Автоматизация GRC: как выбрать правильную стратегию

Обновление и улучшение ИТ-решений — это всегда сложный процесс, в котором участвует множество департаментов компании. На сценарий автоматизации GRC-процессов влияют различные факторы. О них на XVI Национальной конференции Института внутренних аудиторов "Внутренний аудит в России" рассказала Варвара Солодилова, руководитель продуктового развития ОАЗИС, Группа "Иннотех".

  • Определение задач, решение которых необходимо автоматизировать

При выборе инструмента важно отталкиваться от потребностей в автоматизации различных процессов. Это могут быть процессы, связанные с управлением рисками, внутренним контролем и аудитом, проверкой на соответствие требованиям, обеспечением непрерывности работы. Все эти процессы взаимосвязаны — компаниям удобно иметь единую платформу, которая позволяет решать сразу несколько задач и иметь единую точку входа. При этом некоторым организациям необходимо автоматизировать решение лишь одной конкретной задачи, например, отдельные процессы внутреннего аудита. При выборе решения внимание уделяется таким аспектам ПО как функциональность для автоматизации решаемой задачи или решаемых задач, адаптивность, комплексность, потенциал к развитию.

  • Текущий уровень автоматизации

Важно понимать, что у компаний разный уровень автоматизации процессов: одни организации пользуются офисным программным пакетом (Excel, Word, Outlook, др.), у других есть ПО, которое либо требует импортозамещения, либо уже устарело. Некоторые новые, пусть и стандартные, задачи компании могут стать вызовом для такого рода систем, поскольку они требуют более современных технологических решений. Помимо этого, часто в организациях бывает ПО, которое решает лишь часть задач, а в некоторых — средств автоматизации нет в принципе.

Каждому из случаев подойдут различные варианты решений: те организации, в которых автоматизация отсутствует, могут выбрать ПО с готовым набором инструментов, что поможет постепенно выстроить процессы. Такие готовые коробочные решения внедряются за короткий срок и тем самым позволяют достичь позитивного эффекта от внедрения быстро. А для организаций, перед которыми встает вопрос об импортозамещении, важно, чтобы ПО, на которое организация переходит, соответствовало требованиям импортонезависимости, но при этом обеспечивало функционал, который был ранее.

Для любого из уровней автоматизации важна возможность дополнительных настроек. То есть, помимо того, что решение может быть готовым, важно, чтобы в нем была возможность развивать функционал, дополнительно настраивать решения или же кастомизировать его для конкретной организации.

  • Уровень зрелости процессов

При выборе решения для автоматизации, компании отталкиваются от того, насколько у них глубоко проработана методология внутреннего аудита. Важно осознавать, какой уровень автоматизации требуется. В зависимости от этого решения могут отличаться: когда методологии еще нет или она требует поддержки именно со стороны автоматизации, то подойдет коробочное решение с преднастроенными процессами, вокруг которых можно выстраивать и усовершенствовать процессы. Для более продвинутого уровня подойдет решение с гибкими настройками, чтобы можно было адаптировать автоматизацию к зрелым процессам в организации. Для уникальных и специфичных процессов компании могут прибегнуть к собственной или заказной разработке, что, как правило, дороже, сложнее технически и дольше, чем внедрение готовых ПО. В решении Группы "Иннотех" ОАЗИС есть и преднастроенные процессы, и возможность подстроить эти процессы под любую методологию заказчика.

  • Глубина проработки требований

В некоторых компаниях потребность в автоматизации появляется уже на базе готового технического задания, которая проработана и сформирована внутри организации совместно с методологами — требуется только внедрение в четком соответствии с ТЗ. Однако в ряде случаев вендоры сталкиваются с менее глубокой проработкой требований, когда есть только бизнес-требования, то есть сначала требуется проработка технического задания, а следом уже работы по планированию и внедрению. Также бывают ситуации, когда есть лишь верхнеуровневое понимание требований — то есть заказчик знает, что автоматизация требуется, но точного понимания целевого результата нет.

