ממשל, ניהול סיכונים וציות

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש
Gnome-colors-edit-find-replace.svg
יש לשכתב ערך זה. הסיבה לכך היא: תרגמת.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. אם אתם סבורים כי אין בדף בעיה, ניתן לציין זאת בדף השיחה.

ממשל, ניהול סיכונים[1] וציות (GRC) הוא מונח מטריה המכסה את גישת הארגון בין שלושת התחומים: ממשל, ניהול סיכונים, ציות. [2][3][4]  המחקר המדעי הראשון על GRC פורסם ב-2007[5] שבו GRC הוגדר רשמית כ"אוסף משולב של יכולות המאפשרות לארגון באופן אמין להשיג מטרות, לטפל באי-ודאות ולפעול ביושר." המחקר התייחס למשותף "שימור החברה במסלול" פעילויות שנערכות במחלקות כגון ביקורת פנימית, ציות, סיכון משפטי, כספים, IT, משאבי אנוש, כמו גם את קווי עסקים, הנהלה בחירה ומועצת המנהלים.

סקירה[עריכת קוד מקור | עריכה]

ממשל תאגידי, ניהול סיכונים וציות הם שלושה היבטים קשורים שעוזרים להבטיח אמינות, השגת מטרות, לטפל באי-ודאות ולפעול ביושרה[6] בארגון. ממשל הוא שילוב של תהליכים שנקבעו ומבוצעים על ידי הדירקטוריון (או מועצת המנהלים) המשתקפים במבנה הארגון, כיצד הוא מנוהל ומובילים להשגת המטרות.ניהול סיכונים הוא חיזוי וניהול סיכונים אשר יכולים לעכב את הארגון להשגת מטרותיו באופן אמין תחת אי ודאות. ציות מתייחס לדבקות בגבולות חוקיים (חוקים ותקנות) וגבולות מרצון (מדיניות החברה, נהלים וכו').[7][6]

GRC הוא דיסציפלינה שנועדה לסנכרן מידע ופעילות בין ממשל תאגידי, וציות על מנת לפעול ביעילות רבה יותר, לאפשר שיתוף מידע יעיל, לדווח בצורה יעילה יותר על פעילויות ולמנוע חפיפות בזבזניות. אף על פי שפורש באופן שונה בארגונים שונים, בדרך כלל GRC כולל פעילויות כגון ממשל תאגידי, ניהול סיכונים בחברה עסקית  (ERM) וציות תאגידית לחוקים ולתקנות הרלוונטיות.

ארגונים מגיעים לגודל שבו נדרשת בקרה מתואמת על פעילויות GRC כדי לפעול ביעילות. כל אחד משלוש הדיסציפלינות הללו יוצר מידע בעל ערך לשני האחרים, וכל השלושה משפיעים על אותן טכנולוגיות, אנשים, תהליכים ומידע. .

ניכר שכפול של משימות מתפתח כאשר ממשל תאגידי, ניהול סיכונים וציות מנוהלים באופן עצמאי. יחפיפה ופעילויות כפולות של GRC משפיעות לרעה הן על עלויות התפעול ועל מטריצות GRC . לדוגמה,  כל שירות פנימי עלול להיות מבוקר ומוערך על ידי מספר קבוצות על בסיס שנתי, וליצור עלות עצומה ותוצאות מנותקות. גישת GRC מנותקת תמנע גם מהארגון ממתן דוחות ההנהלה GRC בזמן אמת.  GRC סובר כי גישה זו, כמו מערכת התחבורה מתוכננת רע, כל מסלול בודד יפעל, אבל לרשת יהיו חסרים את התכונות המאפשרות להם לעבוד יחד ביעילות.[8]

אם לא משלבים, אם מתמודדים עם הגישה המסורתית של "הפרדה", רוב הארגונים חייבים לתחזק מספר בלתי נשלט של דרישות הקשורות GRC עקב שינויים בטכנולוגיה, הגדלת אחסון נתונים, גלובליזציה בשוק והגברת הרגולציה.

