GRC-платформа: как объединить аудит, риски и комплаенс в единый контур
Автоматизация внутреннего аудита, управления рисками и комплаенса — вызов даже для крупнейших компаний. На примере проекта для Х5 разбираемся, какой должна быть современная GRC-платформа и как она объединяет три линии защиты
Современная GRC-платформа по сути — «второй пилот» в компании. Она призвана обеспечивать прозрачность данных, эффективное взаимодействие между линиями защиты, а также быть гибкой, адаптируемой и надежной с точки зрения информационной безопасности.
Отечественное решение успешно реализовало функционал, который ранее был доступен только в импортных решениях. Система позволяет хранить данные сотен бизнес-процессов, строить тепловые карты рисков и помогает строить долгосрочные планы.
Как это работает — в интервью с Варварой Солодиловой, руководителем продуктового развития GRC-платформы «ОАЗИС» ИТ-холдинга Т1, и Иваном Вороной, директором по внутреннему аудиту компании Х5.
— Варвара, вопрос к вам. Какой должна быть современная GRC-платформа?
— В условиях постоянных изменений компании нужен надежный второй пилот, который обеспечит прозрачность данных и эффективное взаимодействие между всеми линиями защиты. Кроме того, GRC-платформа обязана быть адаптируемой, гибко настраиваемой и надежной с точки зрения информационной безопасности.
— Были ли сложности при работе над проектом Х5?
—Это был уникальный проект. В первую очередь из-за своей масштабности, поскольку мы автоматизировали и внутренний аудит, и внутренний контроль, управление рисками, управление compliance.
В проекте был задействован огромный объем данных: только контрольных процедур было порядка 30 тыс. Сложность также заключалась в том, что в компании Х5 внутренний аудит высокого уровня зрелости, и нам приходилось соответствовать высоким стандартам качества. Кроме того, нам хотелось удовлетворить все требования пользователей, постоянно получая обратную связь, мы подстраивались под нашего клиента и в итоге смогли успешно завершить такой масштабный проект достаточно быстро.
— Иван, вопрос к вам. Какие процессы внутреннего аудита стали проще или быстрее после внедрения платформы?
— Ну, наверное, базовые вещи по работе аудиторов на проектах не претерпели значительных изменений. Хорошая новость в том, что наше отечественное ПО смогло реализовать тот функционал, который у нас был до этого реализован на в импортном аудиторском программном обеспечении. Отечественное решение — это достаточно мощная система, которая позволяет нам хранить большие объемы данных.
За несколько лет у нас по 650 бизнес-процессам накопилось достаточно много информации. А в части ключевых рисков, контроля, информация исчисляется несколькими тысячами единиц данных, которые в других решениях крайне сложно было учитывать.
Это дает нам возможность делать разного рода карты рисков, тепловые карты, контроли по всем бизнес-процессам на регулярной основе, а также делать долгосрочное планирование по большому количеству процессов на горизонт 5–7 лет.
— Удалось ли достичь целей, которые вы ставили?
— Да, система работает. Она позволяет нам видеть информацию каждого подразделения и не дублировать работу друг друга, а актуализировать данные, дополнять друг друга. Более того, выстраивать новые взаимосвязи. Например, сейчас мы хотим выстраивать увязку между рисками уровня торговых сетей. То, чем занимались наши рисковики, с процессными рисками, то, что в основном проверяют внутренние аудиторы.