Hva er GRC?
Denne websiden er maskinoversatt for å hjelpe deg. SAP kan ikke garantere at maskinoversettelsen er riktig eller fullstendig oversatt. Den opprinnelige engelske nettsiden finner du ved å bruke verdenskartet i øvre høyre hjørne av denne siden.
Den første forskerforskningen om styring, risiko og overholdelse definerte GRC som «den integrerte kapasitetssamlingen som gjør det mulig for en organisasjon å oppnå mål, håndtere usikkerhet og handle med integritet på en pålitelig måte.» Siden da har digitale teknologier og datavolumer eksplodert, men sentrale forretningsmål og -verdier forblir.
GRC-betydning og -definisjon
Med enkle begreper er GRC strategien og strukturen som holder en organisasjon sikker og i rute. Bedriftsstyring, som styring av en by eller et land, definerer prinsippene og avtalene som mennesker lever av – og sørger for de kontrollene og støtten som trengs for å nå de overordnede målene. Risikostyring identifiserer trusler samtidig som de introduserer prosesser for å beskytte mot dem. Til slutt sikrer konformitetsstyring at organisasjonen abdiserer etter forskrifter, følger god regnskapspraksis og opererer etisk.
GRC er strategien og strukturen som holder en organisasjon sikker og i rute.
Tenk på styring, risikohåndtering og overholdelse som de tre beina i en tripod som holder en organisasjon i balanse:
1. Bedriftsstyring
G i GRC står for styring. Mer enn bare en regelbok bidrar styringen til å knytte organisasjonssiloer sammen for å sikre at aktivitetene i hele bedriften samsvarer med strategiske mål. Den støtter et koordinert, produktivt arbeidsområde der alle interessenter – interne og eksterne – forstår hvordan deres bidrag og interesser passer til andres bidrag og interesser. Den bidrar til å beskytte mot redundanser, motstridende initiativer og unødvendige kostnader. Med fokus på ressursstyring og ansvarlighet tilbyr det de kontrollene og saldoene som trengs for å "holde huset i orden." Dens mål er å sikre fyrstelige operasjoner, overholdelse av foretaksverdier og etisk forretningspraksis. Styring er også en ordning for å redusere risikoen og sikre overholdelse ved å validere og forvalte opplysninger, dens kilder og håndtering.
2. Risikostyring og risikoreduksjon
R i GRC står for risiko. Alt som potensielt kan føre til et negativt resultat på alle sider av virksomheten, utgjør en risiko. Noen risikoer – som en pandemi – er utenfor enhver kontroll. Andre kommer innenfra og skyldes operasjonelle, prosedyre- eller tekniske svakheter. Enda andre skyldes ytre trusler som cyberangrep og svindel.
Teknologien spiller en avgjørende rolle for tidlig påvisning av risiko, men risikohåndtering i foretaket krever mer enn teknologi. Organisasjonens verdier, prosesser og forpliktelser er avgjørende for hvordan den håndterer risiko. En nylig artikkel i Forbes støtter det økende behovet for og ønsket om foretaksrisikohåndteringsstrategier (ERM) som bruker «proaktive, integrerte løsninger som omfatter mennesker, data og infrastruktur». Forretningsrisiko faller inn under fem grunnleggende kategorier, der alle eller noen av organisasjonens ERM- og GRC-strategier må være forberedt på å forutse, redusere og, viktigst, forhindre.
- Ytelses- eller operasjonell risiko har et bredest sett av grenser og den største mulige sorten. Det kommer av feil (utilsiktet eller tilsiktet) på tvers av strukturen, systemene, menneskene, produktene eller prosessene som er involvert i enhver form for forretningsdrift.
- Konformitetsrisiko skyldes brudd på lover, forskrifter, atferdsregler eller etablerte standarder for god praksis innenfor en bransje eller organisasjon.
- IT-risiko oppstår ved at IT svikter eller misbrukes, noe som fører til tap eller negative resultater av virksomheten. Dette kan variere fra utilsiktet IT-svikt til tilsiktet svindel, hacking eller cyberangrep.
- Finansiell risiko som en kategori av forretningsrisiko betyr tap av penger på en investering eller et forretningsforetak. Dette kan omfatte kredittrisiko eller likviditetsrisiko – eller kombineres med en operasjonell risiko, for eksempel bedrageri eller vanstyre.
- Reputasjonsrisiko kan skyldes feil i alle de fire kategoriene over som fører til en svekket offentlig oppfatning av virksomheten. Reputasjonsrisiko gir mindre kvantifiserbart tap, men er likevel et av de mest potensielt destruktive for ethvert selskap eller merke.
GRC-programvaren bidrar til å oppdage trusler mot å hjelpe organisasjoner med proaktivt å overvåke og håndtere risiko.
3. Samsvarshåndtering
C i GRC står for konformitet. I mange tilfeller kan den lovbestemte overholdelsesfeilen føre til enormt økonomisk tap og alvorlig reputasjonell skade. I 2019 nådde databrudd bøter alene en allsidig høy, med USA. Den internasjonale handelskommisjonen publiserte i 2019 at EU-baserte virksomheter hadde brukt opptil 4 % av sine årlige globale inntekter på GDPR-bøter. Og milliarder på toppen av det som blir brukt hvert år som svar på andre juridiske og lovbestemte konformitetsutfordringer.
