ITB Club 2020 Január

GRC - amiről mindenki beszél, de senki nem tudja mit jelent


Igazgatási rendszer, kockázatkezelés, megfelelőség – a kis- és középvállalatok vezetői sokszor azt hiszik, hogy ezek csak a nagyobb cégek számára érdekesek. Pedig Pflanzner Sándornak,az ADAPTO fejlesztési vezetőjének a januári ITB Clubon elmondott, a saját életéből vett példája is azt mutatja, hogy az angol rövidítéssel csak GRC-nek (Governance, Risk management, Compliance) nevezett igazgatási rendszer a kkv-k számára is életbe vágóan fontos lehet.

A videót az ITBusiness készítette.


Hiányzik az integráció

Az igazgatási rendszerek messze elmaradtak a vállalatirányítási rendszerek (ERP) mögött. Utóbbiak esetében az 1990-es évekre elkészültek mindazon modulok (pénzügy, kontrolling, készletgazdálkodás, logisztika, egyebek), amelyek egymással integrálva teljes körű vállalatirányítást tettek lehetővé. „Manapság egy ERP-rendszerben minden benne van, amire a vállalatnak szüksége lehet, és magától értetődő, hogy az egyes modulok szorosan integráltak”, mondta Pflanzner Sándor.

Ennél sokkal lassabban fejlődtek az igazgatási rendszerek. Az első minőségközpontú ISO szabvány, az ISO 9001, 1987-ben jött ki; 2000-ig kellett várni, hogy a folyamatszemlélet megjelenjen az ISO szabványokban; a következő lépcsőfok pedig 2014-ben jött el, amikor feltűnt a szabványban a kockázat alapú gondolkodás. Itt már az a lényeg, hogy nem elég leírni és dokumentálni az egyes folyamatokat, hanem fel is kell térképezni az azokra leselkedő kockázatokat. Ezt a szemléletet tükrözik az újabb szabványok, mint például az ISO 27001 (IT-biztonság) vagy az ISO 22301 (üzletmenet-folytonosság).

Az ERP-rendszerekkel ellentétben viszont az igazgatási rendszerek legfeljebb a nevükben integráltak, a legtöbbször még lazán sem kapcsolódnak egymáshoz. A folyamatszabályozás nem kötődik a kockázatkezeléshez, a kockázatkezelésnek nem része az IT-biztonság, és így tovább. Jó esetben szigetrendszerek működnek egymás mellett, amelyekből nem lehet egységes képet kinyerni. „Ez is az oka annak, hogy rendkívül drága projekteket lehet eladni cégeknek, amelyek végén igazából semmi nem változik, csak éppen kapnak egy dokumentumot, hogy megfelelnek ennek vagy annak a szabályozásnak. Hogyan hiheti el a vállalat vezetése, hogy megfelel a GDPR előírásainak, ha nem nyúltak az információbiztonsági rendszerhez? Olyan ez, mintha több millió forintot kifizetnénk egy projektért, hogy átalakították az irodát, miközben minden szék és íróasztal továbbra is ugyanott van, mint eddig, a kivetítőhöz továbbra sem lehet kapcsolódni és a klíma sem működik megfelelően – de van egy papírunk arról, hogy az átalakítás megtörtént”, hozott egy érzékletes példát Pflanzner Sándor.


Három kérdés, sok válasz

A kétféle rendszer közötti különbség abban is megmutatkozik, hogy az ERP-megoldások értékajánlata jól megfogható és mindenki előtt világos. Az alkalmazások minden tranzakciót rögzítenek, a vezetőség minden egyes pillanatban tisztában lehet azzal, hogy állnak ténylegesen és a tervekhez képest a vállalat pénzügyei, a megrendelések, a raktárkészlet, és így tovább.

Ezzel szemben az igazgatási rendszerek hasznát kevesen tudnák megfogalmazni. Készülnek szabályzatok és tanúsítványok, mert azok ilyen vagy olyan okból kötelezőek a vállalat számára, de ezen túl általában minden marad a régiben. „Ha a tanúsítvány megvan, és fel lehet mutatni, már senkit nem igazán érdekel, mi zajlik a háttérben”, mondta tapasztalatai alapján Pflanzner Sándor.

Az ADAPTO fejlesztési vezetője szerint a vállalatigazgatási rendszerek három kérdésre adhatnak választ:

  1. Hogyan mennek nálunk a dolgok? Az ERP-ből kinyerhetők a tranzakciós adatok, de a GRC rendszerek számos más kulcs teljesítmény mutatót (KPI-t) és kulcs kockázati mutatót (KRI-t) is láthatóvá tesznek a vezetőség számára. Csak egy példa: ha nő az ügyfélpanaszok száma (ez a KRI), az előre jelzi, hogy a KPI-ként meghatározott ügyfél-elégedettség is romlani fog.

  2. Mi okozhat problémát? Itt jelenik meg a kockázatalapú gondolkodás. Egységes, integrált kockázatkezelési rendszerben összegyűjtve és összehasonlítva a különböző területek kockázatait, lehetővé válik, hogy a legkritikusabb pontok kezelésére fókuszáljuk véges erőforrásainkat. Ennek a lényege, hogy jó előre vizsgáljuk meg, mi okozhat problémát, készüljünk fel a lehetséges krízisekre, és most építsük ki azokat a védelmi intézkedéseket, amelyekkel csökkenthetők a kockázatok – sorolta az ismérveket Pflanzner Sándor. „Azt kell itt felismerni, hogy egy esetleges üzemzavar, leállás vagy hiba sokkal több kárt tud okozni, mint amennyit a kockázatkezelésre el kell költeni”, tette hozzá.

