• website icon
  • website icon
  • website icon
En
Ru
  • website icon
  • website icon
  • website icon
En
Ru
  • website icon
  • website icon
  • website icon
EnRu
Close

Форма обратной связи

Свяжитесь с нами

СОЗВЕЗДИЕ GRC 2024

Космос ближе, чем кажется

ТАКОВ ПУТЬ GRC

В условиях постоянных трансформаций, где бизнес подвергается воздействию экономических, юридических и технологических перемен, компании вынуждены обладать не только высокой гибкостью, но и предвидеть будущее, принимая стратегически обоснованные решения. Грамотно построенные функции управления рисками, внутреннего контроля и аудита способны выступить помощниками в принятии эффективных и качественных решений руководством компании.

Во втором квартале 2023 года команда ТеДо выпустила исследование «Созвездие GRC», представив российский рынок систем для автоматизации процессов управления рисками и внутреннего контроля с оценкой текущего уровня зрелости, возможностей и перспектив развития.

При подготовке нового выпуска серии исследований «Созвездие GRC» мы совместно с нашими клиентами проанализировали опыт внедрения GRC решений и выделили векторы развития систем. На основании обратной связи от наших клиентов мы сформулировали тренды российского рынка, а также подтвердили ключевую глобальную тенденцию когнитивизации GRC процессов. Детально изучив сценарии применения искусственного интеллекта и машинного обучения в GRC системах, мы расширили перечень критериев для оценки. Тренд быстро нашел отклик среди участников исследования, и за время подготовки отчета ряд вендоров адаптировали когнитивные технологии в своих решениях. Кроме того, мы отметили рост рынка и представляем новых звезд на графике «Созвездие».

Цель исследования остается неизменной — сделать этот обзор отправной точкой для компаний при выборе GRC-решения и ориентиром для разработчиков.

Структурированные данные по реализации требований в GRC системах лежат в основе оперативного подбора решения с помощью инструмента скоринга, который позволяет индивидуально ранжировать требования и определять наиболее подходящую систему.


С момента первого выпуска «Созвездие GRC» стало инструментом для поддержки компаний при выборе систем на основе нашей методологии и уже позволило нескольким компаниям определиться с продуктом для внедрения.

Q1 2024

Период проведения обзора

8

Рассмотренных GRC-систем

18

Функциональных разделов оценки

150

Критериев анализа

ОЖИДАНИЯ КЛИЕНТОВ ОПРЕДЕЛЯЮТ ВЕКТОР РАЗВИТИЯ GRC СИСТЕМ

«Среди сложностей при настройке КИР — недостаточное качество данных, отсутствие возможности настройки сложных формул и разрозненность систем-источников»

«Повышение внимания к превентивным и блокирующим контролям обусловлено тем, что стоимость предотвращения рисков значительно ниже стоимости устранения последствий»

«В нашей компании не хватает интегрированного GRC-решения. На данный момент для управления рисками бизнес-процессов, предоставления доступа и контроля разграничения полномочий используются отдельные системы»

«Параллельно с работой в GRC системе мы вынуждены моделировать риски в Excel-файлах с надстройками и сложными формулами и переносить результаты вручную»

ЧТО СКРЫВАЕТ ЗА СОБОЙ СОЗВЕЗДИЕ GRC?

Созвездие GRC — это скопление только зарождающихся и уже ярко сияющих звезд на российском рынке GRC-систем.

В новом выпуске нам предстоит открыть ранее неизведанные звезды и глубже изучить участников прошлого исследования.

В дополнение к Созвездию GRC мы распределили соответствие критериям отдельно в разрезе направлений по управлению рисками (СУР) и внутреннему контролю (СВК).

Также отметим, что соответствие или несоответствие критерию не является признаком качества системы или оптимальности конкретного функционала. При выборе решения для собственного ландшафта компании должны давать взвешенную оценку конкретным функциональным, инфраструктурным и процессным требованиям.

АВАКОР — платформенное решение для поддержки деятельности подразделений внутреннего аудита, внутреннего контроля (включая комплаенс-контроль) и управления рисками.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление рисками
  • Внутренний аудит
  • Внутренний контроль
  • Комплаенс-контроль

Функциональные особенности

  • В АВАКОР также доступны дополнительные модули: Аудиты СМК, управление операционными рисками (716-П), СВКиУР, Управление непрерывностью деятельности.
  • В решении уже представлена единая база данных и знаний по внутреннему аудиту, внутреннему контролю, управлению рисками и комплаенсу.
  • В системе представлен справочник типовых рисков и контрольных процедур по направлениям деятельности в различных отраслях.
  • Функционал по аналитике данных включает в себя: поиск и корректировка аномалий и ошибочных операций, анализ системных событий учетных систем и анализ динамики показателей.
Перейти на сайт компании

