مفهوم الحوكمة و المخاطر و الالتزام
GRC عبارة عن مجموعة متكاملة من القدرات التي تمكن المنظمة من تحقيق الأداء المبدئي - القدرة على تحقيق الأهداف بشكل موثوق، ومعالجة عدم اليقين، والتصرف بنزاهة...
ما هو GRC (الحوكمة والمخاطر والامتثال)؟
يرمز GRC إلى الحوكمة والمخاطر والامتثال وهو مفهوم تم إنشاؤه من قبل مجموعة الامتثال المفتوح والأخلاقيات (OCEG) في عام 2002.
G
Governance الحوكمة
R
Risk المخاطر
C
Compliance الالتزام
GRC عبارة عن مجموعة متكاملة من القدرات التي تمكن المنظمة من تحقيق الأداء المبدئي - القدرة على تحقيق الأهداف بشكل موثوق، ومعالجة عدم اليقين، والتصرف بنزاهة.
GRC (الحوكمة والمخاطر والامتثال) وOCEG (مجموعة الامتثال المفتوح والأخلاقيات): نظرة عميقة و شاملة
يشير GRC، كاختصار، إلى الحوكمة والمخاطر والامتثال - ولكن القصة الكاملة لـ GRC هي أكثر بكثير من تلك الكلمات الثلاث.
تم إنشاء الاختصار GRC بواسطة OCEG (التي كانت تسمى في الأصل "مجموعة الامتثال المفتوح والأخلاقيات") كمرجع مختصر للقدرات الحاسمة التي يجب أن تعمل معًا لتحقيق الأداء المبدئي - القدرات التي تدمج الحوكمة والإدارة وضمان الأداء، أنشطة المخاطر والامتثال.
يتضمن ذلك العمل الذي تقوم به الإدارات في مجالات الحوكمة والاستراتيجية والمخاطر والامتثال والأمن والتدقيق والمالية والشؤون القانونية وتكنولوجيا المعلومات والموارد البشرية. ولكنه يشمل أيضًا المشغلين في مجالات الأعمال، والجناح التنفيذي، ومجلس الإدارة نفسه.
تشير الحوكمة والمخاطر والامتثال (GRC) إلى استراتيجية المنظمة للتعامل مع الترابط بين المكونات الثلاثة التالية:
سياسات حوكمة الشركات.
برامج إدارة المخاطر المؤسسية.
الامتثال التنظيمي والشركة.
ظهر هذا التخصص كنظام في أوائل القرن الحادي والعشرين عندما أدركت الشركات أن تنسيق الأشخاص والعمليات والتقنيات التي تستخدمها لإدارة الحوكمة والمخاطر والامتثال يمكن أن يفيدها بطريقتين. ومن شأن النهج المركب أن يساعد في ضمان تصرف منظماتهم بشكل أخلاقي. كما أنه سيساعدهم أيضًا على تحقيق أهداف أعمالهم من خلال الحد من أوجه القصور وسوء التواصل والمخاطر الأخرى الناجمة عن اتباع نهج منعزل للحوكمة والمخاطر والامتثال.
يمكن لأي مؤسسة ذات أياً كان حجمها استخدام GRC. يعد تطوير نظام GRC أمرًا مهمًا بشكل خاص للمؤسسات الكبيرة التي لديها متطلبات واسعة النطاق للحوكمة والمخاطر والامتثال وحيث تتداخل البرامج التي تلبي هذه المتطلبات غالبًا.
مبادئ GRC الأساسية
يتم تعريف المكونات الثلاثة لـ GRC على النحو التالي:
الحوكمة: تشير الحوكمة إلى الإدارة الأخلاقية للمنظمة من قبل قادتها وفقًا لخطط واستراتيجيات العمل المعتمدة.
المخاطر: تشير إدارة المخاطر إلى عملية المنظمة لتحديد وتصنيف وتقييم ووضع استراتيجيات لتقليل المخاطر التي من شأنها أن تعيق عملياتها والسيطرة على المخاطر التي تعزز العمليات.
