Форма обратной связи
Свяжитесь с нами
ТАКОВ ПУТЬ GRC
ТАКОВ ПУТЬ GRC
С каждым годом все больше российских компаний встают на путь обеспечения комплексной технологической независимости. Это заметно повышает спрос на отечественное ПО, в том числе и на решения класса GRC.
Концепция GRC (Governance, Risk, Compliance) - интегрированный, целостный подход к организации корпоративного управления, управления рисками и соответствия критериям, позволяющий убедиться в том, что компания действует этичным образом и в пределах своего риск-аппетита, в соответствии с внутренними политиками и внешними требованиями через взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, тем самым повышая эффективность и результативность деятельности.
По мнению команды ТеДо, российский рынок инструментов для автоматизации GRC-процессов все еще находится
на этапе становления. Тем не менее это не значит, что невозможно выбрать подходящую систему уже сейчас. Целью нашего обзора является освещение возможностей и перспектив российского рынка GRC-систем. Мы хотим, чтобы данный обзор стал отправной точкой при выборе системы GRC. Для этого мы выделили основных вендоров на рынке
и оценили текущий уровень зрелости их продуктов на момент начала 2023 года.
Период проведения обзора
Критерии анализа
Рассмотренных GRC-систем
ЧТО СКРЫВАЕТ ЗА СОБОЙ СОЗВЕЗДИЕ GRC?
ЧТО СКРЫВАЕТ ЗА СОБОЙ СОЗВЕЗДИЕ GRC?
Созвездие GRC — это скопление только зарождающихся и уже ярко сияющих звезд на российском рынке GRC-систем. Именно такая идея нашла отражение в нашем первом обзоре.
В дополнение к Созвездию GRC мы распределили соответствие критериям отдельно в разрезе направлений по управлению рисками (СУР) и внутреннему контролю (СВК).
Подробнее о методологииОтдельно отметим, что соответствие или несоответствие критерию не является признаком качества системы или оптимальности конкретного функционала. При выборе решения для собственного ландшафта компании должны давать взвешенную оценку конкретным функциональным, инфраструктурным и процессным требованиям.
Скачать график «Созвездие GRC» Скачать график «Соответствие критериям СУР» Скачать график «Соответствие критериям СВК»
Компания «Диджитал Дизайн» оказывает комплексные услуги по автоматизации бизнес-процессов и является одним из крупнейших разработчиков ПО в России.
К флагманским продуктам компании относится система автоматизации внутреннего аудита, контроля и оценки рисков под названием «АВАКОР». АВАКОР — это инструмент поддержки деятельности подразделений внутреннего аудита, внутреннего контроля (включая комплаенс-контроль) и управления рисками, разработанный на российской платформе Docvision. Решение ориентировано на крупные компании реального сектора экономики и уже активно используется в таких компаниях, как АК «Алроса», Ростех, РЖД, Ростелеком.
В системе выделены фронтэнд и бэкэнд, что позволяет повысить ее устойчивость к отказам и облегчает ее администрирование. Это выгодно отличает систему от конкурентов.
Решение уже сравнительно долгое время занимает лидирующие позиции на рынке России и показало себя как довольно гибкое, адаптируемое под нужды заказчиков ПО.
Перейти на сайт компании- Сбор, обработка и классификация данных по потенциальным рискам и угрозам от всех сотрудников организации, в том числе с мобильных устройств
- Проведение первоначальной оценки рисков и оценки остаточного риска
- Ведение карточки риска с возможностью неограниченного количества используемых атрибутов
- Формирование паспортов, карт и матриц рисков, а также других регламентных документов по формату заказчика
- Формирование и поддержка матрицы рисков и контролей
- Ведение реестра мероприятий с возможностью контроля сроков, статуса выполнения и доведения задач до конкретных исполнителей
- Ведение ключевых индикаторов риска KRI
- Документирование процессов по ВК
- Планирование и проведение проверок ВК, в том числе и самоконтроля
Компания Dynamicsun работает на рынке разработки программного обеспечения и автоматизации бизнеса. Компания оказывает комплексные услуги по разработке программного обеспечения, в том числе выполняя проектирование, интеграцию, обучение персонала, тестирование и дальнейшую поддержку программных продуктов.
