要成功實行GRC(治理、風險管理、和合規性)的基本作為與不作為

644222_466882513367683_287564438_n

 

治理、風險及合規(GRC)工具軟體正不斷地擴大使用範圍,不單單應用在金融機構範圍裡,同時也被運用在能源、醫療保健、以及其他非金融產業中,因此,許多組織都正在規劃或執行「GRC實行專案」,如果你是他們其中一家公司,這裡有一些基本作為和不作為的地方,得先讓你在GRC專案實施過程當中先行考慮它的基本定位:

 

要在前面設定明確的目標

我們會因為許多可能的原因,希望去實行GRC制度,因此,利用科技技術來確定和記錄您想實現具體目標是相當重要的,內部稽核部門傳統上採用人工、勞動密集的作業流程、以及公司往往依據他們在GRC上,只是以任何形式的自動化做為一個「改善」假象的投資;然而,GRC具有實現比目前流程自動化單純多的潛在機會,所以重點是要真正想透過這個發起行動的預期成果,並清楚地闡明所有的利益相關者,而明確的目標是在整個GRC實行過程中可以指導決策,並協助化解變革阻力。

不要過度設計程序

GRC平台,如Pentana eGRC 提供給我們重要的工作流程管理能力,促使企業能夠建置營運作業程序,可以專門特別調整系統功能與他們的營運作業流程一致,它雖然是一項重要的優點,但如何避免掉入過度設計程序的陷阱是相對地同樣重要,過多的工作流程自動化會限制日常運作的靈活度,並限定使用者能夠在特定情況下進行人為判斷,過多的工作流程也可能使系統過於複雜,進而導致對超級用戶(系統管理者)過度依賴,這也會讓每日負責維護複雜技術配置的系統管理員明顯的負擔。

要讓最終使用者參與整個計劃實施過程

核心執行小組成員通常僅限於組長和內部稽核主管,而稽核人員和組長仍持續關切稽核相關活動的進行,然而,在專案實行過程中不包括那些選定負責專案的稽核人員,這是一項錯誤,稽核人員與他們的組長基本上是GRC系統最重要的使用者,他們對相關作業細部的接觸,可以提供獨特有價值的觀察,絶對不能在整個專案執行過程中被忽略掉。

要將你的需求記錄在前面

任何GRC實行的首要目標是將營運需求轉化為技術需求規格,如果這些需求沒有事先被制定規格與確認,這會構成在整個專案實施過程中的一個移動性目標,造成各方面的作業效率低落和產生挫折,此外,將需求寫在紙上加上嚴謹的思維過程,是取得利益相關者要求應該在什麼之間的共識是有用的,所以,不要等到你的供應商到了現場,開始定義你的需求 ​​- 他們必須在實施專案一個非常早期的階段清楚地定義和記錄你們的需求。

要取得核心資料的權力

你的「核心資料」(組織結構、流程模型等)構成GRC解決方案的基礎,必須以最大限度對所有用戶群提高應用程序的的用處做出正確定義,很多時候,對於核心資料設置的決定是由在事先初步實現使用群組所做的,他們沒有太多考量到選擇採用該工具以後其他群體的需求,例如,內部稽核可能會為他們自己的目的實行GRC,而沒有考慮到潛在附加群體的需求,又如財務控制管理、合規性和風險管理, GRC的最大優點得以實現,當所有確認性群組利用系統內相同的核心資料和應該由初始實施者所做的努力來進行定義核心數據結構,它至少在某種程度上與其他資料相容。

要投入系統建置

手動、內部參與系統建置工作是在對GRC技術構成一個寶貴學習機會,但許多公司都將所有的技術開發和建置工作委託給他們的供應商,包括系統管理員和其他超級用戶在系統構建活動(從供應商相對的支持)提供了這些使用者更深入的知識和對系統結構與複雜程度的認識,讓他們做好準備支持最終使用者上線。

要擁有自己的專案計劃

對於開始實行,供應商通常會提供他們客戶初步的專案計畫,條列主要任務及從技術導入的角度來看交付,那麼供應商和客戶共同作業,產出一個全面性的計劃,其中包括分配活動和交付項目給內外部利益相關者,對於執行專案計劃的最終責任在有關企業業主和管理者身上,這是他們正確執行該專案的內部責任,因此,一旦它已經被敲定,他們必須承擔該計劃的全部所有權責,這似乎是很明顯的一點,但是企業往往會在專案執行過程中,與他們的GRC軟體供應商密切配合,有時候會導致專案計劃的權責混亂,順著這些路線,內部專案管理人員在現有基礎上,追踪和管理計劃是至關重要的角色,因此,分配這些類型的資源給初步行動者是相當重要的,以確保內部和外部利益相關者保持專注及維持事情進行。

不要吝嗇測試

一般人普遍認為「測試」是在任何系統導入關鍵的一步,但在某些情況下,使用者驗收測試幾乎都不太夠,正如設置在專案的後期階段和預算花費殆儘時刻,UAT有時最終被看起來更像是一個悠閒地步行通過,而不是進行較詳細的測試程序,它通常會導致上線後持續不斷的問題,一個適當的測試方法應包括詳細的測試程序,重新制定可能發生在上線後所有可能的情境,測試步驟應包括端到端的過程,應該由使用者依照在系統中所建置相對應的角色和安全設定執行每個步驟,最後,測試模板應該可以將每個步驟的執行結果和任何關聯的問題記錄下來。

要獲得管理階層的認同

對於一個成功GRC發啟最重要的因素之一,是經理和主管在系統中積極地參與,管理者必須以身作則;他們必須展現自行登錄及潛在的隨訪系統中優秀運用的使用者每天在系統工具上工作的重要性,使用GRC技術去避免一定的缺陷,要以追溯方式來使用系統,即用戶在工具的完整操作和更新文件是在稽核工作已經結束後,而不是實地操作,(因此缺少工作流程驅動功能點),事實上,對GRC最終使用者的最大發啟挑戰之一,是從他們的習慣性的共享磁碟和PC為中心的工作環境搬移,直接在GRC系統中作業,管理在啟動這些範式轉移作業,要發揮很大的作用。

不要低估改變
變革的阻力對任何系統的實施可能是一個主要障礙,特別是當它涉及到GRC因為使用者習慣了一個完全人工作業而被導引進自動化的程度,這似乎就它們第一眼看起來很嚴格,且複雜,此外,最終使用者通常都是在指出所有與新技術相關不便和痛處的專家,GRC專案導入團隊必須想到這個阻力和計劃去處理它,並不斷重申該技術的預期效益,以及從長遠角度來看,如何使大家的生活更加輕鬆,適當地強調培訓,有助於減輕這部份的衝擊。

jjhttp://blog.thomsonreuters.com/index.php/dos-and-donts-for-a-successful-grc-implementation/

Ideagen_Pentana

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員