الامتثال: يشير الامتثال إلى مستوى التزام المنظمة بالمعايير والقوانين واللوائح وأفضل الممارسات التي تفرضها الشركة والهيئات الإدارية والقوانين ذات الصلة.
كانت هذه الأنشطة الثلاثة تعمل بشكل تقليدي بشكل أو بآخر بشكل منفصل. في نهج GRC، يستمر كل مكون من المكونات الثلاثة في التفاعل مع وظائف العمل الحالية ودعمها، ولكن تقاطع الثلاثة هو حيث تصبح الفوائد واضحة.
لماذا يعتبر GRC مهمًا اليوم؟
مع تزايد تعقيد الأعمال، فإنها تحتاج إلى طريقة لتحديد الأنشطة الرئيسية في المنظمة وإدارتها بشكل فعال. كما يحتاجون أيضًا إلى القدرة على دمج الأنشطة الإدارية التقليدية المتميزة في نظام متماسك يزيد من فعالية الأشخاص والعمليات التجارية وصنع القرار والتكنولوجيا والمرافق وعناصر الأعمال المهمة الأخرى.
يحقق GRC ذلك عن طريق كسر الحواجز التقليدية بين وحدات الأعمال، مما يتطلب منهم العمل بشكل تعاوني لتحقيق الأهداف الإستراتيجية للشركة. يعد مركز الخليج للأبحاث أحد مكونات منظمة جيدة الإدارة في عشرينيات القرن الحالي.
GRC نقاط القوة والقيود
إذا تم تنفيذها بشكل صحيح، فإن سياسات وممارسات وبرامج GRC توفر الفوائد التالية:
انخفاض التكاليف. من خلال التخلص من العمليات والموارد والأدوات المتكررة وغير المتصلة، يعمل GRC على تبسيط العمليات، مما يقلل بشكل فعال من هدر الوقت والمال.
حماية. يوفر GRC رؤية متزايدة للمخاطر والتهديدات ونقاط الضعف، مما يمكّن الشركات من تأمين بنيتها التحتية من الأمن السيبراني ونواقل التهديد الأخرى.
امتثال. يساعد GRC المؤسسات على تحقيق الامتثال المستمر للمعايير واللوائح المطلوبة.
الحماية من العقوبات. من خلال مساعدتهم على تحقيق الامتثال، تحمي GRC الشركات من عمليات التدقيق الداخلي غير المواتية والعقوبات المالية والتقاضي.
تقليل المخاطر. يمكن للشركات التي تستخدم GRC أن تشهد انخفاضًا في المخاطر عبر المؤسسة بأكملها، بما في ذلك مخاطر الأعمال والمخاطر المالية والمخاطر التشغيلية والمخاطر الأمنية.
كفاءة العملية. يمكّن GRC المؤسسات من جمع المعلومات بسرعة ودقة. فهو يقلل من ازدواجية الجهود ويقوم بأتمتة المهام الروتينية وسير العمل، مما يعزز الكفاءة التشغيلية.
الشفافية والمساءلة. تشجع GRC الشركات على أن تكون شفافة بشأن ممارساتها، مما يبني الثقة مع أصحاب المصلحة.
ومع ذلك، إذا لم يتم تنفيذ GRC بشكل صحيح أو إذا كان دعم الإدارة العليا لـ GRC في حده الأدنى، فقد تظهر مشكلات محتملة. وتشمل المشاكل ارتفاع التكاليف المرتبطة بانخفاض رؤية المخاطر، وانخفاض الأداء بسبب ضعف رؤية المخاطر والتجزئة عبر أقسام المنظمة والقوى العاملة.
برامج وأدوات GRC
يجمع برنامج GRC بين التطبيقات التي تدير وظائفه الأساسية في حزمة واحدة متكاملة. إنه يمكّن المنظمة من اتباع نهج منهجي ومنظم لإدارة استراتيجية GRC وتنفيذها. بدلاً من استخدام التطبيقات المنعزلة، يمكن للمسؤولين استخدام إطار عمل واحد لمراقبة القواعد والإجراءات وتنفيذها. تساعد عمليات التثبيت الناجحة في تخفيف المخاطر وتقليل التكاليف التي تتكبدها عمليات التثبيت المتعددة وتقليل التعقيد للمديرين.