Количество успешных внедрений: 10+ внедрений


Клиенты:

  • Банки и финансы
  • Транспорт
  • Добывающая промышленность
  • Телекоммуникации
  • Гос. сектор

Перейти на сайт компании

В 2019 году вендор начал проект с крупным коммерческим банком. Компания DIGITAL DESIGN провела работы по внедрению системы АВАКОР для обеспечения прозрачности системы учёта рисков, оптимизации процесса коммуникации сотрудников и достижения соответствия регуляторным требованиям Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». По итогам проекта удалось в 10 филиалах и головных организациях банковской группы запустить единое информационное поле для учета операционных рисков. Внедрение системы позволило повысить удобство работы пользователей и, следовательно, процесс учета операционных рисков.

ВекторПлюс — платформа для автоматизации функций внутреннего аудита, управления рисками, экономической безопасности, внутреннего контроля и комплаенс.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Внутренний аудит
  • Управление рисками
  • Внутренний контроль и экономическая безопасность
  • Комплаенс

Функциональные особенности

  • В системе представлена собственная база типовых рисков и контролей.
  • В ВекторПлюс доступны дополнительные модули: Антикоррупционное декларирование, Проверка кандидатов, Мониторинг контрагентов и клиентов, Проверка участников закупочных процедур.
  • В системе представлен модуль Управления проверочной деятельностью, предназначенный для автоматизации управления и координацией процесса проверки и аудитом внутренних и внешних мероприятий в организации.
  • Вендор в тестовом режиме начал использовать нейросеть YandexGPT для формирования перечня рисков, подбора риск-факторов и создания плана мероприятий.
  • В системе реализована возможность ведения и обработки базы статистических данных.
Перейти на сайт компании

Количество успешных внедрений: 4 внедрения


Клиенты:

Топливно-энергетический комплекс


Перейти на сайт компании

Вендор закончил проект с крупным энергетическим холдингом. Компания Dynamic Sun провела работы по внедрению модуля АСУР системы ВекторПлюс для автоматизации деятельности по организации и выполнению процессов внутреннего контроля и управлению рисками. Модуль управления рисками был развернут на 100 лицензий. По итогам проекта удалось организовать единый подход к формированию плана управления рисками, сократить процесс согласования и сбора информации по бизнес-процессам и обеспечить возможность графического изображения рисков.

КАИРИС — цифровая платформа, которая позволяет спроектировать стратегию компании и обеспечивает комплексный подход к управлению рисками, внутреннему контролю и аудиту, комплаенсу и управлению несоответствиями.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление внутренним контролем
  • Управление рисками
  • Управление внутренним аудитом
  • Управление несоответствиями, инцидентами и нарушениями

Функциональные особенности

  • В КАИРИС доступны дополнительные модули: Управление стратегией компании, Управление процессами, Управление целями и показателями (KPI), Контроль выданных и полученных мероприятий, Менеджмент знаний, Управление замечаниями и рекламациями.
  • В системе настроен функционал для управления рисками третьих сторон.
  • На платформе реализован механизм полнотекстового поиска, предоставляющий возможность неструктурированного поиска по значениям атрибутов сущностей и по содержимому файлов.
Перейти на сайт компании

Количество успешных внедрений: 3 внедрения


Клиенты:

  • Банки и финансы
  • Топливно-энергетический сектор

Перейти на сайт компании

В 2023 году вендор закончил проект с крупной энергетической компанией. Компания ФИНЭКС провела работы по внедрению системы КАИРИС для выявления имущественных рисков, оказывающих негативное влияние на достижение целей заказчика, проведения количественной оценки их вероятности и последствий, визуализации выявленных и оцененных имущественных рисков на интерактивной карте. По итогам проекта удалось систематизировать работу по оптимизации программ страхования, обеспечить непрерывность страхования и облегчить процесс принятия решений по страхованию внутри компании.

Quadrium ActiveGRC — программный продукт, предназначенный для управления рисками организации и основывающийся на модели трех линий защит.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление операционным риском
  • Управление внутренним аудитом
  • Управление внутренним контролем
  • Управление конфликтом интересов
  • Управление политиками
  • Управление регуляторным риском

С полным перечнем модулей можно ознакомиться на сайте вендора.

