GRC – trzy linie obrony

GRC – trzy linie obrony

Umiejętność identyfikacji ryzyk oraz wdrażanie mechanizmów zapobiegających ich materializacji – to cechy, które decydują o fundamencie trwałości danej organizacji. Model trzech linii obrony jest niezbędny w przypadku określenia skutecznego zarządzania ryzykiem oraz efektywnej kontroli w organizacji. Pokazuje on, w jaki sposób instytucja powinna bronić się w sytuacjach kryzysowych oraz związanych z niepewnością.

Zarządzanie organizacją przez pryzmat oceny ryzyka zakłada przede wszystkim wdrożenie trzech linii obrony przedsiębiorstwa. Ich zadaniem jest odparcie każdego „ataku” zarówno z zewnątrz, jak i z wewnątrz, związanego z nieuczciwością, zmianami prawnymi, rynkowymi czy innymi zdarzeniami z otoczenia, w którym funkcjonuje przedsiębiorstwo.

Kontrola wewnętrzna i zarządzanie ryzykiem – pierwsza i druga linia obrony 

Pierwszą linię obrony stanowi bieżące zarządzanie ryzykiem, które odpiera zagrożenia identyfikowane w istniejącej relacji procesów. Zagrożone cele, harmonogramy, budżety są identyfikowane i oceniane. Szacowany jest ich faktyczny wpływ na cele organizacji. Aby uniknąć bądź zmitygować skutki materializacji zagrożeń (ryzyka), najlepiej wdrożyć mechanizmy kontroli, które – jak polisa ubezpieczeniowa – ograniczą wpływ pojawiającego się ryzyka lub jak gruby pancerz ochronią przed jego wystąpieniem.

Centralne zarządzanie ryzykiem na poziomie spółki czy nawet grupy kapitałowej pozwala oszacować „globalną” sumę zagrożeń dla całej organizacji. Średnio groźne ryzyko, które zostało zidentyfikowane w kilku miejscach przedsiębiorstwa, może sumować się jako prawdopodobne wystąpienie dotkliwych dla niego skutków w kilku obszarach. Może to zaburzyć stabilności działania i wyniku finansowego. Spojrzenie na ryzyko przez pryzmat centralny stanowi drugą linię obrony. Jej zadaniem jest powstrzymanie zagrożeń, które przedostały się przez linię pierwszą. W drugiej linii obrony stosowane są także mechanizmy kontroli o zasięgu globalnym dla firmy, decyzje zarządu i rady nadzorczej oraz wdrożenia systemowych rozwiązań w perspektywie całej organizacji.

Audyt – trzecia linia obrony

Systematyczne patrzenie na jakąś rzecz, ciągłe powtarzanie tego samego działania czy wielokrotne wykonywanie tego samego procesu staje się rutyną, która usypia czujność nadzorującego. Prawdą jest, że drobne odchylenia od normy nie powodują reakcji, np. w sytuacji, gdy porówna się jakiś projekt do poprzedniego i oceni go tylko nieznacznie gorzej. Działając, bierzemy pod uwagę zazwyczaj konkretną sytuację – tu i teraz – i podejmujemy kroki dopasowane optymalnie do tego zakresu. Rozwiązanie bieżących problemów bardziej przyciąga naszą uwagę niż drobiazgowe pilnowanie każdego aspektu funkcjonowania organizacji. To dlatego jedynie spojrzenie z zewnątrz pozwala zidentyfikować zagrożenia, które albo stały się niewidoczne, albo wymknęły się ustanowionemu systemowi przepływu informacji.

Trzecią linię obrony stanowi więc audyt i kontrola wewnętrzna. Osoby z zewnątrz nie są przywiązane do obecnie funkcjonującego elementu w danej organizacji, dzięki temu łatwiej im ocenić jego wiarygodność. Pozwala to na obronę organizacji przed zagrożeniami, których wykonawcy – w  codziennej pracy – mogą po prostu nie dostrzec.

Wbrew pewnym emocjonalnym odczuciom audyt należy uważać za pomoc, która służy wyciągnięciu firmy ze strefy zagrożenia.

Podział ról i odpowiedzialności 

System GRC wspiera działanie wszystkich trzech linii obrony. Odwzorowane w systemie struktury organizacji oraz procesów pozwalają na czytelny podział ról i odpowiedzialności. Dostarcza on informacji pomocnych w zarządzaniu operacyjnym, nadzorującym oraz strategicznym. Managerowie koordynujący różne obszary przedsiębiorstwa dostają raporty, które odnoszą się do poziomów ryzyka. Do audytorów trafiają informacje o mechanizmach jego kontroli. To pozwala zweryfikować faktyczną skuteczność mitygacji ryzyk. Dane o zakresach wymogów, zgodnie z którymi  funkcjonuje organizacja (na przykład normy ISO, przepisy ogólne, branżowe), kierowane są natomiast do oficerów compliance. Na ich podstawie mogą oni skontrolować, czy jednostki spełniają założenia odpowiednich norm.

GRC, a dokładnie jeden z jego modułów, wspiera także nałożone na organizację przez rozporządzenie RODO zadania związane z aktywnym, zaplanowanym procesem ochrony danych osobowych. Swoim zakresem obejmuje między innymi identyfikację posiadanych lub powierzanych aktywów danych, identyfikacja podatności, zabezpieczeń, a także ryzyk typowych dla RODO (na przykład utrata integralności, poufności, itd.). Moduł ten dopełnia w ten sposób funkcje kontrolne i sterujące przedsiębiorstwem.

Autor bloga: Tomasz Jadczak, architekt rozwiązań, kierownik projektu, zastępca dyrektora Pionu Produkcji Oprogramowania w DahliaMatic.

Jeśli chcesz uzyskać więcej informacji na temat systemu GRC, zapraszamy do kontaktu mailowego  tomasz.jadczak@dahliamatic.pl