Styrning, riskhantering och efterlevnad

Del av en serie om
styrning
Modeller Algoritmisk Dålig Samarbete Elektronisk Bra Multistakeholder Öppen källa Privat
Efter nivå Lokal Global
Efter fält Klimat Klinisk Företags Kulturell Data Jordsystemet Kyrklig Miljö Högre utbildning Information Nätverk Hav Politiskt parti Projekt Säkerhetssektorn Själv Simulering Serviceinriktad arkitektur Jord Teknologi Transnationella Hemsida
Åtgärder World Governance Index Indikatorer för hållbar styrning Bertelsmann Transformation Index
Relaterade ämnen Chief governance officer Styrning, riskhantering och efterlevnad Miljö-, social- och företagsstyrning Marknadsstyrningsmekanism

Styrning, riskhantering och efterlevnad ( GRC ) är termen som täcker en organisations tillvägagångssätt över dessa tre metoder: styrning , riskhantering och efterlevnad . Den första vetenskapliga forskningen om GRC publicerades 2007 där GRC formellt definierades som "den integrerade samlingen av förmågor som gör det möjligt för en organisation att på ett tillförlitligt sätt uppnå mål, ta itu med osäkerhet och agera med integritet." Forskningen hänvisade till vanliga "håll företaget på rätt spår"-aktiviteter som bedrivs på avdelningar som internrevision, compliance, risk, juridik, ekonomi, IT, HR samt verksamhetsgrenarna, ledningsgruppen och själva styrelsen.

Översikt

Styrning, riskhantering och efterlevnad är tre relaterade aspekter som syftar till att säkerställa att en organisation på ett tillförlitligt sätt uppnår mål, hanterar osäkerhet och agerar med integritet. Styrning är kombinationen av processer etablerade och genomförda av styrelseledamöterna (eller styrelsen) som återspeglas i organisationens struktur och hur den hanteras och leds mot att uppnå mål. Riskhantering är att förutsäga och hantera risker som kan hindra organisationen från att på ett tillförlitligt sätt uppnå sina mål under osäkerhet. Efterlevnad avser att följa de påbjudna gränserna (lagar och förordningar) och frivilliga gränser (företagets policyer, procedurer, etc.).

GRC är en disciplin som syftar till att synkronisera information och aktivitet över styrning, och efterlevnad för att fungera mer effektivt, möjliggöra effektiv informationsdelning, mer effektivt rapportera aktiviteter och undvika slösaktiga överlappningar. Även om det tolkas olika i olika organisationer, omfattar GRC vanligtvis aktiviteter som företagsstyrning , företagsriskhantering (ERM) och företagens efterlevnad av tillämpliga lagar och förordningar.

Organisationer når en storlek där samordnad kontroll över GRC-aktiviteter krävs för att fungera effektivt. Var och en av dessa tre discipliner skapar information av värde för de andra två, och alla tre påverkar samma teknik, människor, processer och information.

Betydande dubbelarbete av uppgifter utvecklas när styrning, riskhantering och efterlevnad hanteras oberoende. Överlappande och dubblerade GRC-aktiviteter påverkar både driftskostnader och GRC-matriser negativt. Till exempel kan varje intern tjänst granskas och utvärderas av flera grupper på årsbasis, vilket skapar enorma kostnader och frånkopplade resultat. En frånkopplad GRC-strategi kommer också att förhindra en organisation från att tillhandahålla GRC-ledningsrapporter i realtid. GRC antar att detta tillvägagångssätt, liksom ett dåligt planerat transportsystem, kommer att fungera på varje enskild rutt, men nätverket kommer att sakna de egenskaper som gör att de kan samarbeta effektivt.

Om de inte integreras, om de hanteras i en traditionell "silo"-metod, måste de flesta organisationer upprätthålla ett oöverskådligt antal GRC-relaterade krav på grund av förändringar i teknik, ökad datalagring, marknadsglobalisering och ökad reglering.

