Указанные направления деятельности, как правило, основываются на методологии GRC (Governance, Risk and Compliance). Аббревиатура GRC была изобретена членами OCEG (Open Compliance and Ethics Group) в качестве сокращенного обозначения направлений, которые должны работать вместе для достижения принципиальной эффективности, – корпоративное управление, риск-менеджмент и обеспечение комплаенс-деятельности.
GRC включает в себя функции, выполняемые такими департаментами, как внутренний аудит, комплаенс, риски, юриспруденция, финансы, ИТ, отдел кадров, а также линейные направления бизнеса, исполнительный аппарат и совет директоров.
Согласно опросу КПМГ, проведенному в 2017 году среди более чем 800 членов комитета по аудиту и совета директоров, главной проблемой является эффективность программы управления рисками. 42% респондентов опроса сообщают, что их программа и процессы управления рисками по-прежнему требуют «существенной доработки». КПМГ отмечает, что опрошенные члены правления все больше сосредотачиваются на «ключевых операционных рисках, например, рисках цепочки поставок и аутсорсинга, рисках информационных технологий и безопасности данных и т.д.». Для управления разнообразием этих расширенных рисков организациям необходим комплексный подход к управлению рисками.
Компания Gartner определила 10 важнейших элементов («10 A’s»), которые компании должны учитывать при интеграции своей системы корпоративного управления рисками (Enterprise Risk Management, ERM) с интегрированными решениями по управлению рисками (Integrated Risk Management, IRM) для создания культуры управления рисками. Следующие 10 элементов и связанные с ними вопросы формируют основу успешной системы управления рисками.
на какой риск мы готовы пойти для достижения наших стратегических целей?
как мы понимаем и формулируем нашу общую подверженность риску в отношении данной стратегической цели?
каков наш текущий уровень неотъемлемого и остаточного риска, связанного с нашими стратегическими целями?
как мы можем моделировать рисковые события, которые окажут существенное влияние на нашу операционную деятельность?
какие технологии необходимы для обеспечения совместной работы и обмена информацией, связанной с рисками и соблюдением требований, для поддержки эффективности бизнеса и принятия решений?
какие решения класса GRC/IRM, автоматизированные и ручные средства управления, мониторинг рисков, а также отчетность о рисках и соблюдении требований включены в корпоративную архитектуру?
какие стратегии, процессы и средства контроля необходимы для достижения стратегических целей, а также для выполнения правовых и нормативных требований?
как усилить ответственность за риски и контроль на предприятии?
как мы можем гарантировать, что сотрудники действуют в интересах компании и в пределах установленных допустимых значений риска?
какие показатели риска необходимы и как они связаны с показателями эффективности для обеспечения желаемого результата (целей) бизнеса?
Практический подход, обеспечивающий сбалансированный взгляд на риск, должен охватывать четыре глобальных направления: Performance – Достижение целей бизнеса, Resilience – Устойчивость (непрерывность) бизнеса, Assurance – Гарантия выполнения (обеспечение того, что все работает как задумано и направлено на достижение целей бизнеса) и Compliance – Соответствие регулятивным требованиям и стандартам (комплаенс).
По статистике, многие компании уделяют больше внимания одному из четырех направлений в ущерб другим. Например, советы директоров часто ориентируются только на управление корпоративными рисками (Enterprise Risk Management, ERM). Программы ERM обычно эффективны для компаний, стремящихся лучше понять свои риски на стратегическом уровне (особенно финансовые и репутационные риски, которые могут привести к катастрофическим последствиям для бизнеса). Однако программы ERM не столь эффективны для устранения рисков на более низких уровнях, которые могут иметь столь же разрушительное действие. Все это оставляет значительные «белые пятна» в отношении трех других направлений.
Gartner определяет Интегрированное управление рисками (Integrated Risk Management, IRM) как совокупность технологий, процессов и данных, которая служит для достижения цели регламентации, автоматизации и интеграции стратегического, операционного и ИТ-управления рисками в рамках всей организации.
Это вертикально интегрированное представление о риске должно включать в себя весь спектр операционных рисков внутри организации – включая кадровые, юридические/комплаенс и технологические. Еще большее значение имеет способность оценивать технологические риски в бизнес-контексте для обеспечения более эффективного управления кибербезопасностью и технологической устойчивостью.
Технология IRM предназначена для улучшения ERM и ее способности предоставлять прогнозные данные не по одному, а по всем четырем глобальным направлениям. Важным для IRM является его способность вертикально интегрировать ключевые показатели риска (KRIs), которые поддерживают соответствующие бизнес-результаты, процессы и технологические активы. Связывая таким образом показатели риска, компании получают более широкое и глубокое представление об эффективности своей внутренней политики и процедур в предоставлении наилучших продуктов и услуг своим клиентам.
Прослеживаемость рисков необходима как по вертикали компании, так и по горизонтали (в бизнес-процессах). Горизонтальное управление рисками реализуется в программах корпоративного управления рисками (ERM), вертикальное управление обеспечивается через взаимосвязи между стратегическими, операционными и технологическими рисками.
Цифровая трансформация в настоящее время является обязательным условием не только для будущей конкурентоспособности и роста, но и для выживания компании. Весь деловой мир полагается на цифровые операции для поддержания непрерывности бизнеса. Этот сдвиг не исчезнет по мере восстановления после COVID-19. Он останется новым способом ведения бизнеса в условиях оптимизации затрат и повышения эффективности. Таким образом, интегрированное управление цифровыми рисками станет главным приоритетом для бизнеса.