Hoppa till Innehåll
Kvinna på dator med GRC-mjukvara för riskhantering

Vad är GRC?

 

Denna webbsida har maskinöversatts för att underlätta för dig. SAP ger inga garantier angående korrektheten eller fullständigheten av maskinöversättningen. Den ursprungliga engelska webbsidan hittar du genom att använda världskartan i det övre högra hörnet på denna sida.

Den första vetenskapliga forskningen om styrning, risk och regelefterlevnad definierade GRC som ”en integrerad samling av resurser som gör det möjligt för en organisation att på ett tillförlitligt sätt uppnå mål, hantera osäkerhet och agera med integritet”. Sedan dess har digital teknik och datavolymer exploderat, men centrala affärsmål och värden finns kvar.

 

 

GRC-innebörd och definition

Rent enkelt är GRC den strategi och struktur som håller en organisation säker och på rätt spår. Företagsstyrningen, liksom styrningen av en stad eller ett land, definierar de principer och överenskommelser som människor lever efter – och tillhandahåller de kontroller och det stöd som krävs för att uppnå de övergripande målen. Riskhantering identifierar hot samtidigt som processer införs för att skydda mot dem. Konformitetshanteringen säkerställer slutligen att organisationen följer gällande regler, följer korrekta redovisningsrutiner och fungerar etiskt.

GRC är den strategi och struktur som håller en organisation säker och på rätt spår.

Tänk på styrning, riskhantering och regelefterlevnad som de tre delarna av en tripod som håller en organisation i balans:

 

1. Företagsstyrning

 

G i GRC står för styrning. Styrning är inte bara en regelbok, utan bidrar till att koppla samman organisationssilor för att säkerställa att företagets aktiviteter följer strategiska mål. Den stöder en samordnad, produktiv arbetsplats där alla berörda parter – interna och externa – förstår hur deras bidrag och intressen passar in i andras. Det hjälper till att skydda mot uppsägningar, motstridiga initiativ och onödiga kostnader. Med fokus på resurshantering och ansvarsskyldighet erbjuder det den kontroll och de balanser som behövs för att ”hålla ordning på huset.” Dess mål är att säkerställa principfast verksamhet, respekt för företagens värderingar och etiska affärsmetoder. Styrning är också en mekanism för att minska risker och säkerställa efterlevnad genom att validera och hantera information, dess källor och hantering.

 

2. Riskhantering och riskreducering

 

R i GRC står för risk. Allt som potentiellt skulle kunna leda till ett negativt resultat i någon aspekt av verksamheten utgör en risk. Vissa risker – som en pandemi – ligger utanför någons kontroll. Andra kommer inifrån och beror på operativa, förfarandemässiga eller tekniska brister. Andra beror fortfarande på yttre hot som cyberattacker och bedrägerier.

 

Teknik spelar en avgörande roll för tidig upptäckt av risker – men riskhantering för företag kräver mer än teknik. Organisationens värderingar, processer och engagemang är avgörande för hur den hanterar risker. I en nyligen publicerad artikel i Forbes stöds det växande behovet av och önskan om strategier för hantering av företagsrisker (ERM) som använder ”proaktiva, integrerade lösningar som omfattar människor, data och infrastruktur”. Affärsrisker kan delas in i fem grundläggande kategorier, av vilka en organisations ERM- och GRC-strategier måste vara förberedda för att förutse, mildra och, viktigast av allt, förhindra.

  • Prestanda eller operativ risk har den bredaste uppsättningen gränser och den största potentiella variationen. Den kommer från misslyckanden (oavsiktliga eller avsiktliga) över alla strukturer, system, personer, produkter eller processer som är involverade i någon aspekt av affärshändelser.
  • Risken för efterlevnad beror på överträdelser av lagar, förordningar, uppförandekoder eller etablerade normer inom en bransch eller organisation.
  • IT-risken uppstår till följd av att IT inte används eller missbrukas, vilket leder till förlust eller negativa affärsresultat. Det kan handla om allt från oavsiktliga IT-misslyckanden till avsiktligt bedrägeri, hackning eller cyberattacker.
  • Finansiell risk som en kategori av affärsrisk innebär att förlora pengar på en investering eller ett affärsföretag. Detta kan omfatta kreditrisk eller likviditetsrisk – eller kombineras med en operativ risk som bedrägeri eller misskötsel.
  • Anseenderisken kan uppstå till följd av misslyckanden i någon av ovanstående fyra kategorier som leder till en försvagad allmän uppfattning om verksamheten. Anseenderisken innebär mindre kvantifierbara förluster, men är ändå en av de potentiellt mest destruktiva för något företag eller varumärke.
placeholder

GRC-mjukvara hjälper till att upptäcka hot för att hjälpa organisationer att aktivt övervaka och hantera risker.

3. Efterlevnadshantering

 

C i GRC står för regelefterlevnad. I många fall kan bristfällig regelefterlevnad leda till enorma ekonomiska förluster och allvarliga skador på anseendet. Under 2019 nådde enbart böterna vid dataintrång rekordhöga, med USA. International Trade Commission offentliggjorde att EU-baserade företag under 2019 hade spenderat upp till 4 % av sina årliga globala intäkter på GDPR-böter. Till detta kommer miljarder som spenderas varje år som svar på andra utmaningar i fråga om lagstiftning och regelefterlevnad.