GRC-ämnen

Grundläggande koncept

• Styrning beskriver den övergripande ledningsstrategin genom vilken ledande befattningshavare styr och kontrollerar hela organisationen, med hjälp av en kombination av ledningsinformation och hierarkiska ledningskontrollstrukturer. Styrningsaktiviteter säkerställer att kritisk ledningsinformation som når ledningsgruppen är tillräckligt fullständig, korrekt och aktuell för att möjliggöra lämpligt beslutsfattande i ledningen, och tillhandahåller kontrollmekanismer för att säkerställa att strategier, anvisningar och instruktioner från ledningen utförs systematiskt och effektivt.
• Obligatorisk medvetenhet avser organisationens förmåga att göra sig medveten om alla sina obligatoriska och frivilliga skyldigheter, nämligen relevanta lagar, regulatoriska krav, branschkoder och organisationsstandarder, såväl som standarder för god förvaltning, allmänt accepterad bästa praxis, etik och samhällets förväntningar. Dessa skyldigheter kan vara finansiella, strategiska eller operativa där operativa inkluderar så olika områden som fastighetssäkerhet, produktsäkerhet, livsmedelssäkerhet, hälsa och säkerhet på arbetsplatsen, underhåll av tillgångar, etc.
• Riskhantering är den uppsättning processer genom vilka ledningen identifierar, analyserar och, vid behov, reagerar på lämpligt sätt på risker som negativt kan påverka förverkligandet av organisationens affärsmål. Reaktionen på risker beror vanligtvis på deras upplevda allvar och innebär att kontrollera, undvika, acceptera eller överföra dem till en tredje part, medan organisationer rutinmässigt hanterar ett brett spektrum av risker (t.ex. tekniska risker, kommersiella/finansiella risker, informationssäkerhetsrisker etc.). ).
• Överensstämmelse innebär att uppfylla angivna krav. På en organisationsnivå uppnås det genom ledningsprocesser som identifierar tillämpliga krav (definierade till exempel i lagar, förordningar, kontrakt, strategier och policyer), bedömer tillståndet för efterlevnad, bedömer riskerna och potentiella kostnader för bristande efterlevnad mot beräknade utgifter för att uppnå efterlevnad, och därmed prioritera, finansiera och initiera alla korrigerande åtgärder som anses nödvändiga. Efterlevnadsadministration avser det administrativa arbetet med att hålla alla efterlevnadsdokument uppdaterade, upprätthålla valutan för riskkontrollerna och ta fram efterlevnadsrapporter.

GRC marknadssegmentering

Ett GRC-program kan inrättas för att fokusera på vilket enskilt område som helst inom företaget, eller så kan ett helt integrerat GRC arbeta över alla delar av företaget med ett enda ramverk.

En helt integrerad GRC använder en enda kärnuppsättning av kontrollmaterial, mappat till alla de primära styrningsfaktorer som övervakas. Användningen av ett enda ramverk har också fördelen av att minska risken för duplicerade korrigerande åtgärder.

När de granskas som enskilda GRC-områden anses de vanligaste enskilda rubrikerna vara Financial GRC, Operational GRC, WHS GRC, IT GRC och Legal GRC.

• Finansiell GRC avser de aktiviteter som är avsedda att säkerställa korrekt drift av alla finansiella processer, samt efterlevnad av eventuella finansrelaterade mandat.
• Operationell GRC avser alla operativa aktiviteter såsom fastighetssäkerhet, produktsäkerhet, livsmedelssäkerhet, hälsa och säkerhet på arbetsplatsen, underhåll av IT-tillgångar, etc.
• WHS GRC, en delmängd av Operational GRC, relaterar till alla arbetsplatsaktiviteter för hälsa och säkerhet
• IT GRC, en delmängd av Operational GRC, hänför sig till de aktiviteter som är avsedda att säkerställa att IT-organisationen ( informationsteknologi ) stödjer verksamhetens nuvarande och framtida behov och uppfyller alla IT-relaterade uppdrag.
• Legal GRC fokuserar på att knyta samman alla tre komponenterna via en organisations juridiska avdelning och chief compliance officer . Detta kan dock vara missvisande eftersom ISO 37301 hänvisar till obligatoriska och frivilliga skyldigheter och ett fokus på juridisk GRC kan införa partiskhet.

AICD ( Australian Institute of Company Directors) delar dock upp risken i tre supergrupper

• Finansiell risk
• Operativ risk
• Strategisk risk

Analytiker är oense om hur dessa aspekter av GRC definieras som marknadskategorier. Gartner har uppgett att den breda GRC-marknaden omfattar följande områden:

• Ekonomi och revision GRC
• IT GRC-ledning
• Företagsriskhantering.

De delar upp IT GRC-hanteringsmarknaden ytterligare i dessa nyckelfunktioner.

• Kontroller och policybibliotek
• Policyfördelning och respons
• IT kontrollerar självutvärdering och mätning
• IT-tillgångsförråd
• Automatiserad allmän datorkontroll (GCC) samling
• Sanering och undantagshantering
• Rapportering
• Avancerad IT-riskutvärdering och kontrollpaneler för efterlevnad

GRC produktleverantörer

Skillnaderna mellan undersegmenten av den breda GRC-marknaden är ofta otydliga. Med ett stort antal leverantörer som nyligen kommit in på denna marknad kan det vara svårt att bestämma den bästa produkten för ett visst affärsproblem. Med tanke på att analytikerna inte är helt överens om marknadssegmenteringen kan leverantörspositionering öka förvirringen.

På grund av den dynamiska karaktären på denna marknad är alla leverantörsanalyser ofta inaktuella relativt kort efter publiceringen.

I stora drag kan leverantörsmarknaden anses existera i tre segment:

• Integrerade GRC-lösningar (intresse för multi-governance, företagsövergripande)
• Domänspecifika GRC-lösningar (enskilt styrningsintresse, företagsövergripande)
• Punktlösningar till GRC (avser företagsomfattande styrning eller företagsomfattande risk eller företagsomfattande efterlevnad men inte i kombination.)

