Когда предприятия определяют свою стратегию для eGRC (Enterprise Governance, Risk and Compliance), многие ищут нечто более эффективное, чем просто программное обеспечение для повышения офисной производительности и использование точечных продуктов. Компании хотят получить платформенные решения, которые могут устранить текущие проблемы бизнеса и способны адаптироваться к будущим требованиям.
В ответ на этот рыночный спрос компания RSA разработала программное решение для eGRC, которое объединяет корпоративную политику, функции контроля, управление рисками, оценочные процессы и устранение случаев несоблюдения установленных норм в таких разных сферах, как информационные технологии, основная деятельность предприятия, ее юридические и финансовые операции. Система централизованного управления построена на платформе RSA Archer eGRC, она позволяет организации решать следующие задачи:
- совместная работа исполнителей разных ролей и бизнес-единиц с использованием общих процессов и информации;
- назначение приоритетов при выделении ресурсов для смягчения рисков и случаев несоблюдения установленных норм;
- возможность видеть статус исключений и проблемных моментов, а также возложение ответственности на соответствующий персонал за решение этих проблем;
- получение целостного видения ситуации с управлением рисками и соблюдением установленных норм.
чтобы эффективно управлять рисками и соблюдением установленных норм по всему предприятию, организации должны «знать врага в лицо», иначе говоря, знать правила, которые им надлежит выполнять, и проблемы, которые могут помешать производить и предоставлять услуги
С помощью платформы RSA предприятие сможет выбраться из хаоса электронных таблиц и точечных инструментов, получив отлаженную, скоординированную и единую для всей компании программу eGRC. Ценность конечного результата для организации заключается в меньшей стоимости подготовки к регуляторным аудитам и их проведения, повышенном внимании к рискам высокой приоритетности и более оперативном реагировании на них, а также более быстрой демонстрации соблюдения новых регуляторных положений. Кроме того, внедрение решения приводит к снижению операционных затрат благодаря объединению процессов, информации и систем. В то же время персонал организации и третьи стороны лучше осведомлены о принципах корпоративной политики компании, своих целях и обязанностях. Программное решение для eGRC от RSA поддерживает четыре ключевых процесса: выявление, назначение приоритетов, управление и отчетность. Эти процессы показаны на рис. 1.
Рис. 1. Цикл управления предприятием, управления рисками и соблюдения установленных норм на основе программного решения RSA
Выявление
Чтобы эффективно управлять рисками и соблюдением установленных норм по всему предприятию, организации должны «знать врага в лицо», иначе говоря, знать правила, которые им надлежит выполнять, и проблемы, которые могут помешать производить товары и предоставлять услуги. Решение RSA централизует и упрощает определение корпоративной политики и ее целей, а также выявление рисков и случаев несоблюдения установленных норм.
Корпоративная политика
Определение корпоративной политики и элементов контроля, а затем их сопоставление с соответствующими регуляторными нормами и целями – это основа технологии eGRC. Но во многих организациях описание внутренних требований и процедур рассеяно по функциональным подразделениям, эти материалы зачастую устарели и не соответствуют современной нормативной базе.
Решение RSA устраняет эту проблему за счет того, что организации получают возможность документировать свою политику и структуру контроля и далее оптимизировать их в соответствии с внешними регуляторными положениями и внутренними задачами. RSA обеспечивает самую полную в отрасли библиотеку корпоративных стандартов контроля, процедур и оценочных процессов, привязанных к текущим глобальным регуляторным положениям и отраслевым рекомендациям. Это прочный фундамент для внедрения любого решения eGRC. Организации также могут использовать собственные корпоративные политики и элементы контроля, назначать их соответствующему персоналу, а затем анализировать уровни понимания и принятия.
ВНЕДРЕНИЕ RSA ARCHER eGRC В ФИНАНСОВОЙ ОРГАНИЗАЦИИ
Manulife Financial Corporation – финансовая группа со штаб-квартирой в Канаде, оказывающая услуги в более чем 20 странах. В середине 1990-х гг. компания написала собственное приложение GRC. К 2010 г. выяснилось, что его дальнейшие сопровождение и развитие требуют слишком больших усилий собственной команды разработчиков. На тот момент Manulife должна была контролировать соблюдение более 5000 требований различных регуляторов в странах, где функционировали филиалы компании. Для решения возникших проблем компания приобрела и развернула следующие модули RSA Archer eGRC Suite: Policy Management, Enterprise Management, Risk Management. На сегодня процесс контроля соблюдения отраслевых и внутренних требований кардинально упростился. Кроме экономии ресурсов и времени при построении тех или иных отчетов, решение позволило снизить операционные риски, так как все возможные отклонения от требований бизнес-процессов выявляются на самой ранней стадии. В настоящее время компания начинает проект по дальнейшей интеграции технологии RSA Archer в существующие бизнес-процессы.