נושאי GRC[עריכת קוד מקור | עריכה]

מושגי יסוד[עריכת קוד מקור | עריכה]

  • ממשל מתאר את גישת הניהול הכוללת  באמצעותה מנהלים בכירים מנהלים ומפקחים על הארגון תוך שילוב של מידע ניהולי ומבני בקרה ניהול היררכי. פעילויות ממשל מבטיחות שמידע ניהולי קריטי שמגיע לצוות הניהולי הוא מספיק שלם, מדויק ועדכני כדי לאפשר החלטות ניהול נאותות, ולספק את מנגנוני הבקרה כדי להבטיח כי אסטרטגיות, הכוונות והוראות מצד ההנהלה מתבצעות באופן שיטתי ויעיל.
  • ניהול סיכונים הוא מערך התהליכים שבאמצעותו ההנהלה מזהה, מנתחת, ובמידת הצורך מגיבה כראוי לסיכונים העלולים להשפיע לרעה על מימוש היעדים העסקיים של הארגון.  התגובה לסיכונים תלויה בדרך כלל במשקל הנתפס, והיא גרוכה בשליטה, הימנעות, לקבל או להעביר את הסיכונים לצד שלישי. בעוד שארגונים מנהלים, באופן שגרתי,  מגוון רחב של סיכונים (למשל, סיכונים טכנולוגיים, סיכונים מסחריים/כספיים, סיכוני אבטחת מידע וכו'), הרי שסיכוני ציות ורגולציה חיצונים הם ללא ספק הנושא המרכזי ב-GRC.
  • תאימות פירושה עמידה בדרישות המוצהרות. ברמה ארגונית, רמה זו מושגת באמצעות תהליכי ניהול אשר מזהים את הדרישות הרלוונטיות (המוגדרות למשל בחוקים, בתקנות, בחוזים, באסטרטגיות ובמדיניות), להעריך את מצב הציות, להעריך את הסיכונים ואת פוטנציאל העלויות של אי-עמידה מול צפי ההוצאות כדי להשיג ציות, ובכך לקבוע סדר עדיפויות, לתקצב וליזום כל פעולות המתקנות הנחוצות.

GRC פילוח שוק[עריכת קוד מקור | עריכה]

תוכנית GRC יכולה להיות מכוונת להתמקד בכל תחום פרטני בארגון, או תכונית GRC משולבת שעובדת על כל תחומי הארגון, באמצעות מסגרת אחת.

GRC משולב במלואו משתמש במערך ליבה יחיד של בקרה, ממופה לכל גורמי הממשל העיקריים הנמצאים במעקב. שימוש במסגרת אחת יש גם את היתרון של הפחתת הסיכוי של פעולות מתקנות כפולות.

כאשר בוחנים תחומי GRC פרטנים, שלוש הכותרות הפרטניות הנפוצות ביותר הן GRC פיננסי, GRC ל-IT ו-GRC משפטי.

  • GRC פיננסי מתייחס לפעילויות שנועדו להבטיח פעולה נכונה של כל התהליכים הפיננסיים, כמו גם ציות לכל חוקים הפיננסים הקשורים.
  • IT GRC מתייחס פעילויות שנועדו להבטיח את שארגון ה-IT (טכנולוגיית המידע) תומך בצרכים הנוכחיים והעתידיים של הארגון, ועומד בקנה אחד עם כל דרישות החוקיות הקשורות.
  • GRC משפטי מתמקד בקשירת כל שלושת המרכיבים באמצעות המחלקה המשפטית של הארגון  וקצין ציות.

אנליסטים חולקים על האופן שבו היבטים אלה של GRC מוגדרים כקטגוריות שוק. גרטנר גרטנר הצהירה כי שוק ה- GRC הרחב כולל את התחומים הבאים:

  • GRC מימון וביקורת
  • GRC ניהול IT
  • ניהול סיכונים ארגוניים.