Integrerade GRC-lösningar försöker förena förvaltningen av dessa områden, snarare än att behandla dem som separata enheter. En integrerad lösning kan administrera ett centralt bibliotek av efterlevnadskontroller, men hantera, övervaka och presentera dem mot varje styrningsfaktor. Till exempel, i ett domänspecifikt tillvägagångssätt, kan tre eller flera fynd genereras mot en enda bruten aktivitet. Den integrerade lösningen erkänner detta som ett avbrott relaterat till de kartlagda styrningsfaktorerna.

Domänspecifika GRC-leverantörer förstår det cykliska sambandet mellan styrning, risk och efterlevnad inom ett visst område av styrning. Till exempel, inom finansiell behandling — att en risk antingen kommer att relatera till frånvaron av en kontroll (behov av att uppdatera styrningen) och/eller bristen på efterlevnad av (eller dålig kvalitet på) en befintlig kontroll. Ett initialt mål att dela upp GRC i en separat marknad har gjort att vissa leverantörer är förvirrade över bristen på rörelse. Man tror att en brist på djupgående utbildning inom en domän på revisionssidan, tillsammans med en misstro mot revision i allmänhet, orsakar en spricka i en företagsmiljö. Det finns dock leverantörer på marknaden som, även om de förblir domänspecifika, har börjat marknadsföra sin produkt till slutanvändare och avdelningar som, även om de antingen är tangentiella eller överlappande, har utökats till att omfatta den interna företagets internrevision (CIA) och externa revisionsteam (tier 1 big four AND tier two och under), informationssäkerhet och drift/produktion som målgrupp. Detta tillvägagångssätt ger en mer "öppen bok" inställning till processen. Om produktionsteamet kommer att granskas av CIA med hjälp av en applikation som produktionen också har tillgång till, tros det minska risken snabbare eftersom slutmålet inte är att vara "kompatibel" utan att vara "säker" eller så säker som möjligt. Du kan också prova de olika GRC-verktygen på marknaden som är baserade på automatisering och kan minska din arbetsbelastning.

Punktlösningar för GRC kännetecknas av att de fokuserar på att endast ta itu med ett av dess områden. I vissa fall med begränsade krav kan dessa lösningar tjäna ett hållbart syfte. Men eftersom de tenderar att ha utformats för att lösa domänspecifika problem på stort djup, har de i allmänhet inte ett enhetligt tillvägagångssätt och är inte toleranta mot integrerade styrningskrav. Informationssystem kommer att hantera dessa frågor bättre om kraven för GRC-förvaltning införlivas på designstadiet, som en del av ett sammanhängande ramverk.

GRC data warehousing och business intelligence

GRC-leverantörer med ett integrerat dataramverk kan nu erbjuda skräddarsydda GRC-datalager- och business intelligence-lösningar. Detta gör att data av högt värde från valfritt antal befintliga GRC-applikationer kan sammanställas och analyseras.

Aggregeringen av GRC-data med detta tillvägagångssätt ger betydande fördelar i tidig identifiering av risk och förbättring av affärsprocesser (och affärskontroll).

Ytterligare fördelar med detta tillvägagångssätt inkluderar (i) det tillåter befintliga, specialiserade och högvärdiga applikationer att fortsätta utan inverkan (ii) organisationer kan hantera en enklare övergång till en integrerad GRC-metod eftersom den initiala förändringen bara lägger till rapporteringslagret och (iii) ) det ger en möjlighet i realtid att jämföra och kontrastera datavärden mellan system som tidigare inte hade något gemensamt dataschema.'

GRC-forskning

En publikationsgranskning som gjordes 2009 ^{[ citat behövs ]} fann att det knappast fanns någon vetenskaplig forskning om GRC. Författarna fortsatte med att härleda den första kortdefinitionen av GRC från en omfattande litteraturöversikt. Därefter validerades definitionen i en undersökning bland GRC-proffs. "GRC är ett integrerat, holistiskt tillvägagångssätt för organisationsövergripande GRC som säkerställer att en organisation agerar etiskt korrekt och i enlighet med dess riskaptit, interna policyer och externa regelverk genom att anpassa strategi, processer, teknik och människor, och därigenom förbättra effektiviteten och effektiviteten ." Författarna översatte sedan definitionen till en referensram för GRC-forskning.

Var och en av kärndisciplinerna – styrning, riskhantering och efterlevnad – består av de fyra grundläggande komponenterna : strategi, processer, teknik och människor. Organisationens riskaptit , dess interna policyer och externa regelverk utgör GRC:s regler . Disciplinerna, deras komponenter och regler ska nu slås samman på ett integrerat, holistiskt och organisationsomfattande (de tre huvudsakliga kännetecknen för GRC) sätt – i linje med de (affärs)verksamheter som hanteras och stöds genom GRC. Genom att tillämpa detta tillvägagångssätt längtar organisationer efter att uppnå målen : etiskt korrekt beteende, och förbättrad effektivitet och effektivitet för alla inblandade element.

Se även

• Bedömning av överensstämmelse
• Informationsstyrning
• ISO 37301:2021 efterlevnadshanteringssystem (tidigare ISO 19600 )
• ISO 31000:2018 Riskhantering
• ISO 41001:2018 Facility management — Ledningssystem
• Juridisk styrning, riskhantering och efterlevnad
• Dokumenthantering
• Regelefterlevnad