Oprogramowanie
Oprogramowaniearrow Organizacja
Organizacja

Poznaj jedno z najlepszych rozwiązań do automatyzacji i robotyzacji procesów organizacji. BPM -pozwala wyeliminować błędy, standaryzować procesy oraz zapewnić ich efektywność. Buduj ład organizacyjny, zarządzaj ryzykiem i zapewniaj zgodność z wykorzystaniem nowoczesnego systemu, stanowiącego świetne uzupełnienie systemów dziedzinowych (ERP)

GRC - Governance Risk Compliance

Ład, ryzyko i zgodność, czego więcej potrzeba organizacji.

Ład rozumiany jako model organizacyjny obejmujący strategię organizacji, cele i procesy, zasoby, strukturę organizacyjną i komunikację, odpowiada za właściwe funkcjonowanie organizacji. Właściwe, czyli zgodne z oczekiwaniami właścicieli, klientów, regulatorów oraz wymaganiami prawnymi.

Zarządzanie ryzykiem od wielu lat zyskuje na popularności jako metoda zarządzania organizacją. Skupia się na identyfikacji zdarzeń oddziaływujących pozytywnie lub negatywnie na organizację oraz ocenie wpływu. Efektem analizy ryzyka powinny być zabezpieczenia minimalizujące zagrożenia dla organizacji, działania pozwalające wykorzystać szanse oraz mechanizmy monitorowania ryzyka.

Zgodność obejmuje mechanizmy zapewnienia z wymaganiami prawnymi, standardami i normami, oraz innymi wymaganiami, np. kontraktowymi. Począwszy od analizy wymagań, która odpowiada na pytania jakim wymaganiom musimy sprostać, oceny spełnienia, do której często wykorzystujemy audyt wewnętrzny, na doskonaleniu skończywszy.

Wszystkie te elementy doskonale się integrują. Obszar ładu odpowiada za zdefiniowanie organizacji, czyli zależności pomiędzy zasobami i ich zaangażowanie w ramach działań realizowanych przez organizację. Działalność organizacyjna jest obarczona pewną niepewnością wynikającą z wnętrza organizacji oraz z otoczenia. Analiza tej niepewności i jej wpływu na organizację to domena obszaru zarządzania ryzykiem. Dostarcza ona informacji na temat tego, jak nasz ład organizacyjny dostosowany jest do spełnienia wymagań klientów , czy właścicieli. Ocena zgodności dostarcza nam informacji o stanie faktycznym, czyli rozbieżności pomiędzy przyjętym ładem, a rzeczywistym funkcjonowaniem organizacji. Ponadto wykorzystuje mechanizmy ryzyka do analizy ryzyka, braku zgodności i realizacji działań doskonalących, wpływających na ład wewnętrzny organizacji.

Ład organizacyjny i ryzyko

Definicji ryzyka jest bardzo wiele, ale najważniejszymi elementami tych definicji jest zawsze niepewność, destabilizacja związana z wystąpieniem jakiegoś zdarzenia. Nie ma znaczenia, czy zdarzenie jest przez nas wyczekiwane i stanowi motor naszego działania, czy przeciwnie, jest niespodziewane i hamuje, bądź burzy naszą organizację.

Wydaje się nam, że ryzyko jest czymś ulotnym, niematerialnym, a przez to dla niektórych niezrozumiałym. Często mówimy o ryzyku:

  • strategicznym – związanym z trudnościami w realizacji planów strategicznych,
  • procesowym – dotyczącym realizacji celu procesu,
  • bezpieczeństwa informacji – odnoszącym się do utraty poufności, integralności, czy dostępności informacji,
  • i wielu innych obszarach, takich jak BHP, jakość, środowisko itp.

Skąd w takim razie problemy z ryzykiem? Dopóki mówimy o ryzyku związanym z pewnym bytem abstrakcyjnym jakim jest cel, proces, czy informacja, dokładając do tego niepewność i próbując określić jak należy zarządzić ryzykiem, będziemy mieli trudności.

Cel posiada jakąś miarę – wskaźnik, ma określony czas i wartości oczekiwane, natomiast aby zrealizować cel musimy podjąć działania i zaangażować zasoby. Proces to pewna logika związana z realizacją działań i angażowania zasobów. Informacja związana jest z jej nośnikiem i wszystkie zagrożenia dla informacji związane są właśnie z nim. Zasób w procesie i projekcie, nośnik informacji to aktywa organizacji, a należą do nich ludzie, technologie, maszyny, urządzenia, systemy teleinformatyczne, pomieszczenia itp.

Przechodząc z analizy ryzyka na poziom aktywów, nasze życie staje się proste, a identyfikacja zdarzeń i propozycja działań dotyczących ryzyka staje się oczywista.

