Iskanje pravega ravnovesja: BPM in GRC v današnjem zahtevnem poslovnem okolju

Integracija upravljanja poslovnih procesov (BPM) ter upravljanja, tveganj in skladnosti (GRC) je ključnega pomena za optimizacijo poslovanja, izboljšanje skladnosti in zagotavljanje trajnostnega uspeha v hitro spreminjajočem se poslovnem okolju.

Usklajevanje BPM in GRC

Današnje poslovno okolje zahteva nenehno prilagajanje in preoblikovanje. Nešteto zunanjih in notranjih dejavnikov sili organizacije, da spreminjajo svoje delovanje, procese, organizacijske strukture in IT sisteme. Ne glede na to, ali gre za trajnostni razvoj, stroškovne pritiske, generativno umetno inteligenco, skladnost z zakonodajo ali operativno odpornost, je jasno, da sodobne organizacije krmarijo po zapleteni pokrajini.

Pomembno področje, ki zahteva pozornost, je področje upravljanja, tveganj in skladnosti (GRC). V zadnjem času sta skladnost z zakonodajo in operativna odpornost postala ključna vidika za organizacije vseh velikosti.

OCEG (Open Compliance Ethics Group), ki trdi, da je zasnovala koncept GRC, navaja, da je potrebno delo, ki ga opravljajo številni različni oddelki v organizaciji (pravni, tveganja, kadrovski, informacijski, finančni, poslovne linije), povezati. Da bi vzpostavili to integracijo, je potrebna skupna platforma, ki služi kot osnova za komunikacijo med deležniki, ki govorijo različne "jezike". Vlogo tega osrednjega vozlišča v organizaciji lahko prevzamejo procesi.

Številni opisi procesov že vključujejo elemente, ki so pomembni za GRC. Seveda pa obstaja možnost izboljšav z vključitvijo elementov, ki še manjkajo. Ključna področja na katera se osredotočajo ti procesi so povezana z upravljanjem tveganj, nadzorom, politiko in predpisi. Elementi, ki imajo pri tem glavno vlogo, so povezani med seboj ter dodatno še z elementi upravljanja poslovnih procesov tj. IT sistemi, organizacijskimi elementi, dokumenti itd.

Kako torej najti pravo ravnovesje med uspešnostjo in učinkovitostjo procesov na eni strani ter tveganji in skladnostjo na drugi?

Poglejmo si pomembne elemente, ki jih je treba upoštevati pri tem:

Upravljanje tveganj

Izhodišče za upravljanje tveganj je prepoznavanje in dokumentiranje tveganj, ki so pomembna za organizacijo. Ustvarjanje knjižnic tveganj, organiziranih po različnih vidikih in kategorijah, zagotavlja jasnost glede trenutnega stanja in je podlaga za razprave z deležniki iz različnih oddelkov. Razprava ne bi smela potekati le med odgovornimi za upravljanje tveganj, temveč bi se morali o tem pogovarjati tudi z odgovornimi za poslovna področja in hkrati zbirati njihova spoznanja. Pri zbiranju in prepoznavanju tipičnih vhodnih podatkov za izgradnjo knjižnic so v pomoč lahko tudi različni referenčni katalogi in celo umetna inteligenca.

Za določanje odgovornosti je bistveno povezovanje prepoznanih tveganj s poslovnim kontekstom, vključno s procesi, organizacijskimi elementi in IT sistemi.  To vključuje določanje lastništva in identifikacijo posameznikov odgovornih za ocenjevanje teh tveganj. Ključno je prepoznati najpomembnejša tveganja v organizaciji, poslovnih področjih ali na določenih lokacijah. Poleg tega je nujno dokumentiranje obstoječih ukrepov za zmanjševanje tveganj, kontrol, pravilnikov in povezav z ustreznimi predpisi.

Ocenjevanje tveganj lahko vključuje različne metode, tako kvantitativne kot kvalitativne, in upošteva več razsežnosti, kot so finančni vidiki, ugled in ekološka vprašanja. Opredelitev pravil za izvajanje ocen in poznejših ukrepov, kot je nagnjenost k tveganjem, postane osnova za operativno izvajanje.

Povezovanje tveganj in kontrol ter določanje odgovornosti

Upravljanje kontrol

Poznavanje že vzpostavljenih kontrol je bistvenega pomena za oceno povezanih tveganj. Kontrole so tesno povezane s procesi in aktivnostmi v organizaciji in se lahko izvajajo tudi v IT sistemih. Kontrole so lahko preventivne ali zaznavne in niso omejene na procese v katerih se pojavlja tveganje.

Pri odkrivanju novih kontrol ali izboljšanju obstoječih lahko koristijo referenčne vsebine in uporaba umetne inteligence. Za razkritje morebitnih slepih peg je ponovno bistvena dodelitev in dokumentiranje odgovornosti. Lastništvo je ključ do upravljanja kontrol.