يتضمن برنامج GRC الفعال أدوات فحص المخاطر وتقييم المخاطر التي تحدد الروابط للعمليات التجارية والضوابط الداخلية والعمليات. يحدد برنامج GRC العمليات والأدوات التي تتحكم في تلك المخاطر ويدمج البرنامج الفردي ومتعدد النقاط وعلى مستوى المؤسسة الذي تستخدمه الشركة حاليًا.
يوفر برنامج GRC أيضًا نهجًا منظمًا للامتثال للمتطلبات القانونية والتنظيمية، مثل تلك المحددة في قانون Sarbanes-Oxley، أو اللائحة العامة لحماية البيانات، أو لوائح الصحة والسلامة المهنية.
تشمل الميزات الأخرى المتوفرة في منصات GRC إدارة المخاطر التشغيلية، وإدارة مخاطر تكنولوجيا المعلومات، والسياسة، وإدارة التدقيق، وإدارة مخاطر الطرف الثالث، وتتبع المشكلات وإدارة المستندات.
اعتبارات البرمجيات GRC
تتوفر منتجات برمجيات GRC لدى العديد من البائعين. تستوعب المنتجات تقريبًا أي نوع أو حجم من المؤسسات، بما في ذلك تلك التي لها خطوط أعمال متعددة.
ومع ذلك، قد يكون برنامج GRC مربكًا للشركات لأن السوق مليء بأنواع عديدة من المنتجات، بما في ذلك ما يلي:
منتجات GRC المتكاملة التي تهدف إلى توفير نهج على مستوى المؤسسة تجاه GRC، كما هو مذكور أعلاه.
منتجات GRC التي تستهدف مجالات معينة فقط، مثل التمويل أو تكنولوجيا المعلومات أو المخاطر.
منتجات النقاط التي تستهدف مكونًا واحدًا من GRC وليس الثلاثة جميعًا.
تعتمد أدوات GRC بشكل متزايد على السحابة، ولكن تتوفر أنظمة في الموقع، وكذلك خيارات مجانية. يقوم بائعو GRC بدمج تقنيات الأتمتة والذكاء الاصطناعي، بما في ذلك التعلم الآلي ومعالجة اللغات الطبيعية، لمساعدة المؤسسات على مواكبة المخاطر الجديدة والمتطورة ولجعل أدوات GRC أكثر سهولة في الاستخدام.
بعض الأمثلة على منتجات GRC هي التالية:
مجتهد HighBond.
صفحات آي بي إم المفتوحة.
LogicManager.
سحابة LogicGate للمخاطر.
MetricStream المؤسسة GRC.
Navex Global Lockpath.
ServiceNow الحوكمة والمخاطر والامتثال.
تنفيذ GRC
يتضمن تنفيذ برنامج GRC عادةً عمليات تثبيت معقدة تتضمن التفاوض مع البائع وتنسيق البيانات بين الفريق الفني للبائع والإدارات المتعددة في المؤسسة، بما في ذلك الأعمال وتكنولوجيا المعلومات والأمن والامتثال والتدقيق.
تشمل التحديات الرئيسية دمج البيانات والمعلومات الأخرى ذات الصلة من الأقسام الداخلية والمنظمات الخارجية في معلومات GRC مفيدة وضمان تدريب جميع مستخدمي نظام GRC بشكل صحيح للحصول على أقصى استفادة من البرنامج.
قد تكون هناك حاجة إلى تغييرات في ثقافة الشركة لاستيعاب الطبيعة التعاونية لنظام GRC الجديد. يعد الاختبار الدوري لبرنامج GRC أمرًا ضروريًا لضمان استخدام الأقسام الداخلية له بشكل صحيح. مثل الأنظمة المهمة الأخرى، يجب إضافة برنامج GRC إلى خطط التعافي من الكوارث التكنولوجية (DR) لضمان استمرار تشغيله في أي حدث تخريبي.
