לדלג לתוכן

ממשל, ניהול סיכונים וציות

מתוך ויקיפדיה, האנציקלופדיה החופשית
יש לשכתב ערך זה. הסיבה היא: תרגמת.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. ייתכן שתמצאו פירוט בדף השיחה.
יש לשכתב ערך זה. הסיבה היא: תרגמת.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. ייתכן שתמצאו פירוט בדף השיחה.

ממשל, ניהול סיכונים[1] וציות (GRC) הוא מונח מטרייה המכסה את גישת הארגון בין שלושת התחומים: ממשל תאגידי, ניהול סיכונים וציות.[2][3][4] המחקר המדעי הראשון על GRC פורסם ב-2007[5] שבו GRC הוגדר רשמית כ"אוסף משולב של יכולות המאפשרות לארגון באופן אמין להשיג מטרות, לטפל באי-ודאות ולפעול ביושר." המחקר התייחס למשותף "שימור החברה במסלול" פעילויות שנערכות במחלקות כגון ביקורת פנימית, ציות, סיכון משפטי, כספים, IT, משאבי אנוש, כמו גם את קווי עסקים, הנהלה בחירה ומועצת המנהלים.

ממשל תאגידי, ניהול סיכונים וציות הם שלושה היבטים קשורים שעוזרים להבטיח אמינות, השגת מטרות, לטפל באי-ודאות ולפעול ביושרה[6] בארגון. ממשל הוא שילוב של תהליכים שנקבעו ומבוצעים על ידי הדירקטוריון (או מועצת המנהלים) המשתקפים במבנה הארגון, כיצד הוא מנוהל ומובילים להשגת המטרות. ניהול סיכונים הוא חיזוי וניהול סיכונים אשר יכולים לעכב את הארגון להשגת מטרותיו באופן אמין תחת אי ודאות. ציות מתייחס לדבקות בגבולות חוקיים (חוקים ותקנות) וגבולות מרצון (מדיניות החברה, נהלים וכו').[7][6]

GRC הוא דיסציפלינה שנועדה לסנכרן מידע ופעילות בין ממשל תאגידי, וציות על מנת לפעול ביעילות רבה יותר, לאפשר שיתוף מידע יעיל, לדווח בצורה יעילה יותר על פעילויות ולמנוע חפיפות בזבזניות. אף על פי שפורש באופן שונה בארגונים שונים, בדרך כלל GRC כולל פעילויות כגון ממשל תאגידי, ניהול סיכונים בחברה עסקית (ERM) וציות תאגידית לחוקים ולתקנות הרלוונטיות.

ארגונים מגיעים לגודל שבו נדרשת בקרה מתואמת על פעילויות GRC כדי לפעול ביעילות. כל אחד משלוש הדיסציפלינות הללו יוצר מידע בעל ערך לשני האחרים, וכל השלושה משפיעים על אותן טכנולוגיות, אנשים, תהליכים ומידע.

כפילות ניכרת של משימות מתפתחת כאשר ממשל תאגידי, ניהול סיכונים וציות מנוהלים באופן עצמאי. חפיפה ופעילויות כפולות של GRC משפיעות לרעה הן על עלויות התפעול ועל מטריצות GRC . לדוגמה, כל שירות פנימי עלול להיות מבוקר ומוערך על ידי מספר קבוצות על בסיס שנתי, וליצור עלות עצומה ותוצאות מנותקות. גישת GRC מנותקת תמנע גם מהארגון ממתן דוחות ההנהלה GRC בזמן אמת. GRC סובר כי גישה זו, כמו מערכת התחבורה מתוכננת רע, כל מסלול בודד יפעל, אבל לרשת יהיו חסרים את התכונות המאפשרות להם לעבוד יחד ביעילות.[8]

אם לא משלבים, אם מתמודדים עם הגישה המסורתית של "הפרדה", רוב הארגונים חייבים לתחזק מספר בלתי נשלט של דרישות הקשורות GRC עקב שינויים בטכנולוגיה, הגדלת אחסון נתונים, גלובליזציה בשוק והגברת הרגולציה.