הם מחלקים את שוק ניהול IT GRC לתוך יכולות מפתח הללו. אף על פי שרשימה זו מתייחסת ל-IT GRC, רשימה דומה של היכולות תתאים גם לתחומים אחרים של GRC.

  • ספריית בקרות ומדיניות
  • הפצת מדיניות ותגובות
  • בקרות הערכה ומדידה עצמית של ה-IT
  • מאגר נכסי המידע
  • אוסף אוטומטי של בקרות מחשב  (GCC)
  • ניהול פעולות מתקנות וחריגות
  • דיווח
  • הערכת סיכוני IT מושכלת ולוחות מחוונים

ספקי מוצר GRC[עריכת קוד מקור | עריכה]

ההבחנות בין תת-מגזרים של שוק ה-GRC, לעיתים קרובות, אינן ברורות. עם מספר גדול של ספקים שנכסים לשוק לאחרונה, קביעה מהוא המוצר הטוב ביותר עבור צורכי עסק נתון יכולה לאתגר.  בהינתן כי אנליסטים לא לגמרי מסכימים על פילוח השוק, מיקום הספק יכול להגביר את הבלבול.

בשל האופי הדינמי של שוק זה, כל ניתוח ספקים הוא לעיתים קרובות לא עדכני זמן קצר לאחר פרסומו.

באופן כללי, הספק השוק יכול להיחשב להתקיים ב-3 מגזרים:

  • פתרונות GRC משולבים  (ממשל רב ענייני, חוצה ארגון)
  • תחום פתרונות GRC ספציפים (עניין ממשל בודד, חוצה ארגון)
  • פתרונות GRC נקודתיים (מתייחסים ברמת הארגון, לממשל או סיכון או ציות, אך לא בשילוב.)

פתרונות משולבים של GRC מנסים לאחד את הניהול של תחומים אלה, ולא להתייחס אליהם כאל ישויות נפרדות. פתרון משולב מסוגל לנהל בספרייה מרכזית אחת של  בקרות ציות ועדיין לנהל, לנטר ולהציג אותם נגד כל גורם ממשל. לדוגמה, בגישת תחום ספציפי, שלושה או יותר ממצאים יכולים להיוצר נגד פעילות אחת תקולה תקינה. הפתרון המשולב מזהה את זה בתור תקלה אחת הנוגעת וממופת למספר גורמי ממשל.

ספקי תחום GRC ספציפי מבינים את מחזורי החיבור בין ממשל, סיכונים וציות בתוך אזור מסוים של הממשל. לדוגמה, בתוך תהליכי עיבוד כספים — סיכון יתייחס או להיעדר שליטה (צריך לעדכן את ממשל) או חוסר דבקות (או איכות ירודה של)  בקרה קיימת. המטרה הראשונית של פיצול ה-GRC לתוך שוקים נפרדים,  השאיר כמה ספקים מבולבלים על חוסר גמישות. חושבים כי חוסר השכלה עמוקה בתחום הביקורת בצד, בשילוב עם חוסר האמון בביקורת באופן כללי גורם לשסע בתוך הסביבה התאגידית. עם זאת, ישנם ספקים בשוק, שתוך שמירה על תחום ספציפי, החלו לשווק את המוצר למשתמשי קצה ומחלקות, אף על פי שמשיקים או חופפים, התרחבו לכלול בקהל היעד את הביקורת התאגידית הפנימית (ה-CIA) וקבוצות הביקורת החיצונית (tier 1 ארבעת הגדולים ורובד שני ומטה),  אבטחת מידע וניהול תפעול/ייצור. גישה זו מספקת גישת "ספר פתוח" לתוך התהליך. אם את צוות התפעולי יהיו מבוקרים על ידי הביקורת הארגונית הפנימית באמצעות יישום שגם לצוות התפעולי משתמש, נראה שהסיכון יופחת במהירות גבוהה יותר, כי המטרה היא לא להיות "תואם" אלא, "מאובטח" או מאובטח ככל האפשר.