 

Även om det är komplicerat och svårt att upprätthålla, är efterlevnad en regelbaserad praxis och därför en av de risker som kan förebyggas om den hanteras väl. Intelligenta tekniker och moderna GRC-programvarulösningar står i förgrunden när det gäller datahantering, förutsägande analyser och realtidsinsikter som behövs för att upprätthålla en robust och uppdaterad konformitetsstrategi.

Vad är ett GRC-ramverk och varför är det viktigt?

Ett GRC-ramverk integrerar företagsövergripande system och processer för att övervaka alla aspekter av styrning, hantering av företagsrisker och regelefterlevnad. Den tillhandahåller den strukturerade metod som behövs för att anpassa en organisations affärsstrategi till dess informationsteknik – så att den effektivt kan hantera risker och uppfylla konformitetskrav. GRC styr hur organisationen fungerar – i motsats till vad den gör. Det handlar alltså inte om tillverkning eller detaljhandel eller professionella tjänster, utan om hur organisationen arbetar för att uppfylla sitt uppdrag, oavsett vilket område den verkar inom – att göra affärer etiskt, försiktigt och ansvarsfullt.

 

Varför är ett sunt GRC-ramverk viktigare än någonsin? Dagens företag står nämligen inför en aldrig tidigare skådad komplexitet. I deras Q3, 2020 Global Business Risk Report rankar Dun och Bradstreet riskpoängen Global Business Impact på rekordhög. Dessutom förutspår en färsk studie att den globala kostnaden för it-säkerhetsbrott och dataintrång kommer att överstiga 10 biljoner US-dollar fram till 2025 – mer än tre gånger så många som 2015. Som svar på dessa moderna risker har det också skett en motsvarande ökning av de globala regleringsorganen. I Financer-rapporterna finns det för närvarande över 250 sådana organ enbart inom banksektorn, vilket leder till en förändring av bankbestämmelserna ungefär var tolfte minut.

Vem ansvarar för GRC?

Ansvaret för att upprätta och underhålla GRC-planer och GRC-processer ligger vanligtvis hos de främsta ekonomi- och regelefterlevnadscheferna (CFO och CCO) och deras team – med stöd från IT-, HR-och operativa gruppledare i hela organisationen. Det är dock en sak att utforma en utmärkt GRC-strategi. För att den ska bli effektiv måste den integreras framgångsrikt och integreras i den dagliga verksamheten i hela verksamheten.

 

De bästa GRC- och riskhanteringsstrategierna tar en människo-första-strategi så att alla anställda har ett egenintresse av att bidra till att säkerställa verksamhetens hållbarhet. I en artikel i Wall Street Journal konstateras följande om vikten av att förbereda arbetskraft för GRC-teknik och digital transformation: ”När organisationer förbereder och arbetar genom en digital omställning är det avgörande att skapa en kultur där alla är tech-savvy, och risk är allas affärer.”

GRC och intelligenta tekniska lösningar

Artificial Intelligence (AI)-teknik – som inkluderar maskininlärning, avancerad eller förstärkt analys och förutsägande analyser – används i allt större utsträckning för att omvandla riskhantering och regleringsteknik (RegTech). Förmågan att bearbeta, analysera och lära av stora, snabbt föränderliga dataset ger GRC-personal möjlighet att utöka sina mänskliga färdigheter, använda analytiska insikter i realtid och bättre visualisera sin omedelbara situation i flera scenarier.

 

Robotisk processautomatisering (Robotic Process Automation, RPA) är ett viktigt verktyg för att bygga mer robusta och effektiva efterlevnadsprogram. RPA stöder kontinuerlig kontrollövervakning samt fullständig provgranskning. Det gör det lättare att upptäcka risker och avvikelser. RPA-verktygen bidrar också till att automatisera och effektivisera de upprepade och ofta omfattande administrativa uppgifter som är förknippade med ERM och regelefterlevnad. Blockkedja tillför ytterligare kraft till GRC-system på grund av säkerheten och oföränderligheten i dess transaktionsregister. Genom att agera som en "enda källa till sanning" minimerar blockkedjan också riskerna i mer praktiska områden av verksamheten genom att säkerställa korrekt härkomst av material och varor – och deras betalningsregister – från hela världen. I takt med att risk- och efterlevnadsutmaningarna blir allt mer komplexa skapar intelligent teknik det förtroende och den tillförlitlighet som krävs för att hantera allt som framtiden för med sig.

Sammanfattning

Det moderna risklandskapet förändras ständigt och utvecklas. Pandemin fungerade som en skarp påminnelse om att från nationer till korporationer till individer kan vi alla jämnas ut av naturens krafter. Och i takt med att molnlösningar och intelligent teknik fortsätter att utvecklas blir it-brottslighet, dataintrång och bedrägerier ett allt mer komplext hot.

 

I denna nuvarande situation med ökade risker och osäkerhet måste företagen utnyttja – och förenkla – alla verktyg som är möjliga för att förutse och hantera risker. Att uppnå affärsmål och upprätthålla en stark standard för regelefterlevnad och styrning är en växande utmaning för alla organisationer. De bästa företagen tillgodoser dessa behov genom en människo-första-strategi och ett fortlöpande engagemang för utbildning och stöd till sina team – uppifrån och ned – för att dra nytta av ny teknik och innovativa, lyhörda GRC-strategier.

placeholder

Utforska GRC-mjukvara

Upptäck robusta styrnings-, risk- och efterlevnadsstrategier och lösningar.

SAP Insights nyhetsbrev

placeholder
Prenumerera idag

Få viktiga insikter genom att prenumerera på vårt nyhetsbrev.

Ytterligare läsning

Tillbaka till början