Риски
При наличии структур управления корпоративной политикой организации также должны составить программу управления как коммерческими рисками, так и рисками, связанными с соблюдением установленных норм. Центральное место в этой программе занимает реестр рисков – перечень потенциальных угроз, которые могут помешать достижению целей компании, и систематическая программа для выявления, анализа и управления ими.
Многим организациям не удается разработать скоординированную программу управления рисками, потому что у них нет центрального репозитория, в котором можно было бы аккумулировать информацию об угрозах со всего предприятия. Также отсутствует практика систематизации рисков, которая позволила бы создать единое для всех подразделений представление о них. Во многих организациях, особенно на крупных предприятиях, процессы сбора данных о рисках и выявления связей между ними требуют чрезвычайно много времени и усилий.
С помощью решения RSA организации могут создать и поддерживать эффективную программу управления рисками. Основанное на отраслевых стандартах определения риска решение делает возможным разработку такой программы благодаря наличию следующих компонентов:
- централизованный реестр потенциальных рисков (стратегических, операционных, финансовых, связанных с вопросами безопасности и соблюдения установленных норм), данных об источниках и природе угроз, а также целей бизнес-единиц и заинтересованных сторон, на которых сказались последствия рисков;
- показатели, которые используются в качестве ключевых индикаторов для отслеживания операционного риска;
- систематика, соединяющая риски и элементы их смягчения, которые определены в корпоративной политике и процедурах компании;
- процессы распознавания и анализа рисков посредством проектов по их управлению и общей инфраструктуры оценки рисков.
Управление рисками включает в себя полный цикл их распознавания, смягчения и устранения и является ключевой функцией решения RSA. Этот интегрированный подход позволяет организациям не только управлять рисками, но также использовать различные автоматизированные методы получения из множества источников описательных и количественных показателей, позволяющих выявлять тенденции. Наконец, решение RSA обеспечивает организацию столь необходимой единой шкалы оценки рисков. В результате компании реализуют экономически эффективные стратегии управления ими.
Проблемные вопросы
В дополнение к документированию корпоративной политики и потенциальных рисков организации должны упреждающе выявлять первые признаки возможных проблем. Один из способов решения этой задачи – оценка рисков и соблюдения установленных норм (см. рис. 2).
Решение RSA помогает избежать сложностей и неэффективности, характерных для традиционного процесса оценки с использованием электронных таблиц. Благодаря ему компании смогут быстро создать элементы автоматизированного контроля процессов, разработать и использовать опросные листы и процессы оценки рисков различных типов. Выявленные проблемы привязываются к соответствующим процедурам контроля, корпоративным политикам, правилам, рискам, компонентам деловой иерархии и операционной инфраструктуры.
Также организации могут интегрировать в платформу RSA Archer eGRC данные, полученные с помощью инструментов сканирования, специализированных решений по автоматизированному аудиту и т.п., чтобы получить обобщенное представление обо всех существующих проблемах. Ниже приведено лишь несколько примеров данных о рисках и соблюдении установленных норм, которые можно собрать на этой платформе:
- аналитика рисков (прогнозное, математическое моделирование, прогнозирование);
- случаи возникновения убытков;
- сигнальные отчеты;
- электронные улики для судебных процессов;
- результаты сканирования конфигурации ИТ-систем;
- журналы безопасности;
- выявление уязвимых данных;
- архив документов и информации;
- информация об угрозах;
- результаты поиска уязвимых мест.
Рис. 2. Оценка рисков в программном решении RSA
Назначение приоритетов
Без механизма оценки последствий и определения значимости рисков и случаев несоблюдения правовых норм организации просто утонут в потоке информации и не смогут эффективно распределять ресурсы, чтобы реагировать должным образом. Решение RSA в этой ситуации обеспечивает условия для принятия взвешенных и эффективных решений.
Организации могут документировать свою бизнес-иерархию и инфраструктуру, включая следующие элементы (заметим, что не только эти):
- обязанности руководства компании, подразделений и бизнес-единиц;
- товары и услуги;
- бизнес-процессы;
- технологические и информационные активы;
- производственные помещения и оборудование;
- контакты с сотрудниками, партнерами и поставщиками.
ВНЕДРЕНИЕ ПЛАТФОРМЫ RSA ARCHER eGRC В ТЕЛЕКОММУНИКАЦИОННОЙ КОМПАНИИ
Крупная компания, предоставляющая телекоммуникационные услуги на территории США, значительно расширила бизнес путем поглощения более мелких, локальных поставщиков телематических услуг и через слияния с организациями, работающими в смежных секторах рынка.