يمكن أن تساعد النصائح التالية المؤسسات في نشر GRC:
حدد أهدافًا واضحة. يجب على المؤسسات وضع أهداف عمل محددة ومحاولة تحديد ما تأمل في تحقيقه من خلال جهود GRC.
تحديد الثغرات التشغيلية. يجب على الشركات مراجعة جودة البيانات وتحليل مدى نضج كل عملية وتحديد أي فجوات تشغيلية عن طريق إجراء تحليل الفجوات بعد الحصول على البيانات ذات الصلة حول ممارسات GRC الحالية.
الحصول على الفريق على متن الطائرة. لتعزيز قبول برنامج GRC، يجب على الشركات مواءمة نفسها مع خطة وميزانية GRC، وبالتالي إنشاء تركيز من أعلى إلى أسفل للبرنامج.
اختبار إطار GRC. قبل اعتماده على مستوى المؤسسة، يجب على المنظمة إجراء اختبار على نطاق صغير على وحدة عمل أو عملية معينة. وهذا يجعل من السهل تحديد ما إذا كان إطار عمل GRC المحدد يتماشى مع الأهداف، وإذا لم يكن كذلك، لإجراء التعديلات اللازمة.
تحديد أدوار ومسؤوليات واضحة. في عالم GRC، يتوقف النجاح على نهج الفريق التعاوني. يضع كبار المسؤولين التنفيذيين سياسات مهمة، ولكن الفرق القانونية والمالية وفرق تكنولوجيا المعلومات تتقاسم أيضًا المسؤولية عن نجاح GRC. يجب تحديد الواجبات الفردية بوضوح لتعزيز المساءلة وتسريع عملية إعداد التقارير وحل مشكلات GRC.
ما هي المشاكل التي يحلها GRC (الحوكمة والمخاطر والامتثال)؟
يتم خسارة أكثر من تريليون دولار أمريكي سنويًا بسبب سوء السلوك غير المبدئي والأخطاء وسوء التقدير.
استجابةً لهذه المشكلة التي تبلغ قيمتها تريليون دولار، يلعب متخصصو GRC (الحوكمة والمخاطر والامتثال) المدربون على الأداء المبدئي، والمعروفون أيضًا باسم "الحماة"، دورًا حاسمًا في إنتاج القيمة والحفاظ عليها، وتحقيق الأهداف، ومعالجة عدم اليقين، والعمل مع النزاهة.
لماذا GRC (الحوكمة والمخاطر والامتثال)، ولماذا الأداء المبدئي؟
من المهم أن نتذكر أنه تمت إدارة المؤسسات، وتمت إدارة المخاطر والامتثال لفترة طويلة - وبهذه الطريقة، فإن GRC ليس بالأمر الجديد.
ومع ذلك، لم يتعامل الكثيرون مع هذه الأنشطة بطريقة ناضجة ولم يدعموا بعضهم البعض لتعزيز موثوقية تحقيق الأهداف التنظيمية.
في مؤسسة ذات تفكير تقدمي، يُنظر إلى GRC على أنه مجموعة متكاملة من كافة القدرات اللازمة لدعم الأداء المبدئي.
GRC لا يشكل عبئًا على العمل؛ فهو يدعمها ويحسنها، مما يجعلها جزءًا مهمًا من العمليات التجارية.
برامج تشغيل GRC (الحوكمة والمخاطر والامتثال).