  3. Hol tart a megoldás? Végül a megoldás harmadik eleme azt mutatja meg, hogy a különféle projektek hol tartanak. „Mondtátok, hogy gond van, biztosítottuk a pénzt, most mutassátok meg, hogy hol tartotok” – ezt kérheti a menedzsment, és a GRC rendszerek erre is választ tudnak adni.


Folyamatok és hatások

A legmodernebb elveket követő kockázat alapú működés megvalósításához szükséges, hogy az igazgatási rendszerek egyenszilárdságúak legyenek a már működő vállalatirányítási rendszerekkel. „Bármelyik is gyengébb a kettő közül, a vállalat csak annyira lehet hatékony, amennyire azt a gyengébb láncszem lehetővé teszi”, figyelmeztetett Pflanzner Sándor.

Sokféleképpen megvalósítható egy igazgatási rendszer, de vannak bizonyos funkciók, amelyeket nem érdemes kihagyni. Mártha Csenge, az ADAPTO technológiai vezetője saját megoldásukon keresztül mutatta be, mire képes egy modern GRC szoftver.

Mindenképpen fontos elem az igazgatás (governance). Ebben a modulban rögzítheti egy vállalat, hogy milyen kötelező és önként vállalt előírásoknak (jogszabályok, iparági szabványok, vállalati előírások) kíván megfelelni és elvégezhetik a magas szintű SWOT- vagy PESTEL-elemzést. A stratégiai célkitűzéseket a könnyebb áttekinthetőség kedvéért stratégiatérképen ábrázolják. Lényeges a kulcs teljesítmény mutatók (KPI-k) meghatározása is, hogy az előrehaladást mérni lehessen („Hogy mennek nálunk a dolgok?”)

Ha a célok megvannak, ismerni kell a kiindulási pontot is: erre szolgál a hatáselemzés. Ennek részeként felrajzolják a kulcsfontosságú folyamatokat és hozzájuk rendelik a működtetésükhöz nélkülözhetetlen (emberi, logikai, fizikai)  erőforrásokat (beleértve az adatvagyont is). A már feltárt folyamatokon elvégezhető a hatáselemzés, vagyis meghatározható, hogy az egyes folyamatokban bekövetkezett zavarok, kiesések miként érintik a vállalat működését, eredményét.

A folyamatok és hatások ismeretében már viszonylag egyszerű feladat az üzletmenet-folytonosság menedzsmentje. „Csupán meg kell válaszolni azt a kérdést, hogy ha zavar támad a folyamatban, akkor mit csináljunk, milyen intézkedéseket foganatosítsunk. Ezzel csak néhány órával lesz hosszabb egy folyamat felmérése, viszont így a folyamatleírás mellett egyből megszületik az üzletmenet-folytonossági terv váza is. 30 folyamatnál ez plusz 2-3 hét – ennyi idő alatt senki nem csinál meg egy önálló BCP-projektet”, érzékeltette az előnyöket Pflanzner Sándor.


Összehasonlítható kockázatok

A kockázat alapú szemlélet természetesen nem lehet teljes a kockázatok elemzése nélkül. Egy vállalatra számtalan különféle kockázat leselkedik: emberi, szállítói, információbiztonsági, környezeti, folyamat-, létesítménykockázatok, és ezekkel az egyes osztályok többnyire foglalkoznak is. A legtöbb esetben azonban nincs közös, egységes kockázati keretrendszer és kockázati mátrix sem, így a vállalatvezetés információ híján nem tudja eldönteni, hogy egy kulcsbeszállító elvesztése vagy egy zsarolóvírus fertőzése jelenti-e a nagyobb kockázatot.

„Ebben a helyzetben pedig általában nem a tényleges veszélyek alapján osztják el az erőforrásokat, hanem az kapja a pénzt, aki a leghangosabban érvel a vezetői értekezleteken”, mondja ennek veszélyéről Mártha Csenge. Egy jó GRC-rendszerben nemcsak felmérhetők a kockázatok, hanem melléjük rendelhetők a kockázatkezelési tervek és a becsült költségek is.


Végül a GRC-rendszerek két következő nagyobb modulja a megfelelés (compliance), illetve a feladatok, projektek nyomon követése. Előbbibe minden fontos kötelezettséget, előírást, best practice-t részletesen fel lehet venni, az egyes előírásokhoz pedig folyamatokat, szabályzatokat, kockázatkezelési akciókat, egyéb feladatokat lehet rendelni. A projektek nyomon követéséből pedig a már említett „Hol tart a megoldás?” kérdésre lehet választ kapni.


Nagyobb a szükség, mint az igény

Magyarországon egyelőre még nem jelentős a GRC-megoldások iránti kereslet – tette hozzá a fentiekhez Vincze Miklós, aki a PwC-nél a GRC-tanácsadási projekteket vezeti. „Nagyobb szükség van ezekre a rendszerekre, mint amekkora az igény”, fogalmazott. Ennek egyik oka, hogy ha egy vállalat valamilyen szinten már kezeli a kockázatait, azt hiszi, készen is van. Így hamis biztonságérzetbe ringatja magát, és nem törekszik az igazgatási funkciók integrálására. Pedig ezeknek a funkcióknak akár kisebb cégeknél is lenne helye.

Az ADAPTO már két, tíz fő alatti cégnél is bevezette a rendszert. Az egyiknél a PSD2 előírásainak való megfelelés volt a fő hajtóerő, a másik pedig a folyamatait szerette volna tökéletesen rendben tudni, ugyanis harmadik országba szervezi ki termékei gyártását.


Az esemény írásos anyagát az ITbusiness készítette.

Forrás: ITB