Питаннями впровадження GRCна рівні організацій займалися такі вітчизняні науковці як О. Савчин, В. фон Розен, В. Чаплига, Ю. Фетісова, В. Шутенко та інші, а також іноземні науковці та дослідники: K. Spanaki, N. Racz, E. Weippl, A. Seufert, C. Hardy, J. Leonard, V. Nissen, W. Marekfia та інші.
Управління процесами та виконання внутрішньобанківських правил і політик, дотримання нормативних вимог законів та регулятивних вимог НБУ, ризик-менеджмент та мітігація потенційних ризиків, тощо. Всі ці поняття широко розповсюджені в банківському секторі України. Кожний державний та комерційний банк на рівні організації створив велику кількість внутрішніх політик та процедур, реєстрів ризиків, карт процесів, контрольне середовище, впровадив різні інструменти мітігації ризиків, запровадив найкращі практики корпоративного управління, тощо. Під всі ці процеси банки створили велику кількість структурних підрозділів, адаптували організаційну структуру, створили комітети у правлінні та наглядовій раді, зробили відповідний функціональний розподіл за функціями.
На нашу думку всі ці процеси важливі і потребують належного рівня управління і регуляції. Тим не менше, побудова такої екосистеми потребує значних ресурсів з боку організації. І задля забезпечення належного рівня функціонування та принципу ефективності така екосистема потребує певної комплексності та послідовного зваженого управління. В поточних умовах такий великий, комплексний та складний механізм потребує централізації, задля синхронізації і забезпечення максимальної результативності всіх функцій та процесів.
На нашу думку таким рішенням повинна стати саме централізація функцій на базі GRC програмного забезпечення. Скорочення GRC означає "Governance, Risk, and Compliance", тобто управління, ризик (а саме процес управління ризиками) та комплаєнс[1]. Під управлінням ми розуміємо певний пул процесів, ресурсів, політик і правил, які регулюють діяльність банку задля досягнення його бізнес-цілей. Під управлінням ризиками ми розуміємо класичну функцію, що включає в себе програму управління ризиками, реєстр/матрицю ризиків та інструменти щодо їх мітігації, відповідні політики та процедури, тощо. Все це побудоване на ризик-орієнтовному підході. Під комплаєнс та ефективним його управлінням ми розуміємо набір політик, процедур та функцій, що забезпечують дотримання законів, правил та регуляторних вимог, а також впровадження кращих міжнародних практик на рівні банку.
Загалом фреймворк GRC у нормативних документах вперше в світі з’являється у Законі Сарбейнза-Окслі (Sarbanes-Oxley Act, SOX), а також у Базелі II (BaselII) [2], [3]. Але це саме фреймворк, тобто певний виписаний нормативний документ з ключовими правилами та принципами, які потребуватимуть адаптації, апробації та практичного впровадження на рівні банку.
Саме в нашій концепції централізації ми пропонуємо впровадження на рівні всіх підрозділів банку програмного забезпечення (пакетного чи самописного), що зможе об’єднати в єдину систему всі процеси, що включають в себе управління, ризики та комплаєнс.
Перелік ключових функцій і компонентів може відрізнятися від банку до банку, але можемо виділити топ-15, які на нашу думку, мають бути обов’язково включені:
1) Управління політиками, процесами та процедурами;
2) Комплаєнс, управління стандартами та найкращими міжнародними практиками;
3) Управління аудитом (внутрішнім та зовнішнім);
4) Процес взаємодії правління та його комітетів;
5) Управління безперервністю бізнесу;
6) Контрольне середовище та управління внутрішнім контролем;
7) Управління операційними ризиками (в т.ч. ІТ ризики);
8) Управління фінансовими ризиками;
9) Етика та корпоративне середовище;
10) Юридичні ризики та потенційні збитки від судових справ;
11) Забезпечення якості банківських послуг;
12) Управління ризиками пов’язаними з контрагентами;
13) Управління зверненнями та належне реагування;
14) Управління вразливостями та інцидентами;
15) Управління конфігураціями[4].
Головна перевага централізації в управлінні процесами це оперативність в реагуванні та прийнятті рішень, а отже можливість швидко реагувати на виклики та проблеми, що напряму впливає на конкурентоспроможність банку на ринку[5].
Наведемо умовний приклад. У клієнта-фізичної особи було списано з картки його власні кошти через вразливість у програмному застосунку банку. За умови впровадженої GRC системи та відповідного програмного комплексу на всіх рівнях процедура реагування могла бути побудована наступним чином в рамках одного операційного дня: 1) Звернення прийнято кол-центром банку, зареєстровано, присвоєно рівень ризику та терміновість розгляду; 2) Департамент ризик-менеджменту реєструє подію в реєстрі ризиків; 3) Інформаційна безпека реєструє інцидент, пов’язаний із застосунком банку; 4) ІТ департамент отримує завдання на усунення вразливості; 5) Проектний офіс вносить зміни до документації застосунку та реєстру конфігурацій; 6) Юридичний департамент оцінює ризики за інцидентом та подає пропозиції правлінню щодо можливої компенсації клієнту; 7) Внутрішній контроль створює задачу на впровадження ITGCконтролів для застосунку банку; 8) На підставі записів реєстр перевірок внутрішнього аудиту (audituniverse) коригується автоматично і пріоритетність перевірки застосунку банку зростає; 9) Правління отримує дані та включає відповідне питання до порядку денного на розгляд на засіданні комітету з ризиків.
Отже, можемо зробити висновок, що впровадження комплексного програмного GRC рішення на рівні банку може стати потужним інструментом для підвищення його стабільності, ефективності та конкурентоспроможності.
Список літератури:
1. Eccles, R. G., & Krzus, M. P. (2010). "One report: Integrated reporting for a sustainable strategy." John Wiley & Sons.
2. Basel Committee on Banking Supervision. (2006). International convergence of capital measurement and capital standards: a revised framework. URL: https://www.bis.org/publ/bcbs128.htm
3. Sarbanes-Oxley Act:U.S. Congress. (2002). Sarbanes-Oxley Act of 2002. URL: https://www.sec.gov/about/laws/soa2002.pdf
4. Apeh, J. A., Hassan, A. O., Oyewole, O. O., Fakeyede, O. G., Okeleke, P. A., & Adaramodu, O. R. (2023). "GRC Strategies in Modern Cloud Infrastructures: A Review of Compliance Challenges." Computer Science & IT Research Journal, 4(2), 111-125. URL: https://doi.org/10.51594/csitrj.v4i2.609
5. Deloitte. (2023). "Governance, Risk and Compliance Software: Driving Value in a Dynamic Regulatory Environment." URL: https://www2.deloitte.com/content/dam/Deloitte/lu/Documents/risk/governance-risk-compliance-software_DCA.pdf
__________________
Науковий керівник: Заруцька Олена Павлівна, доктор економічних наук, професор, Університет митної справи та фінансів
|
Голосування 
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter