возникнут сложности, поэтому вам нужно запастись терпением. Даже самые развитые компании затрачивают некоторое время, чтобы понять и внедрить её. Однако, как только вы поймете как она работает и внедрите ее в свою компанию, вам никто не помешает в достижении целей.

Читайте также: