GRC-платформа: как объединить аудит, риски и комплаенс в единый контур
Современная GRC-платформа по сути — «второй пилот» в компании. Она призвана обеспечивать прозрачность данных, эффективное взаимодействие между линиями защиты, а также быть гибкой, адаптируемой и надежной с точки зрения информационной безопасности. Отечественное решение успешно реализовало функционал, который ранее был доступен только в импортных решениях. Система позволяет хранить данные сотен бизнес-процессов, строить тепловые карты рисков и помогает строить долгосрочные планы. Как это работает — в интервью с Варварой Солодиловой, руководителем продуктового развития GRC-платформы «ОАЗИС» ИТ-холдинга Т1, и Иваном Вороной, директором по внутреннему аудиту компании Х5. — Варвара, вопрос к вам. Какой должна быть современная GRC-платформа? — В условиях постоянных изменений компании нужен надежный второй пилот, который обеспечит прозрачность данных и эффективное взаимодействие между всеми линиями защиты. Кроме того, GRC-платформа обязана быть адаптируемой, гибко настраиваемой и надежной с точки зрения информационной безопасности. — Были ли сложности при работе над проектом Х5? —Это был уникальный проект. В первую очередь из-за своей масштабности, поскольку мы автоматизировали и внутренний аудит, и внутренний контроль, управление рисками, управление compliance. В проекте был задействован огромный объем данных: только контрольных процедур было порядка 30 тыс. Сложность также заключалась в том, что в компании Х5 внутренний аудит высокого уровня зрелости, и нам приходилось соответствовать высоким стандартам качества. Кроме того, нам хотелось удовлетворить все требования пользователей, постоянно получая обратную связь, мы подстраивались под нашего клиента и в итоге смогли успешно завершить такой масштабный проект достаточно быстро. — Иван, вопрос к вам. Какие процессы внутреннего аудита стали проще или быстрее после внедрения платформы? — Ну, наверное, базовые вещи по работе аудиторов на проектах не претерпели значительных изменений. Хорошая новость в том, что наше отечественное ПО смогло реализовать тот функционал, который у нас был до этого реализован на в импортном аудиторском программном обеспечении. Отечественное решение — это достаточно мощная система, которая позволяет нам хранить большие объемы данных. За несколько лет у нас по 650 бизнес-процессам накопилось достаточно много информации. А в части ключевых рисков, контроля, информация исчисляется несколькими тысячами единиц данных, которые в других решениях крайне сложно было учитывать. Это дает нам возможность делать разного рода карты рисков, тепловые карты, контроли по всем бизнес-процессам на регулярной основе, а также делать долгосрочное планирование по большому количеству процессов на горизонт 5–7 лет. — Удалось ли достичь целей, которые вы ставили? — Да, система работает. Она позволяет нам видеть информацию каждого подразделения и не дублировать работу друг друга, а актуализировать данные, дополнять друг друга. Более того, выстраивать новые взаимосвязи. Например, сейчас мы хотим выстраивать увязку между рисками уровня торговых сетей. То, чем занимались наши рисковики, с процессными рисками, то, что в основном проверяют внутренние аудиторы.