Dlatego nie zastanawiajmy się nad tym jakie ryzyka przypiszemy do danego celu, procesu, informacji, ale zwróćmy uwagę jakie zasoby ludzkie, systemy informatyczne, urządzenia i pomieszczenia są nam niezbędne do tego żeby osiągnąć cel, realizować proces, przetwarzać informacje. To tam należy szukać ryzyka i rozwiązań.

Zgodność

Prosta ocena prawdopodobieństwa i wpływu może być dość subiektywna, obarczona przekonaniem oceniającego. Dlatego warto w obiektywizowaniu naszej oceny zejść jeden poziom niżej.

Dla oceny prawdopodobieństwa wystąpienia jakiegoś zdarzenia,  oczywiście poza analizą otoczenia, warto wykorzystać analizę podatności. Analiza podatności ma wskazać gdzie są słabości naszej organizacji, naszych systemów informatycznych, naszych pracowników, naszych urządzeń. Stan parku technicznego, wykorzystywane technologie informatyczne, świadomość i doświadczenie naszych pracowników, uczestnictwo w dojrzałym łańcuchu logistycznym, to wszystko ma wpływ na prawdopodobieństwo wystąpienia zdarzeń, awarii, błędów, incydentów. Dlatego ocena zasobów przez właściciela, koordynatora biznesowego jest bardzo efektywnym narzędziem stanu zasobów, a to bezpośrednio wpływa na prawdopodobieństwo. Analiza podatności realizowana w obszarze teleinformatyki, często za pomocą skanerów i narzędzi do analizy podatności, odsłania obraz tego, jak bezpieczna jest nasza infrastruktura teleinformatyczna. Jeśli nasze systemy są właściwie zarządzane poprzez nadawanie uprawnień, aktualizacje, backup, właściwą ochronę wewnątrz sieci i na zewnątrz, to będzie to miało istotny wpływ na minimalizowanie wystąpień awarii, włamań i innych incydentów. Dodatkowo będzie to czynnik pozwalający wykorzystać pojawiające się szanse w naszym otoczeniu.

Przy ocenie skutków warto zwrócić uwagę na element zabezpieczeń. Działając nawet intuicyjnie, staramy się zabezpieczyć przed wystąpieniem zagrożeń. Budujemy płoty, zamykamy drzwi, projektujemy strefy dostępu, często korzystamy z usług ochroniarskich. Wszystko po to by czuć się bezpiecznie. Czy te zabezpieczenia eliminują zdarzenie włamania? Nie, natomiast dość mocno je ograniczają o ile są skuteczne. Bo co jeśli płot ma dziurę, drzwi są uchylone ze względu na brak klucza, strefa bezpieczeństwa jest wyłączona gdyż utrudniała poruszanie się, a ochroniarz śpi?

Przypisanie do danego czynnika ryzyka zabezpieczeń lub elementów mogących wpłynąć na wykorzystanie szansy oraz ocena skuteczności tych zabezpieczeń i mechanizmów pozwala na weryfikację faktycznego wpływu. Dodatkowo nasza organizacja buduje wiedzę o tym jakie aktywa stanowią zabezpieczenia dla innych zasobów oraz co stanie się jeśli z czegoś zrezygnujemy.

Integralność i wartość dodana

Niepewność jest trudna do policzenia, a tym właśnie jest ryzyko, miarą niepewności i konsekwencji z niej wynikających. Żeby skwantyfikować ryzyko warto wyszacować jak prawdopodobne jest zdarzenie (szansa, zagrożenie), które na nas wpływa. Oczywiście skale prawdopodobieństwa mogą być bardzo różne (punktowe, liczbowe, procentowe). Drugą przydatną miarą będzie ocena wpływu tego zdarzenia na naszą organizację. Oceniając wpływ możemy posłużyć się wieloma obszarami wpływu: finansowego, prawnego, wizerunkowego i wielu innych. Możemy wyliczać skutki punktowo, pieniężnie, czy analizować je w czasie.

To co powstanie nam z iloczynu miary prawdopodobieństwa i skutku będzie wartością ryzyka, które w celu oceny warto osadzić na kostce ryzyka. W ten sposób otrzymujemy wymiar ryzyka.

Obiektywny proces analizy ryzyka, oparty o zasoby, w dużym stopniu wpływa na efektywność planowanych i realizowanych działań związanych z postępowaniem z ryzykiem. Planując na poziomie celów, procesów, informacji, znowu poruszalibyśmy się w obszarze dość abstrakcyjnym. Schodząc na poziom zasobów, dużo łatwiej jest na wskazać konkretne działania eliminujące podatności poszczególnych zasobów, poprawiające skuteczność posiadanych zabezpieczeń, lub wprowadzające nowe zabezpieczenia. Nasz plan działań powinien być konkretny, odnosić się do zasobów i przez to wpływać na prawdopodobieństwo lub skutek ryzyka. Plan powinien podlegać bieżącemu monitorowaniu, a najlepszą oceną skuteczności, poza audytem i testami, jest ponowna analiza ryzyka.