Функциональные особенности

  • Также на платформе ожидается появление 2-ух новых модулей: Управление SoD-рисками, Управление IT-рисками.
  • В системе настроен функционал для подключения к налоговому мониторингу (в рамках реализации требований 510-го приказа ФНС России) и для управления рисками третьих сторон.
  • Реализовано более 10-ти стандартных коннекторов к популярным IT-системам: 1С ЗУП, 1С УХДБ, Контур-Фокус и др.
Перейти на сайт компании

Количество успешных внедрений: 1 внедрение


Количество активных проектов внедрений: 4 проекта

Клиенты:

  • Банки и финансы
  • Металлургия
  • Строительство

Перейти на сайт компании

В 2023 году вендор завершил проект с крупным коммерческим банком. Компания Quadrium провела работы по внедрению модуля CIM (Conflict of Interests Management), который предназначен для управления риском конфликта интересов. Модуль Quadrium ActiveGRC был развернут на 6000 пользователей. По итогам проекта удалось интегрировать внутренние системы банка и адаптировать процесс обработки деклараций, принятый у заказчика. Также была настроена автоматическая генерация деклараций конфликта интересов при принятии новых сотрудников или при переводе сотрудников между подразделениями.

Lancelot ORM — система, предназначенная для автоматизации процесса сбора и управления событиями операционных рисков и подготовки управленческой и регламентированной отчетности в соответствии с регуляторными требованиями.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление рисками
  • Управление внутренним аудитом
  • Управление внутренним контролем
  • Управление операционными рисками

С полным перечнем модулей можно ознакомиться на сайте вендора.

Функциональные особенности

  • В системе предусмотрен встроенный функционал по количественной оценке рисков.
  • В решении представлен функционал с поддержкой методологии ФСТЭК для управления Моделями Угроз Безопасности Информации в части рисков ИБ.
  • В Lancelot ORM настроен функционал с поддержкой отчетности в ФинЦЕРТ по рисками ИБ, по 787-П, по МР-18 ЦБ РФ с автоматизированной инвентаризацией ИТ активов.
  • Решение способно помочь в выявлении уязвимостей и угроз безопасности информации в системах, работающих с персональными данными по 152-ФЗ и Критической Информационной Инфраструктурой.
  • Вендор регулярно обновляет систему для соответствия требованиям Банка России.
Перейти на сайт компании

Количество успешных внедрений: 13 внедрений


Клиенты:

  • Банки и финансы

Перейти на сайт компании

В 2016 году вендор закончил проект с крупной финансовой компанией. Компания Lancelot провела работы по внедрению модулей Управление процессами, Управление событиями операционного риска, Управление внутренним контролем. Также вендор занимался разработкой витрины данных для событий операционного риска компании.
По итогам проекта удалось повысить эффективность управления в указанных областях и снизить трудоемкость подготовки отчетности. Внедрение модуля Управления процессами позволило повысить эффективность управления на 30%.

ТАБ:GRC Учет рисковых событий — автоматизированная система, включающая в себя модуль учета рисковых событий, методологию управления рисками, внутренним контролем и операционной надежностью. Система разработана на платформе 1С.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Учет рисковых событий
  • Управление внутренним контролем
  • Управление внутренним аудитом

Функциональные особенности

  • В коробочное решение встроена методология для соответствия требованиям кредитных и финансовых организаций.
  • Система обладает всеми стандартными преимуществами платформы 1С.
  • В ТАБ:GRC доступны дополнительные модули: Модуль 744-П, URLI оценка кредитного риска, ProcessMining, Риски 718-П, Калькулятор 781-П, Модуль НДК и НКЛ.
  • Наличие сертификатов ФСТЭК по 2-ому и 4-ому уровню доверия, без необходимости ресертификации при внесении изменений в алгоритмы системы.
  • В системе предусмотрен встроенный функционал по количественной оценке рисков.
Перейти на сайт компании

Количество успешных внедрений: 200+ внедрений


Клиенты:

  • Банки и финансы
  • Страхование
  • Гос. сектор
  • Топливно-энергетический сектор
  • Строительство
  • Производство

Перейти на сайт компании

Вендор ведет проект с крупным банком, который является дочерней компанией европейского банка, входящего в ТОП — 30 мировых банков. Компания ТАБ провела работы по внедрению системы ТАБ: GRC для автоматизации процесса управления операционным риском и внутреннего контроля в рамках исполнения ГОСТ 57 580. По итогам проекта вендор ожидает добиться следующих результатов:
  • Увеличение прибыли на 3−5%
  • Сокращение трудозатрат на процессы корпоративного управления на 25%
  • Ускорение получения управленческой отчетности на 65%
  • Ускорение получения регламентированной отчетности на 40%
  • Сокращение операционных и административных расходов на 5%

ОАЗИС — решение для комплексного управления рисками, проверочной деятельностью, управления процессами и контрольными процедурами, планирования мероприятий.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление операционными рисками
  • Управление внутренним контролем
  • Управление внутренним аудитом
  • Управление рисками