Для каждого из случаев подходят различные конфигурации внедрения. Это может быть просто внедрение коробочного продукта с описанием базового функционала от вендора, или проект подключением консультантов со стороны интеграторов, которые доведут такое решение до того состояния, которое будет удовлетворять текущие требования организации, или же комплексный проект с привлечением методологов и интеграторов.

  • ИТ-ландшафт

При внедрении ПО в ИТ-инфраструктуру организации важно соблюсти все требования информационной безопасности. Большое значение также имеет потребность в дальнейшем масштабировании, во взаимодействии с различными источниками данных, как внутренними, так и внешними. В зависимости от различных требований для решения задач по автоматизации можно рассмотреть как готовые решения, так и собственную или заказную разработку, но важно помнить о том, что это удлиняет процесс интеграции. Платформа Группы "Иннотех" подстраивается под требования заказчика в части ИТ-инфраструктуры, требования информационной безопасности и имеет возможность дорабатывать сервисы платформы до полного соответствия требований заказчика.

  • План развития функционала

Следующим важным фактором являются планы по развитию функционала. Если решается конкретная задача автоматизации отдельной функции и не планируется в дальнейшем подключение новых пользователей, процессов, источников данных, то подойдет решение, которое решает только одну задачу. Однако, как правило, все процессы требуют постоянного развития, обновления, и, соответственно, ПО тоже требует доработок. И для таких случаев лучше всего подходит ПО с возможностью дополнительных настроек. На рынке существуют ПО, которые можно поддерживать силами внутренней команды, не привлекая вендора. Это принципиально важный момент, поскольку дает возможность заказчику не зависеть от команды вендора.

  • Сроки внедрения GRC-решения

В большинстве случаев сроки внедрения ИТ-решений — сжатые: дедлайны в организации по переходу на отечественное ПО, по замещению отдельных средств в связи с ИТ-стратегией организации и пр. При внедрении многие компании практикуют agile-подход, когда есть MVP, а потом на него наращивается дополнительный функционал. Многие организации рассматривают проекты в несколько этапов, когда сначала полностью реализуется один функционал, через какое-то время он дополняется новым. Самым оптимальным для задач внедрения в короткий срок являются коробочные продукты, а когда при этом необходима возможность дальнейшего развития, подходит готовое решение с возможностью развития функционала как силами вендора, так и специалистами внутри организации. В этой части ОАЗИС закрывает и потребность в коробочном продукте, и потребность в ПО готовом к развитию.

  • Потребность в применении ИИ 

Необходимость применения искусственного интеллекта в задачах внутреннего аудита может быть обусловлена потребностью использования решения для какой-то конкретной задачи, где ИИ действительно может быть эффективным. Многие пробуют использовать эти технологии, чтобы усилить существующий функционал, который уже работает, но при помощи ИИ может стать результативнее. Решить вопрос с применением ИИ могут подойти отдельные инструменты, например, генеративные нейросетевые сервисы, которые можно адаптировать для какой-то одной конкретной задачи. Также можно использовать комплексное решение, функционал которого позволяет применять ИИ-алгоритмы. Важный момент — хранение и использование данных, которые применяются в моделях. Перед запуском инструментов ИИ требуется обеспечить качество данных и моделей. Такие проекты требует вовлечения аналитиков, экспертов по данным, методологов и экспертов в части управления рисками и внутреннего аудита.

Внедрение GRC-решения — это процесс, который требует анализа и проработки требований для постановки корректного ТЗ по отношению к продукту. Ряд описанных факторов — это те направления, которые важны для большинства заказчиков, поэтому вендоры создают импортонезависимые решения, которые можно интегрировать в различных конфигурациях для достижения максимальной полезности от автоматизации.

Дата: 126
Назад 17 апреля 2024 Вперед

Автоматизация GRC: как выбрать правильную стратегию

Архив

Пн Вт Ср Чт Пт Сб Вс
25 26 27 28 29 30 31
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 1 2 3 4 5