Men selv om det er komplisert og utfordrende å opprettholde, er overholdelse en regelbasert praksis og er derfor en av de mest forebyggende risikoene dersom den håndteres godt. Intelligente teknologier og moderne GRC-programvareløsninger er i utgangspunktet når det gjelder datahåndtering, prediksjonsanalyser og sanntidsanalyser som er nødvendige for å opprettholde en robust og oppdatert konformitetsstrategi.
Hva er et GRC-rammeverk og hvorfor er det viktig?
Et GRC-rammeverk integrerer systemer og prosesser i hele firmaet for å overvåke alle aspekter ved styring, risikostyring for foretak og overholdelse av lovkrav. Det gir den strukturerte tilnærmingen som er nødvendig for å tilpasse en organisasjons forretningsstrategi til sin informasjonsteknologi, slik at den effektivt kan håndtere risiko og oppfylle konformitetskrav. GRC styrer hvordan organisasjonen opererer – i motsetning til hva den gjør. Så det handler ikke om produksjon, detaljhandel eller profesjonelle tjenester, men på hvilken måte organisasjonen arbeider med å utføre oppdraget på, uansett område, å gjøre forretninger på en etisk, forsiktig og ansvarlig måte.
Hvorfor er et solid GRC-rammeverk viktigere enn noen gang? Ettersom dagens bedrifter står overfor uovertruffen kompleksitet. I sin Q3, 2020 Global Business Risk Report rangerer Dun og Bradstreet risikopoengsummen for Global Business Impact på en rekordhøy verdi. Videre forutser en nyere studie at innen 2025 vil den globale kostnaden for cybersikkerhet kriminalitet og databrudd overskride 10 billioner dollar – mer enn trippel 2015-nummeret. Som svar på disse moderne risikoene har det også vært en kommensurat økning i globale reguleringsmyndigheter. The Financer rapporterer at det for tiden er over 250 slike organer i banksektoren alene, noe som fører til en endring i bankreguleringene omtrent hvert 12. minutt.
Hvem er ansvarlig for GRC?
Ansvaret for å etablere og vedlikeholde GRC-planer og -prosesser faller vanligvis til de øverste lederne for finans og konformitet (CFO og CCO) og teamene deres – med støtte fra IT, HR og operative teamledere på tvers av organisasjonen. Det er imidlertid en ting å finne en utmerket GRC-strategi; for at den skal være effektiv, må den integreres og integreres i de daglige arbeidsaktivitetene på tvers av hele virksomheten.
De beste GRC- og risikostyringsstrategiene har en førstetilnærming slik at alle ansatte har vaert interessert i å bidra til å sikre bærekraften i virksomheten. Rapportering om viktigheten av å forberede arbeidsstokker for GRC-teknologier og digital transformasjon, bemerker en artikkel i Wall Street Journal: «Ettersom organisasjoner forbereder og arbeider seg gjennom en digital transformasjon, er det avgjørende å skape en kultur der alle er tech-savvy, og risikoen er alles virksomhet.»
GRC og intelligente teknologiløsninger
Teknologier for kunstig intelligens (AI) – som omfatter maskinlæring, avansert eller utvidet analyse og prediksjonsanalyser – brukes i økende grad til å omdanne risikostyring og reguleringsteknologier (RegTech). Muligheten til å behandle, analysere og lære fra store og raskt endrede datasett gir GRC-eksperter muligheten til å utvide sine menneskelige ferdigheter, bruke analytisk innsikt i sanntid og visualisere den umiddelbare situasjonen på tvers av flere scenarioer i sanntid.
Robotic process automation (RPA) er et viktig verktøy for å bygge mer solide og effektive konformitetsprogrammer. RPA støtter kontinuerlig kontrollovervåkning samt fullstendig stikkprøvekontroll. Dette gjør det lettere å oppdage risikoer og uregelmessigheter. RPA-verktøy bidrar også til å automatisere og effektivisere de gjentatte og ofte voluminøse administrative oppgavene knyttet til ERM og overholdelse. Blockchain gir ekstra kraft til GRC-systemer på grunn av sikkerhet og uforanderlighet i sine transaksjonsposter. Som en "sentral datapool" minimerer blokkkjeden også risikoen i mer håndfaste områder av virksomheten ved å sikre nøyaktig opphav til materialer og varer – og deres betalingsposter – fra hvor som helst i verden. Etter hvert som utfordringer knyttet til risiko og overholdelse blir mer komplekse, gir intelligente teknologier tillit og pålitelighet til å håndtere hva som skjer i framtiden.
Sammendrag
Det moderne risikolandskapet er stadig skiftende og utviklende. Pandemien fungerte som en skarp påminnelse om at fra nasjoner til selskaper til individer kan vi alle jevnes med naturkreftene. Og som nettskyløsninger og intelligente teknologier fortsetter å utvikle seg, blir cyberkriminalitet, databrudd og svindel en stadig mer kompleks trussel.
I dette nåværende miljøet av økt risiko og usikkerhet må foretak utnytte – og forenkle – alt verktøy som er mulig for å forutse og håndtere risiko. Å nå forretningsmål og opprettholde sterke samsvars- og styringsstandarder er en voksende utfordring for alle organisasjoner. De beste foretakene oppfyller disse behovene med en samordnet første tilnærming og en løpende forpliktelse til å trene og støtte sine grupper – fra toppen og nedover – for å utnytte ny teknologi og utvikle responsive GRC-strategier.
Utforsk GRC-programvare
Oppdag solide strategier og løsninger for governance, risiko og konformitet.
Nyhetsbrev for SAP Insights