Функциональные особенности

  • В ОАЗИС доступны дополнительные модули: Управление процессами обработки персональных данных, Управление ESG-рисками, Предотвращение конфликта интересов.
  • В системе настроен функционал для управления рисками третьих сторон, ИТ и ИБ рисками, проектными и модельными рисками.
  • Система изначально разрабатывалась под направление GRC 5.0, поэтому в решении уже используются технологии искусственного интеллекта.
  • До конца 2024 года Иннотех планирует внедрить функционал по автоматическому мониторингу изменений нормативных актов и их сопоставления с политиками компании, функционал по автоматическому заполнению карточек рисков и мероприятий на основе собственной LLM-модели, функционал рекомендаций по обновлению рисков на основе анализа данных из внешних источников.
  • Решение поставляется с библиотекой компонентов и пользовательских функций.
  • В системе предусмотрен встроенный функционал по количественной оценке рисков.
Перейти на сайт компании

Количество успешных внедрений: 1 внедрение


Количество активных проектов внедрений: 2 проекта


Клиенты:

  • Банки и финансы
  • ИТ-холдинг
  • Ритейл-компании

Перейти на сайт компании

В 2023 году вендор начал проект с крупным ИТ-холдингом. Группа Иннотех провела работы по внедрению системы ОАЗИС для повышения эффективности работы департамента, ответственного за обработку персональных данных, автоматизации процесса аудита, снижения рисков несоблюдения требований законодательства в сфере управления персональными данными, выявление и оценка рисков, связанных с бизнес-процессами по обработке персональных данных. По итогам проекта удалось решить проблемы взаимодействия и обмена информацией между департаментами и структурными единицами холдинга (свыше 30 юридических лиц).

VK GRC — программное решение, предназначенное для организации, структурирования и поддержки процессов управления рисками и внутреннего контроля.

Автоматизируемые процессы

В системе представлены следующие функциональные модули:

  • Управление рисками
  • Управление внутренним контролем

Функциональные особенности

  • VK GRC дает возможность интеграции с любыми корпоративными информационными системами Заказчика для получения оперативной информации.
  • VK GRC имеет встроенные инструменты для гибкой настройки атрибутивного состава объектов и справочников и отчетности под требования и используемую методологию заказчика.
  • VK GRC позволяет автоматизировать процессы и задачи по управлению рисками и внутренним контролем путем настройки и/или разработки.
Перейти на сайт компании

КАК КОГНИТИВНЫЕ ТЕХНОЛОГИИ ИЗМЕНЯТ GRC РЕШЕНИЯ?

21%
респондентов уже используют
ИИ в процессах GRC
30%
компаний планируют внедрение ИИ в GRC-процессы

OCEG (Глобальный рынок), 2023

5%
активно используют технологии ИИ в процессах GRC
63%
опрошенных тестируют ИИ в пилотных проектах

Опрос ТеДо (Российский рынок), 2023

Сценарии применения технологий GRC 5.0

ПРАКТИКА GRC В ТеДо

ТеДо уже не первый год активно развивает свою практику в области GRC.

Команда GRC концентрируется на решении следующих задач:


  • Сопровождение при выборе ИТ-продуктов для автоматизации процессов управления рисками и контролей
  • Внедрение или оценка качества внедрения решений класса GRC
  • Обследование процессов управления рисками, внутренним контролем, внутренним аудитом и комплаенсом, разработка инициатив по их оптимизации, методологических решений и подходов, а также автоматизация этих процессов

Интегрированная команда специалистов с опытом реализации методологических проектов в области риск-менеджмента и внедрения автоматизированных решений класса GRC.

Партнерство с ведущими поставщиками технологических решений, поддержка со стороны вендоров.

Экспертиза в различных отраслях

и обширный опыт проектов

в сфере развития систем управления рисками, внутреннего контроля и внутреннего аудита. Наработанная база знаний, лучших практик, международного опыта в области риск-менеджмента

Разработанные в ТеДо: модель матрицы зрелости функций риск-менеджмента, методология непрерывного обучения и развития систем класса GRC в рамках модели TOM (Target Operating Model) GRC, библиотеки рисков, ключевые индикаторы рисков

Скачать полную версию исследования

АВТОРЫ

  • Сара Чавушян

    Старший менеджер технологической практики

  • Алина Абдульманова

    Менеджер технологической практики

  • Илья Молодцев

    Старший бизнес-аналитик

  • Анна Наумова

    Бизнес-аналитик

  • Елизавета Жарикова

    Бизнес-аналитик