מושגי יסוד

[עריכת קוד מקור | עריכה]
  • ממשל מתאר את גישת הניהול הכוללת באמצעותה מנהלים בכירים מנהלים ומפקחים על הארגון תוך שילוב של מידע ניהולי ומבני בקרה ניהול היררכי. פעילויות ממשל מבטיחות שמידע ניהולי קריטי שמגיע לצוות הניהולי הוא מספיק שלם, מדויק ועדכני כדי לאפשר החלטות ניהול נאותות, ולספק את מנגנוני הבקרה כדי להבטיח כי אסטרטגיות, הכוונות והוראות מצד ההנהלה מתבצעות באופן שיטתי ויעיל.
  • ניהול סיכונים הוא מערך התהליכים שבאמצעותו ההנהלה מזהה, מנתחת, ובמידת הצורך מגיבה כראוי לסיכונים העלולים להשפיע לרעה על מימוש היעדים העסקיים של הארגון. התגובה לסיכונים תלויה בדרך כלל במשקל הנתפס, והיא כרוכה בשליטה, הימנעות, לקבל או להעביר את הסיכונים לצד שלישי. בעוד שארגונים מנהלים, באופן שגרתי, מגוון רחב של סיכונים (למשל, סיכונים טכנולוגיים, סיכונים מסחריים/כספיים, סיכוני אבטחת מידע וכו'), הרי שסיכוני ציות ורגולציה חיצוניים הם ללא ספק הנושא המרכזי ב-GRC.
  • ציות פירושו עמידה בדרישות המוצהרות. ברמה ארגונית, רמת ציות נאותה מושגת באמצעות תהליכי ניהול אשר מזהים את הדרישות הרלוונטיות (המוגדרות למשל בחוקים, בתקנות, בחוזים, באסטרטגיות ובמדיניות). התהליך כולל הערכה של מצב הציות הקים בארגון, הערכה של הסיכונים הנגזרים מאי העמידה ברגולציה. בשלב שני מתבצע אומדן פוטנציאל הנזק הגלום באי העמידה ברגולציה מול צפי ההוצאות הנדרשות כדי להשיג ציות. בהמשך מתבצע תהליך תעדוף, בו הפעולות המתקנות מתוזמנות ומתוקצבות. בסופו של דבר מותנעת תוכנית פעולה לביצוע הפעולות המתקנות, עד לסקר הבא, באופן מחזורי תקופתי.

GRC פילוח שוק

[עריכת קוד מקור | עריכה]

תוכנית GRC יכולה להיות מכוונת להתמקד בכל תחום פרטני בארגון, או תכונית GRC משולבת שעובדת על כל תחומי הארגון, באמצעות מסגרת אחת.

GRC משולב במלואו משתמש במערך ליבה יחיד של בקרה, ממופה לכל גורמי הממשל העיקריים הנמצאים במעקב. שימוש במסגרת אחת יש גם את היתרון של הפחתת הסיכוי של פעולות מתקנות כפולות.

כאשר בוחנים תחומי GRC פרטניים, שלוש הכותרות הפרטניות הנפוצות ביותר הן GRC פיננסי, GRC ל-IT ו-GRC משפטי.

  • GRC פיננסי מתייחס לפעילויות שנועדו להבטיח פעולה נכונה של כל התהליכים הפיננסיים, כמו גם ציות לכל חוקים הפיננסים הקשורים.
  • IT GRC מתייחס פעילויות שנועדו להבטיח את שארגון ה-IT (טכנולוגיית המידע) תומך בצרכים הנוכחיים והעתידיים של הארגון, ועומד בקנה אחד עם כל דרישות החוקיות הקשורות.
  • GRC משפטי מתמקד בקשירת כל שלושת המרכיבים באמצעות המחלקה המשפטית של הארגון וקצין ציות.