«Вектор Плюс» — система, предназначенная для автоматизации управления рисками, внутренним контролем и экономической безопасностью. Система осуществляет идентификацию и оценку рисков, а также мониторинг и проверку действующих контрагентов на основании загруженной информации из подключенных внешних и внутренних источников.
Система отличается современным и удобным для пользователя интерфейсом, включает в себя все необходимые функции по управлению рисками. Функционал по автоматизации процессов СВК не оценивался для данной системы, чем обусловлено положение системы на общем созвездии.
Со стороны заказчика в систему разрешено вносить незначительные изменения, однако основные изменения и доработки осуществляются только путем привлечения технической поддержки вендора. На стороне вендора работает сильная команда методологов, готовых оперативно подключиться к внесению изменений в систему.
Перейти на сайт компании- Выявление угроз причинения ущерба вследствие мошенничества
- Идентификация рисков
- Оценка рисков
- Воздействие на риски
- Мониторинг рисков
- Оценка эффективности и совершенствование управления рисками
- Подготовка отчетности о состоянии и совершенствовании управления рисками
ФИНЭКС — компания, оказывающая услуги консалтинга и разработки систем менеджмента бизнеса.
КАИРИС — автоматизированная система управления качеством, аудитами и рисками. Целевой аудиторией данной системы являются компании реального сектора экономики.
Функционал управления рисками находится на сравнительно высоком уровне относительно систем конкурентов. Управление рисками данной системы включает в себя как управление операционными рисками, так и управление стратегией организации (управление целями организации, целями бизнес-процессов, риск-аппетитом организации в разрезе филиалов и др.), что выгодно отличает систему от конкурентов.
Функционал управления средствами внутреннего контроля находится в развивающемся состоянии относительно систем — лидеров в данной области.
В системе разработано большое количество дашбордов, соответствующих лучшим практикам и стандартам управления рисками зарубежных организаций.
Перейти на сайт компании- Управление стратегией компании
- Управление процессами
- Управление целями и показателями (KPI)
- Управление рисками и возможностями
- Контроль выданных и полученных мероприятий (задач)
- Менеджмент знаний
- Планирование и проведение аудитов
- Внутренний контроль
- Управление несоответствиями, инцидентами и нарушениями
- Управление корректирующими действиями
- Управление замечаниями и рекламациями
Компания «Квадриум» — поставщик бизнес-решений для коммерческих банков, инвестиционных компаний, розничных и промышленных предприятий.
Одна из последних разработок компании — это продукт Quadrium ActiveGRC. Quadrium ActiveGRC — программный продукт, разработанный на платформе JMIX и предназначенный для интегрированного управления операционным риском. Система управления рисками Quadrium ActiveGRC реализует принцип интегрированного управления рисками организации. В основе этого принципа лежит модель трех линий защиты.
Система рассчитана как на финансовый сектор, так и на реальный сектор экономики. Сравнительно высокая стоимость внедрения ограничивает круг потребителей продукта крупными организациями.
Система включает в себя большое количество модулей. Функционал системы постоянно расширяется, что выгодно отличает ее от конкурентов. За прошедший год в системе появилось не менее 4 новых модулей, за что ее по праву можно назвать именно «интегрированной системой управления рисками». В коробочное решение встроена методология для соответствия требованиям финансовых организаций, а также лучшие практики зарубежных систем по управлению рисками, например тепловая карта рисков, анализ «галстук-бабочка», сценарный анализ риска.