פתרונות GRC נקודתיים מתאפיינים בדגש על טיפול באזור אחד בלבד שלה. במקרים מסוימים של דרישות מוגבלות, פתרונות אלה יכולים לשמש מטרה בר קיימא. עם זאת, משום שהם נטו לכיוון של עיצוב לפתור לעומק רב בעיות בתחום ספציפי, הם בדרך כלל לא לוקחים בחשבון גישה מאוחדת ולא סובלנית לפתרונות משולבים דרישות ממשל. מערכות מידע, יפנו לנושאים האלה יותר טוב אם את דרישות ניהול GRC ישולבו בשלב התכנון, כחלק במסגרת עקבית.[9]

GRC אחסון נתונים ובינה עסקית[עריכת קוד מקור | עריכה]

ספקי GRC עם מסגרת נתונים משולבת מסוגלים כעת להציע פתרונות בהתאמה אישית של מחסני נתונים ובינה עסקית GRC. זה מאפשר להפיק ערך גבוה מאיסוף וניתוח נתונים מישומים קיימים של GRC.

הצבירה של נתוני GRC באמצעות גישה זו מוסיפה יתרון משמעותי של זיהוי מוקדם של סיכון ושיפור תהליכים עסקים (בקרות עסקיות).

הטבות נוספות לגישה זו כוללים (i) מאפשר למומחה קיים ויישומים בעלי ערך גבוה להמשיך ללא השפעה (ii) ארגונים יכולים לנהל מעבר קל יותר לגישת GRC משולב, כי השינוי הראשוני רק מוסיף את שכבת דוחות ו- (iii) הוא מספק בזמן אמת. היכולת להשוות ולעמת את ערך הנתונים בין מערכות שונות שבעבר היו ללא חיבור נתונים משותף.

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ "encompass confirm | Know Your Customer software for banking & finance". encompasscorporation.com (באנגלית). בדיקה אחרונה ב-10 בנובמבר 2017. 
  2. ^ Anthony Tarantino (25 בפברואר 2008), Governance, Risk, and Compliance Handbook, ISBN 978-0-470-09589-8 
  3. ^ Denise Vu Broady; Holly A. Roland (25 באפריל 2008), "The ABCs of GRC", SAP GRC For Dummies, ISBN 978-0-470-33317-4 
  4. ^ Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T. (2012), Aiding Compliance Governance in Service-Based Business Processes, IGI Global, עמ' 524–548, בדיקה אחרונה ב-6 באפריל 2013 CS1 maint: Multiple names: authors list (link)
  5. ^ Scott L. Mitchell (1 באוקטובר 2007), GRC360: A framework to help organisations drive principled performance, ISSN 1741-3591 
  6. ^ 6.0 6.1 OCEG (2004), "GRC Capability Model"Scott L. Mitchell, OCEG (1 בינואר 2004), GRC Capability Model (Free Open Source) 
  7. ^ Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle (2013), "Internal Auditing: Assurance & Advisory Services"
  8. ^ Terminus Systems (2018), "GRC" Unlisted, Terminus Systems (1 בינואר 2018), GRC {Free Open Source} 
  9. ^ Bonazzi, R., Hussami, L. & Pigneur, Y. (2009), "Compliance Management is Becoming a Major Issue in IS Design", in D'atri, Alessandro; Saccà, Domenico, Information Systems: People, Organizations, Institutions, and Technologies, Springer, עמ' 391–398, doi:10.1007/978-3-7908-2148-2, אורכב מ-המקור ב-2012-03-12, בדיקה אחרונה ב-6 באפריל 2013  More than one of |author= ו|last= specified (עזרה); More than one of |editor1-last= ו|editor-last= specified (עזרה); More than one of |editor1-first= ו|editor-first= specified (עזרה); More than one of |accessdate= ו|access-date= specified (עזרה); More than one of |DOI= ו|doi= specified (עזרה)