Ključni prvi korak k upravljanju kontrol je dokumentiranje, katere kontrole zmanjšujejo katera tveganja. Vendar to ni dovolj. Potrebno je redno preverjanj kontrol tj. ali je kontrola (še vedno) zasnovana tako, da resnično opravlja svoje delo in ali kontrole delujejo in se izvajajo, tako kot je bilo načrtovano. Ustrezne informacije o tem pridobimo s preizkušanjem oziroma testiranjem kontrol. Pri podpiranju teh nalog ima lahko ključno vlogo procesno rudarjenje, ki lahko celo olajša avtomatizirano izvajanje. Če obstajajo načini za izogibanje kontrolam znotraj procesa ali če kontrole ne delujejo učinkovito, je treba sprejeti ustrezne ukrepe na primer: za izboljšanje kontrole, za spremembo ustreznega procesa, za opredelitev novega procesa, za spremembo organizacijske odgovornosti ali za prilagoditev IT sistemov.

Upravljanje politik

Politike so v tem kontekstu dokumenti z navodili, ki opisujejo pravila in postopke za zmanjševanje tveganj v organizaciji. Upravljanje politik obsega dva glavna koraka: uvajanje politik in njihovo redno pregledovanje.

Pri nastajanju in potrjevanju politik pogosto sodeluje več deležnikov. Ti morajo politike tudi odobriti preden se lahko vpeljejo v organizacijo. V nekaterih primerih zadošča preprosta objava, v drugih primerih je treba zbrati potrdila, da je bila politika prebrana in razumljena, oziroma celo, da zaposleni potrdijo, da bodo to politiko upoštevali.

Redni pregledi zagotavljajo, da politike ostajajo ustrezne in se po potrebi posodabljajo ali ukinjajo.

Upravljanje predpisov

Na področju zakonov in drugih predpisov so organizacije prisiljene ukrepati zaradi številnih tem. Nekatere od teh so pomembne za vse organizacije, druge pa so specifične za določene panoge ali regije. Primeri med drugim vključujejo trajnostni razvoj, DORA, varstvo podatkov in upravljanje tveganj tretjih oseb.

Upoštevanje zakonskih zahtev je ključnega pomena za organizacije saj se s tem izognejo morebitnim globam in izgubi ugleda. Za zagotavljanje skladnosti je bistven pregled nad ustreznimi predpisi in opredeljenimi odgovornostmi. Ta preglednost je ključna za razumevanje poslovnega konteksta in njegove povezave z elementi GRC.

Prilagajanje spremembam predpisov, bodisi novim različicam bodisi posodobitvam, je stalna zahteva, ki jo je treba obravnavati nadvse strokovno.

Enoten sistem upravljanja

Kot lahko vidite, aktivnosti GRC ne smemo upravljati ločeno, temveč morajo biti povezane v enoten in skladen sistem. Sodelovanje med deležniki je uspešno le, če obstaja skupna podlaga, ki odpravlja odvečne aktivnosti in optimizira dejavnosti ocenjevanja.

Procesno rudarjenje služi kot močno orodje za dokumentiranje skladnosti iza procesov s poslovnim načrtom. Pomaga pri sprožitvi ustreznih ukrepov, še preden lahko težave povzročijo škodo organizaciji. Dostop do informacij je ključnega pomena, ne glede na to, ali gre za upravitelje tveganj, upravitelje skladnosti ali upravitelje procesov.

S spodbujanjem preglednosti in usklajevanjem deležnikov lahko učinkovito krmarite po zapletenem področju GRC.  Končni cilj je zagotoviti, da procesi niso le optimizirani za delovanje, temveč  da so tudi popolnoma skladni z opredeljenimi strukturami, predpisi in strategijami za zmanjševanje tveganj.

V današnjem zahtevnem poslovnem okolju je ključnega pomena najti pravo ravnovesje med upravljanjem poslovnih procesov (BPM) in upravljanjem, tveganji in skladnostjo (GRC). Integracija teh kritičnih vidikov ni le nujnost, temveč tudi priložnost za racionalizacijo poslovanja, izboljšanje skladnosti in doseganje trajnostnega uspeha v nenehno razvijajočem se poslovnem svetu.

search video
PlayPlay
enoten sistem upravljanja
Enoten sistem upravljanja podprt z orodji ARIS konsolidira tradicionalno ločene sisteme upravljanja kot so upravljanje procesov, upravljanje tveganj in internih kontrol, upravljanje kakovosti, upravljanje IT portfelja, upravljanje znanj, upravljanje preobrazb in drugih ter s tem omogoči učinkovitejše delovanje organizacije.