Перейти на сайт компании- Автоматизация процесса управления рисками: выявление, управление, мониторинг рисков и подготовка отчетности по операционным рискам в организации
- Автоматизация процессов внутреннего аудита: предоставление независимой оценки зрелости процессов управления рисками, определение, планирование, выполнение и отчетность об аудитах по всему бизнесу, отслеживание и управление аудитами, этапами аудита, рабочей документацией и распределениями заданий
- Автоматизация процессов внутреннего контроля: предоставление независимой оценки эффективности контрольной деятельности операционных подразделений, формирование пространства контролей организации
Компания «Ланселот» специализируется на разработке и внедрении аналитических приложений и систем делового интеллекта (BI) для финансовых и кредитных организаций.
Lancelot ORM — это автоматизированная система управления операционными рисками и подготовки управленческой и регламентированной отчетности в соответствии с регуляторными требованиями.
Система имеет различные конфигурации как для финансовых, так и для нефинансовых организаций, но основной целевой аудиторией являются финансовые организации.
Вендор регулярно обновляет систему для соответствия требованиям Банка России.
Перейти на сайт компании- Ведение реестра рисков.
- Автоматизация процесса сбора и управления событиями операционных рисков.
- Автоматизация всех процедур управления ОР, включая риск информационной безопасности (ИБ) и риск информационных систем (ИС).
- Создание и управление мероприятиями по устранению и предупреждению операционных рисков.
- Формирование базы показателей и аналитических признаков для анализа событий и последующего расчета Ключевых индикаторов риска и прочих аналитических показателей, детализирующих состояние капитала и активов, подверженных риску по различным направлениям деятельности и аналитическим признакам.
- Мониторинг целевых значений контрольных показателей уровня рисков.
ТАБ предоставляет консалтинговые услуги в области информационных технологий, технологий управления предприятием, организации бизнес-процессов и разработки прикладного программного обеспечения.
ТАБ УРС — автоматизированная система, включающая в себя модуль учета рисковых событий, методологию управления рисками, внутренним контролем и операционной надежностью. Основными потребителями данной системы являются финансовые организации.
Система построена на платформе «1С:Документооборот», благодаря чему она обладает всеми стандартными преимуществами платформы 1С, включая гибкую настройку отчетности, возможность настройки сложной ролевой модели, легкую интеграцию с ландшафтом 1С, возможность самостоятельной настройки формата записи данных и форм выгрузки (представления) данных, а также понятный и привычный интерфейс для пользователей 1С.
Одним из важнейших сравнительных преимуществ системы ТАБ УРС является легкость администрирования для организаций, работающих с продуктами платформы 1С. В коробочное решение встроена методология для соответствия требованиям кредитных и некредитных финансовых организаций.
Перейти на сайт компании- Автоматизация процессов управления рисками, внутреннего контроля и внутреннего аудита: от регистрации инцидентов в информационной базе рисков из внутренних и внешних источников, выполнения мероприятий внутреннего контроля и аудита до формирования отчетных документов.
- Онлайн мониторинг уровня рисков.
- Контроль за выполнением мероприятий по снижению (предотвращению) рисков.
- Оценка эффективности сформированных систем управления рисками и внутреннего контроля.
- Сбор и регистрация информации о внутренних событиях.
- Определение потерь и возмещений потерь от реализации событий.
- Количественная оценка уровня операционного риска.
- Качественная оценка уровня операционного риска.
«Финист» — компания, которая занимается анализом, разработкой и сопровождением широкой линейки IT-продуктов автоматизации в комплексе с аудитом, корректировкой и внедрением современных бизнес-процессов. Основным направлением работы компании является автоматизация банковской деятельности.
Finist-OperRisk — автоматизированное решение по управлению операционными рисками, опирается на методологические требования непосредственно ведения базы событий и 716-П. Основными потребителями данной системы являются финансово-кредитные организации.
