13 декабря 2023 г.
Команды управления рисками предприятия (ERM) успешно используют инструменты управления рисками и комплаенс-контроля (GRC) для базовых задач, но сталкиваются со значительными трудностями, пытаясь выбрать инструмент, отвечающий потребностям всего круга заинтересованных сторон, говорит Gartner.
«Отделы управления рисками находят затруднительным выбор и внедрение инструментов GRC: в большинстве организаций один лишь процесс оценки вендоров занимает более шести месяцев, после чего может потребоваться еще до девяти месяцев, чтобы добиться полной функциональности инструмента», — пишет в пресс-релизе Закари Гинзбург (Zachary Ginsburg), директор по исследованиям практики Legal Risk & Compliance в Gartner.
Стремление найти общий для всех инструмент ведет к худшим результатам
Долгий процесс выбора вендора отражает широкий круг требований и заинтересованных сторон, которые нужно принять во внимание при выборе инструмента GRC. В среднем, пять подразделений или групп — управления кредитными рисками, кибербезопасности, ИТ, комплаенса и управления операционными рисками — используют основной инструмент GRC 20% времени или больше, и примерно такие цифры фигурируют при принятии решения о покупке.
Однако большой круг участников покупки увеличивает время внедрения, что ведет к росту затрат, а также создает сложности с данными и удобством использования из-за ошибочных допущений. В частности, многие покупатели полагают (и вендоры уверяют в этом), что инструменты с модулями для разных рабочих процессов (напр., комплаенс, аудит) будут работать лучше, чем сочетание инструментов GRC и точечных решений, охватывающих эти рабочие процессы.
«Поскольку инструменты GRC и сторонние точечные решения можно интегрировать через специальные коннекторы данных или API, отдел управления рисками предприятия и другие команды часто могут выбрать инструменты, лучше приспособленные для удовлетворения их потребностей, и при этом обеспечить интеграцию данных, — объясняет Гинзбург. — Поэтому руководителям ERM следует ставить на первое место потребности собственного отдела при покупке инструмента GRC — так они смогут избежать неэффективности или затрат, вызванных приспособлением инструмента, не вполне подходящего для их собственных рабочих процессов».
Интеграция данных и процессов оценки рисков и согласование с другими группами удлиняют сроки внедрения
Отделы управления рисками предприятия могут применять инструменты GRC для проведения оценки рисков или некоторых других целей перед их полным внедрением. Однако большинство основных сценариев использования, таких как агрегирование информации о рисках с охватом всех подразделений, требуют полного внедрения.
Самыми распространенными трудностями при внедрении инструмента GRC обычно оказываются введение пригодного реестра (полного списка) рисков и обучение персонала. Чтобы использовать инструменты GRC для агрегирования информации о рисках, необходима функциональная совместимость систем и процессов ERM, комплаенса и других групп управления рисками.
«Не выбрав инструмент GRC, обладающий достаточной интероперабельностью с другими системами, содержащими информацию о рисках, руководители ERM не смогут реализовать его преимущества без дальнейшей кастомизации или точечных решений, а то и вовсе не смогут достичь всех потенциальных преимуществ, — указывает Гинзбург. — Поскольку эти сложности внедрения обычно ведут к большой задержке в достижении всей ожидаемой отдачи от инструментов GRC, руководителям ERM при их выборе имеет смысл отдать предпочтение тем инструментам, которые будут лучше работать „сразу из коробки“».
Кроме того, чтобы выстроить поддержку лучших решений, руководителям ERM следует взаимодействовать с другими заинтересованными сторонами в организации, чтобы определить, какие инструменты GRC проще всего обеспечат поддержку агрегирования информации о рисках от других команд и систем, и целенаправленно управлять их ожиданиями на протяжении процесса внедрения.
Наконец, руководителям ERM следует определить, как организация может получить отдачу от инструмента GRC на этапе внедрения. Очень немногие организации видятся способными использовать свой новый инструмент для выполнения некоторых задач в рамках одного-трёх месяцев, причем эта цифра растет более-менее экспоненциально от квартала к кварталу.
Источник: Пресс-служба компании Gartner