SAP je prvo poduzeće koje je isporučilo sveobuhvatan GRC1 okvir i
portfelj rješenja.
SAP rješenja za GRC pomažu poduzećima da
usvoje jedinstveni pristup i udalje se od jednokratnih, projektno orijentiranih
i fragmentiranih pristupa GRC-u.
Piše: Mario Semialjac, mario.semialjac@sap.com
Slika I – Jedinstveni pristup GRC-u
Sveobuhvatan GRC okvir omogućava
poduzećima da standardiziraju vlastite GRC napore diljem poduzeća. Istodobno su
u prilici koristiti inovativna rješenja SAP-a i njegovih partnera, rješenja koja
su izgrađena na tom istom okviru à što dovodi do smanjenja troškova zahvaljujući
ugrađivanju GRC-a u njihove glavne procese, te postizanja boljih ukupnih
performansi.
SAP i partneri pružaju bogatu paletu servisa i rješenja za
adresiranje regionalnih ili mikro industrijskih GRC potreba globalnih poduzeća.
A ovaj okvir privlači i rastući eko sustav partnera koji ga podržavaju.
Kroz
GRC partnerski ekosustav u zadanom okviru mogu se isporučiti rješenja koja su
jeftinija od bilo kojeg koje može ponuditi pojedinačni dobavljač. Partneri
doprinose i vlastitim snagama – bilo da su servisni i savjetodavni partneri,
pružatelji tehnoloških rješenja kao što su ISV-ovi (Independent Software Vendors
– neovisni dobavljači softvera) ili pak eksperti u određenoj domeni ili za
određeni sadržaj.
Na kraju želimo prikazati što se može očekivati u svezi s mogućnostima
automatskog identificiranja rizika temeljem SAP GRC Risk Management rješenja. Za
početak slika koja će nam pomoći objasniti ova nastojanja.

Slika J – Kamo dalje – put prema automatskom praćenju rizika
Kako to ostvariti?
1. KRI-ovi (ključni indikatori
rizika) se hrane (primaju informacije) od operativnih sustava koji su podloga i
izvor informacija. Koji su neki primjeri KRI-ova?
OSHA (Occupational
Safety and Health Administration – zaštita na radu i zdravstvena administracija)
zahtjeva izvještavanje o nezgodama na radu, tako da relevantni KRI može biti
Zabilježeni incidenti vezani uz sigurnost ≥ x po mjesecu.
Drugi
primjer: Povrati proizvoda ≥ 10% od 3-mjesečnog prosjeka
2.
Jednom kad je prag KRI-a dosegnut, odgovorna osoba u SAP GRC Risk Management
aplikaciji obaviještena je putem operativne aplikacije. Ovo je “push” mehanizam,
gdje je aplikacija primatelj SAP GRC Risk Management, a koristi
generički okvir Web Servisa.
Neka od sučelja koja su dostupna u SAP GRC
Risk Management 2.0 su:
Kreiraj rizik – dokumentira rizik,
uključujući vrijednosne analize, tj. vjerojatnost i udarni učinak (informacija
se gura – push – samo prema Risk Managementu)
Očitaj rizik –
prikazuje dokumentaciju o riziku, uključujući vrijednosti iz analize te odgovore
na rizik (aplikacija pozivatelj šalje identifikator rizika)
Ažuriraj
rizik – ažurira dokumentaciju o riziku, uključujući vrijednosti iz analize
(druge aplikacije šalju i ID rizika kao i druge informacije)
3. Ove
obavijesne uzbune (alerts) mogu biti prihvaćene, a u tom slučaju se mora
poduzeti akcija, ili ih se može odbiti – a ovo je važno naglasiti budući risk
manageri i poslovni manageri zadržavaju odgovornost za upravljanje
rizicima.
Koristi uvođenja jedinstvenog pristupa upravljanja rizicima i GRC
izazovima
I koje se poslovne koristi mogu ostvariti primjenom
opisanog koncepta i pripadajućih alata, možemo se zapitati za kraj? Pa neke
poslovne koristi (koje uključuju današnju i planiranu buduću funkcionalnost)
su:
- Proaktivno upravljanje rizicima uz nadziranje u stvarnom vremenu
- Ugradnja upravljanja rizicima u već postojeće procese
- Smanjivanje ponovnog unosa istih podataka
Danas je spomenuta mogućnost automatiziranog rizika dostupna uz integracijske
aktivnosti koje su specifične za pojedinog korisnika. Te aktivnosti se postižu
kroz usluge koje nude GRC partneri. Ipak, važno je istaći da je planirana
standardizacija integracijskih scenarija kako bi se smanjio ukupni trošak
vlasništva (TCO) korisnika.
Unaprijed pripremljeni (Out-of-the-box) integracijski scenariji te KRI-ovi
koji su planirani za slijedeće izdanje smanjit će implementacijske aktivnosti
vezane uz integraciju za korisnike
Da zaključimo: Zašto odabrati SAP rješenja za upravljanje rizicima? SAP
na jedinstven način nudi dvije ključne stvari:
1) Automatsku
identifikaciju i nadziranje rizika
Umjesto manualnog prikupljanja
informacija o rizicima kroz ankete, a krajnji rezultat je često brzo
zastarijevanje skupljenih podataka, ugradite identifikaciju rizika u vlastite
poslovne procese i sustave u najvećoj mogućoj mjeri.
2) Pružanje
informacija o rizicima u kontekstu strategije poduzeća i operativne izvedbe
(performansi)
Da bi se doista izgradila kultura upravljanja rizicima
u poduzećima nužno je uzeti u obzir razmišljanja o rizicima od samog početka,
još u procesu razvoja strategije, te ga koristiti kroz aktivnosti planiranja
poduzeća i poslovanja koje su u tijeku te za upravljanje operativnom izvedbom
(performansama) kroz čitavu godinu. Pružanje informacija o rizicima u
kontekstu strategije poduzeća i poslovnih jedinica te u svezi s performansama
kritična je aktivnost za promicanje i usvajanje uspješnog programa za
upravljanje rizicima.
1 GRC – Governance, Risk and Compliance (Nadzor,
upravljanje rizicima i zadovoljenje regulative)