يجب على المنظمات معالجة مناخ الأعمال الصعب اليوم. حتى الشركات الصغيرة والمنظمات غير الربحية والهيئات الحكومية تواجه مشكلات لم يكن على الشركات الكبيرة فقط مواجهتها في الماضي. أصبحت العديد من العوامل المشتركة التي تواجهها الشركات هي المحرك الحقيقي لـ GRC وقيمته في جميع أنحاء العمل:
يطالب أصحاب المصلحة بأداء عالٍ إلى جانب مستويات عالية من الشفافية
اللوائح والتنفيذ تتغير باستمرار ولا يمكن التنبؤ بها
يمثل النمو المتسارع للعلاقات والمخاطر مع الأطراف الثالثة تحديًا إداريًا
تكاليف معالجة المخاطر والمتطلبات تخرج عن نطاق السيطرة
التأثير القاسي (والمخيف) عندما لا يتم تحديد التهديدات والفرص
هل يمكن أن يتم تنفيذ GRC (الحوكمة والمخاطر والامتثال) بشكل خاطئ؟
إجابة مختصرة، نعم.
الإجابة الطويلة هي أنه نعم عندما تعمل الشركات في ظل ظروف مفككة ومنفصلة، يمكن أن تسبب أنشطة GRC عددًا من المشكلات.
ولمعالجة هذه الدوافع، تقوم المنظمات بتطوير الأقسام والبرامج مثل:
ادارة الأداء
إدارة المخاطر
امتثال
المسؤولية الاجتماعية للشركات
إلخ.
ولسوء الحظ، فإن هذه الأقسام والبرامج غالبًا ما تكون منعزلة وغير فعالة وتؤدي إلى عيوب مثيرة للقلق:
ارتفاع التكاليف
- عدم الرؤية للمخاطر
عدم القدرة على معالجة مخاطر الطرف الثالث
صعوبة قياس الأداء المعدل حسب المخاطر
الكثير من المفاجآت السلبية
عندما يتم عزل هذه الأنشطة، فمن المحتمل جدًا أن يتم تحديد أهداف ذات نتائج عكسية، واختيار استراتيجيات دون المستوى الأمثل، وعدم تحسين الأداء.
كيف يبدو GRC (الحوكمة والمخاطر والامتثال) عند القيام به بشكل صحيح؟
إن دمج إمكانيات GRC لا يعني إنشاء قسم ضخم لـ GRC والتخلص من الإدارة اللامركزية. كما أنها لا تتطلب استخدام نظام برمجي واحد فقط لإدارة GRC لإدارة كل شيء.
بل يتعلق الأمر بوضع نهج يضمن حصول الأشخاص المناسبين على المعلومات الصحيحة في الأوقات المناسبة؛ وأن يتم تحديد الأهداف الصحيحة؛ وأن يتم وضع الإجراءات والضوابط الصحيحة لمعالجة عدم اليقين والتصرف بنزاهة.
عندما يتم تنفيذ GRC بشكل صحيح، فإن الفوائد تتراكم. تتمتع المنظمات التي تقوم بدمج عمليات وتقنيات GRC عبر جميع الصوامع أو العديد منها بما يلي:
انخفاض التكاليف
تقليل ازدواجية الأنشطة
تقليل التأثير على العمليات
تحقيق قدر أكبر من جودة المعلومات
تحقيق قدرة أكبر على جمع المعلومات بسرعة وكفاءة
تحقيق قدرة أكبر على تكرار العمليات بطريقة متسقة
يصف نموذج قدرة GRC "GRC Done Right" في 4 مكونات عالية المستوى والعديد من العناصر التفصيلية:
تعرف على سياق المنظمة وثقافتها وأصحاب المصلحة الرئيسيين لإبلاغ الأهداف والاستراتيجية والإجراءات.
مواءمة الإستراتيجية مع الأهداف، والإجراءات مع الإستراتيجية، باستخدام عملية صنع القرار الفعالة التي تتناول القيم والفرص والتهديدات والمتطلبات.
قم بتنفيذ الإجراءات التي تعزز وتكافئ الأشياء المرغوبة، وتمنع الأشياء غير المرغوب فيها وتعالجها، وتكتشف متى يحدث شيء ما في أسرع وقت ممكن.
مراجعة تصميم وفعالية تشغيل الإستراتيجية والإجراءات، بالإضافة إلى الملاءمة المستمرة للأهداف لتحسين المنظمة.