Для бизнеса телеком-операторов огромное значение имеет задача по обеспечению непрерывности предоставления своих услуг. Из-за особенностей своего развития (разрозненная инфраструктура, большой парк различных информационных систем) компания столкнулась с проблемой разработки планов восстановления обслуживания клиентов после аварийных ситуаций (Disaster Recovery Plan).
Для решения этой проблемы компания развернула платформу RSA Archer и на базе модуля RSA Archer Business Continuity Management создала единый репозиторий аварийных планов для всех возможных сценариев развития нештатных ситуаций в бизнес-критичных информационных системах. Эта инициатива позволила резко сократить время восстановления обслуживания после аварийных ситуаций и существенно повысить качество предоставляемых услуг.
Эти элементы являются не только показателями для оценки рисков и случаев несоблюдения установленных норм, но и основой для определения, на какие риски и случаи необходимо обратить внимание в первую очередь с учетом их влияния на бизнес. Например, используя платформу RSA Archer eGRC, организация может связать информационные активы с бизнес-процессами, которые они поддерживают, с программными приложениями, в которых происходит управление ими, с помещениями и оборудованием, где эти активы расположены, и с собственниками и хранителями этой информации. На основе этих связей программное приложение RSA автоматически присваивает каждому информационному активу рейтинг значимости.
Когда система управления журналами или предотвращения потери данных (например, такая как RSA enVision или RSA Data Loss Prevention) обнаруживает потенциальную утечку и информация об этом событии передается в RSA Archer eGRC, то и ИТ-служба, и пользователи получают уведомление об инциденте и подробные инструкции для адекватного реагирования на него. События, которые могут повлиять на важнейшие информационные активы, получают приоритетное внимание.
Управление
После того как организация определила свою корпоративную политику и контрольную структуру, а также внедрила непрерывный процесс обнаружения и определения значимости проблемных моментов, она должна решить задачу эффективного управления рисками и случаями несоблюдения установленных норм. В решение RSA заложена функция автоматического управления задачами, которая упрощает весь процесс устранения проблемных моментов.
сегодня корпорации могут рационально объединять множество требований по соблюдению установленных норм, контрольных процедур, стандартов в набор централизованных, универсальных корпоративных политик и управлять ими единообразно
На каждый случай, который требует внимания ответственных сотрудников, система запрашивает необходимые корректирующие действия. Сотрудник также может послать запрос на «Исключение», чтобы определить эффективные компенсационные контрольные инструменты. Решение RSA также позволяет управлять несколькими рисками и случаями несоблюдения установленных норм одновременно и в рамках одного корректирующего плана (см. рис. 3), чтобы обнаруживать более высокоуровневые проблемы и управлять ими.
Рис. 3. Корректирующий план для нескольких рисков и случаев несоблюдения установленных норм
Отчетность
Во многих организациях отчетность о рисках выполняется вручную, в привязке к отдельным проектам и с чрезвычайно большими временными затратами. Решение RSA устраняет эту проблему за счет автоматизации отчетности с широким набором возможностей – от простого поиска по ключевым словам до подготовки расширенных, совместимых с несколькими приложениями отчетов и сложных диаграмм и графиков. Во всех отчетах представлена текущая информация, а пользователи могут самостоятельно и на ходу подобрать критерии и фильтры для мгновенного доступа к необходимым им данным.
Благодаря графическим инструментальным панелям RSA (см. рис. 4) менеджеры и руководство могут в удобном формате наблюдать за состоянием процесса по управлению рисками и соблюдением установленных норм. Это позволяет принимать адекватные управленческие решения и в то же время не выходить за регуляторные рамки.
Рис. 4. Инструментальные панели платформы RSA Archer eGRC для руководства компании
Компания RSA видит технологию eGRC как целостную стратегию управления рисками и соблюдением установленных норм по всей организации, включая и контрагентов, и партнеров, участвующих в конкретных бизнес-процессах. Для этой цели RSA продолжает совершенствовать свои платформы, программные решения и услуги, чтобы компании имели возможность:
- определять корпоративную политику, цели, требования и проблемные моменты;
- ранжировать по важности свои ответные действия при возникновении рисков и случаев несоблюдения установленных норм;
- решать проблемные вопросы с помощью корректирующих планов или запросов на исключение;
- в реальном времени составлять отчеты.
Сегодня корпорации могут рационально объединять множество требований по соблюдению установленных норм, контрольных процедур, стандартов в набор централизованных, универсальных корпоративных политик и управлять ими единообразно. К тому же группы по управлению рисками могут сотрудничать с бизнес-подразделениями для обеспечения соответствия внутренним и внешним требованиям, назначать приоритеты действиям по устранению или смягчению рисков, стандартизировать процессы. Все это, в конечном счете, снижает операционные расходы компании.