אנליסטים חולקים על האופן שבו היבטים אלה של GRC מוגדרים כקטגוריות שוק. גרטנר גרטנר הצהירה כי שוק ה- GRC הרחב כולל את התחומים הבאים:

  • GRC מימון וביקורת
  • GRC ניהול IT
  • ניהול סיכונים ארגוניים.

הם מחלקים את שוק ניהול IT GRC לתוך יכולות מפתח הללו. אף על פי שרשימה זו מתייחסת ל-IT GRC, רשימה דומה של היכולות תתאים גם לתחומים אחרים של GRC.

  • ספריית בקרות ומדיניות
  • הפצת מדיניות ותגובות
  • בקרות הערכה ומדידה עצמית של ה-IT
  • מאגר נכסי המידע
  • אוסף אוטומטי של בקרות מחשב (GCC)
  • ניהול פעולות מתקנות וחריגות
  • דיווח
  • הערכת סיכוני IT מושכלת ולוחות מחוונים

ספקי מוצר GRC

[עריכת קוד מקור | עריכה]

ההבחנות בין תת-מגזרים של שוק ה-GRC, לעיתים קרובות, אינן ברורות. עם מספר גדול של ספקים שנכסים לשוק לאחרונה, קביעה מהו המוצר הטוב ביותר עבור צורכי עסק נתון יכולה לאתגר. בהינתן כי אנליסטים לא לגמרי מסכימים על פילוח השוק, מיקום הספק יכול להגביר את הבלבול.

בשל האופי הדינמי של שוק זה, כל ניתוח ספקים הוא לעיתים קרובות לא עדכני זמן קצר לאחר פרסומו.

באופן כללי, הספק השוק יכול להיחשב להתקיים ב-3 מגזרים:

  • פתרונות GRC משולבים (ממשל רב ענייני, חוצה ארגון)
  • תחום פתרונות GRC ספציפיים (עניין ממשל בודד, חוצה ארגון)
  • פתרונות GRC נקודתיים (מתייחסים ברמת הארגון, לממשל או סיכון או ציות, אך לא בשילוב.)

פתרונות משולבים של GRC מנסים לאחד את הניהול של תחומים אלה, ולא להתייחס אליהם כאל ישויות נפרדות. פתרון משולב מסוגל לנהל בספרייה מרכזית אחת של בקרות ציות ועדיין לנהל, לנטר ולהציג אותם נגד כל גורם ממשל. לדוגמה, בגישת תחום ספציפי, שלושה או יותר ממצאים יכולים להיוצר נגד פעילות אחת תקולה תקינה. הפתרון המשולב מזהה את זה בתור תקלה אחת הנוגעת וממופת למספר גורמי ממשל.

ספקי תחום GRC ספציפי מבינים את מחזורי החיבור בין ממשל, סיכונים וציות בתוך אזור מסוים של הממשל. לדוגמה, בתוך תהליכי עיבוד כספים — סיכון יתייחס או להיעדר שליטה (צריך לעדכן את ממשל) או חוסר דבקות (או איכות ירודה של) בקרה קיימת. המטרה הראשונית של פיצול ה-GRC לתוך שוקים נפרדים, השאיר כמה ספקים מבולבלים על חוסר גמישות. חושבים כי חוסר השכלה עמוקה בתחום הביקורת בצד, בשילוב עם חוסר האמון בביקורת באופן כללי גורם לשסע בתוך הסביבה התאגידית. עם זאת, ישנם ספקים בשוק, שתוך שמירה על תחום ספציפי, החלו לשווק את המוצר למשתמשי קצה ומחלקות, אף על פי שמשיקים או חופפים, התרחבו לכלול בקהל היעד את הביקורת התאגידית הפנימית (ה-CIA) וקבוצות הביקורת החיצונית (tier 1 ארבעת הגדולים ורובד שני ומטה), אבטחת מידע וניהול תפעול/ייצור. גישה זו מספקת גישת "ספר פתוח" לתוך התהליך. אם את צוות התפעולי יהיו מבוקרים על ידי הביקורת הארגונית הפנימית באמצעות יישום שגם לצוות התפעולי משתמש, נראה שהסיכון יופחת במהירות גבוהה יותר, כי המטרה היא לא להיות "תואם" אלא, "מאובטח" או מאובטח ככל האפשר.