Система отличается наличием Модуля «779-П», который позволяет регистрировать и вести учет событий операционного риска, являющихся инцидентами операционной надежности. Компания предлагает комплексный подход к проведению экспертизы внутренних документов и процессов организации на предмет соответствия требованиям Положения № 779-П.
Перейти на сайт компании- Автоматизированное выявление информации организации о реализовавшихся или возможных
- в будущем событиях операционного риска
- Регистрация выявленных событий в базе, в том числе их классификация, определение потерь от реализации, определение стоимости возмещений потерь от реализации событий согласно Положению 716-П
- Идентификация и ведение реестра операционных рисков
- Управление планами по проведению мероприятий с целью минимизации рисков
- Мониторинг и отслеживание рисков с применением ключевых индикаторов риска
- Проведение процедур самооценки рисков и средств контроля, в том числе качественной оценки уровня риска
В ОЖИДАНИИ НОВЫХ ЗВЕЗД
В ОЖИДАНИИ НОВЫХ ЗВЕЗД
Сегодня на российском рынке инструментов для автоматизации GRC-процессов мы выделяем два основных направления: системы для компаний финансового сектора и для компаний реального сектора экономики.
После ухода крупных иностранных вендоров российские компании развивают свои решения по двум сценариям. «Финансовые» GRC-системы адаптируют функционал под требования компаний реального сектора экономики, а GRC-системы, ориентированные на реальный сектор экономики, развивают функционал, опираясь на лучшие практики систем иностранных вендоров и запросы клиентов.
В свою очередь, в процессе изучения последних тенденций рынка мы выяснили, что некоторые компании-заказчики идут по альтернативному пути автоматизации своих процессов. Отказываясь от готовых решений на рынке, они разрабатывают свои собственные системы для внутреннего использования, а после стремятся вывести их на рынок.
Согласно результатам анализа, уровень проработки процессов СУР в российских решениях заметно выше уровня проработки процессов СВК, что обусловлено высоким уровнем регулируемости процессов управления рисками отраслевыми нормативно-правовыми актами и низким уровнем зрелости процессов СВК у клиентов.
В данном обзоре мы показали, что рынок GRC-систем в России достаточно разнообразен и продолжает активно развиваться. В скором времени мы ожидаем новые витки развития существующих решений, а также появления новых звезд в созвездии GRC, о которых мы будем рассказывать и дальше.
Средний уровень автоматизации процессов СУР
Средний уровень автоматизации процессов СВК
ПРАКТИКА GRC В ТеДо
ПРАКТИКА GRC В ТеДо
ТеДо уже не первый год активно развивает свою практику в области GRC.
Команда GRC концентрируется на решении следующих задач:
- Сопровождение при выборе ИТ-продуктов для автоматизации процессов управления рисками и средствами контроля.
- Внедрение или оценка качества внедрения решений класса GRC.
- Обследование процессов управления рисками, внутренним контролем, внутренним аудитом и комплаенсом, разработка инициатив по их оптимизации, методологических решений и подходов, а также автоматизация этих процессов
Интегрированная команда специалистов с опытом реализации методологических проектов в области риск-менеджмента и внедрения автоматизированных решений класса GRC.
Партнерство с ведущими поставщиками технологических решений, поддержка со стороны вендоров.
Экспертиза в различных отраслях и обширный опыт проектов в сфере развития систем управления рисками, внутреннего контроля и внутреннего аудита. Наработанная база знаний, лучших практик, международного опыта в области риск менеджмента.
Разработанные в ТеДо: модель матрицы зрелости функций риск менеджмента, методология непрерывного обучения и развития систем класса GRC в рамках модели TOM (Target Operating Model) GRC, библиотеки рисков, ключевых индикаторов рисков.
Учитывая развитые компетенции нашей команды, мы готовы стать связующим звеном между вашим бизнесом и вендорами. Мы поможем подобрать наиболее подходящую для вашего бизнеса систему, и при необходимости усовершенствовать методологическую основу для достижения процессной зрелости.
КОНТАКТЫ