Zarówno procesy obejmujące audyt wewnętrzny jak i testy, czy analizę podatności automatyzujemy. Więcej na ten temat przeczytasz:

Sprawiamy, ze obszar zarządzania ryzykiem, bez względu na podmiot ryzyka: operacyjne, bezpieczeństwa, ciągłości, RODO itp. jest integralny i spójny.

Proces zarządzania ryzykiem

Proces zarządzania ryzykiem jest przedmiotem wielu opracowań, standardów i metod. Wspomnieć należy o ISO 31000, czy ISO 27005. Standardy te opisują  przebieg procesu, my jednak zwracamy uwagę, aby proces ten był tak powszechny jak samo ryzyko. To znaczy aby uczestniczyło w nim możliwie jak najszersze grono pracowników, co pozwala na budowanie świadomości i upowszechnienie mechanizmów zarządzania ryzykiem w organizacji. Często jesteśmy świadkami, iż proces jest prowadzony przez kilku ekspertów, jednak najbardziej efektywne jest podejście partycypacyjne – „biorę udział, czuję się odpowiedzialny”.

Proces powinien obejmować określenie kontekstu organizacji, czyli pewnych założeń opisujących nasz sposób działania. Bardzo dobrze jest zrobić odniesienia do strategii, która powinna być podstawą opisu celów dla procesów i projektów. Jeżeli nie obejmujemy procesem całej organizacji warto opisać kontekst ryzyka, czyli obszaru którego analiza będzie dotyczyła.

Identyfikacja, ocena i analiza ryzyka, sposób wyliczeń i zbiór metod  dotyczący identyfikacji podatności oraz oceny skuteczności zabezpieczeń i ewentualnej agregacji ryzyk, to elementy składowe procesu. Nie należy zapominać, aby proces obejmował mechanizm planowania działań, ich monitorowania oraz oceny skuteczności.

Proces powinien również zapewniać integrację w ramach procesów budowy ładu wewnętrznego i oceny zgodności, np. audyt wewnętrzny. O integralnym podejściu do GRC przeczytasz tutaj

Ostatnią, ale nie mniej ważną częścią procesu zarządzania ryzykiem jest podproces zarządzania incydentem. Materializacja ryzyka jest naturalnym zjawiskiem, musimy być przygotowani na wystąpienie czynnika ryzyka i jego materializację, a tym samym na konsekwencje. Reakcja i podjęcie działań w przypadku wystąpienia incydentu ma istotne znaczenie z punktu widzenia zarządzania ryzykiem i budowy wiedzy na temat faktycznych skutków jego wystąpienia.

 

Automatyzacja zarządzania ryzykiem

Skuteczne zarządzanie ryzykiem wymaga narzędzi. Angażowanie pracowników w identyfikację i ocenę ryzyka, rozpowszechnianie map i rejestrów ryzyka, czy monitorowanie działań wymaga skutecznego narzędzia umożliwiającego automatyzację procesu, pilnującego terminowości, agregującego wyniki i przygotowującego informację zwrotną w postaci dashboardów i raportów. Wśród wielu dostępnych na rynku warto wykorzystać takie, które pozwala na nieograniczoną licencjami współpracę i komunikację,  którego logika pozwala realizować analizę ryzyka w wielu obszarach, zgodnie z wymaganiami prawa i standardów międzynarodowych. W dużych organizacjach, grupach kapitałowych i holdingach istotne będą mechanizmy agregacji ryzyka w ramach linii biznesowej, procesu, obszaru, wymagania oraz raportowanie dostosowane do potrzeb nadzoru finansowego i wymagań prawnych.

 

Korzyści
  • Budowa efektywnego narzędzia zarządzania organizacją
  • Synergia ładu, ryzyka i oceny zgodności
  • Minimalizacja czasu związanego z zarządzaniem ładem, ryzykiem i zgodnością pracowników i specjalistów
  • Zintegrowany mechanizm zarządzania, powiązany ze strategią, procesami, aktywami
  • Zapewnienie zgodności z wieloma wymaganiami prawnymi
  • Zapewnienie efektywności organizacyjnej
Zapraszamy na prezentację modułu!
Skontaktuj się z nami arrow
Proces wdrożenia usługi
1
Poznanie organizacji i określenie kontekstu organizacyjnego
2
Budowa ładu wewnętrznego, identyfikacja ryzyka, dekompozycja do poziomu zasobów, wdrożenie mechanizmów oceny
3
Analiza ryzyka, agregacja ryzyka, wykonanie oceny zgodności
4
Planowanie i realizacja działań doskonalących
Masz pytania dotyczące systemu GRC?
Napisz do nas arrow