פתרונות GRC נקודתיים מתאפיינים בדגש על טיפול באזור אחד בלבד שלה. במקרים מסוימים של דרישות מוגבלות, פתרונות אלה יכולים לשמש מטרה בר קיימא. עם זאת, משום שהם נטו לכיוון של עיצוב לפתור לעומק רב בעיות בתחום ספציפי, הם בדרך כלל לא לוקחים בחשבון גישה מאוחדת ולא סובלנית לפתרונות משולבים דרישות ממשל. מערכות מידע, יפנו לנושאים האלה יותר טוב אם את דרישות ניהול GRC ישולבו בשלב התכנון, כחלק במסגרת עקבית.[9]

GRC אחסון נתונים ובינה עסקית

[עריכת קוד מקור | עריכה]

ספקי GRC עם מסגרת נתונים משולבת מסוגלים כעת להציע פתרונות בהתאמה אישית של מחסני נתונים ובינה עסקית GRC. זה מאפשר להפיק ערך גבוה מאיסוף וניתוח נתונים מיישומים קיימים של GRC.

הצבירה של נתוני GRC באמצעות גישה זו מוסיפה יתרון משמעותי של זיהוי מוקדם של סיכון ושיפור תהליכים עסקים (בקרות עסקיות).

הטבות נוספות לגישה זו כוללים (i) מאפשר למומחה קיים ויישומים בעלי ערך גבוה להמשיך ללא השפעה (ii) ארגונים יכולים לנהל מעבר קל יותר לגישת GRC משולב, כי השינוי הראשוני רק מוסיף את שכבת דוחות ו- (iii) הוא מספק בזמן אמת. היכולת להשוות ולעמת את ערך הנתונים בין מערכות שונות שבעבר היו ללא חיבור נתונים משותף.

הערות שוליים

[עריכת קוד מקור | עריכה]
  1. ^ "encompass confirm | Know Your Customer software for banking & finance". encompasscorporation.com (באנגלית בריטית). נבדק ב-2017-11-10.(הקישור אינו פעיל)
  2. ^ Anthony Tarantino (2008-02-25), Governance, Risk, and Compliance Handbook, ISBN 978-0-470-09589-8
  3. ^ Denise Vu Broady; Holly A. Roland (2008-04-25), "The ABCs of GRC", SAP GRC For Dummies, ISBN 978-0-470-33317-4
  4. ^ Silveira, P., Rodriguez, C., Birukou, A., Casati, F., Daniel, F., D'Andrea, V., Worledge & C., Zouhair, T. (2012), Aiding Compliance Governance in Service-Based Business Processes, IGI Global, pp. 524–548, נבדק ב-2013-04-06{{citation}}: תחזוקה - ציטוט: multiple names: authors list (link)
  5. ^ Scott L. Mitchell (2007-10-01), GRC360: A framework to help organisations drive principled performance, ISSN 1741-3591
  6. ^ 1 2 OCEG (2004), "GRC Capability Model"Scott L. Mitchell, OCEG (2004-01-01), GRC Capability Model (Free Open Source)
  7. ^ Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle (2013), "Internal Auditing: Assurance & Advisory Services"
  8. ^ Terminus Systems (2018), "GRC" Unlisted, Terminus Systems (2018-01-01), GRC {Free Open Source}
  9. ^ Bonazzi, R., Hussami, L. & Pigneur, Y. (2009), "Compliance Management is Becoming a Major Issue in IS Design", in D'atri, Alessandro; Saccà, Domenico (eds.), Information Systems: People, Organizations, Institutions, and Technologies (PDF), Springer, pp. 391–398, doi:10.1007/978-3-7908-2148-2, אורכב מ-המקור (PDF) ב-2012-03-12, נבדק ב-2013-04-06{{citation}}: תחזוקה - ציטוט: multiple names: authors list (link)