Kluczowym elementem bezpieczeństwa wewnętrznego są metody zapewnienia zgodności bankowych operacji i procedur z ładem korporacyjnym (ang. Governance), a bezpieczeństwo prawne dotyczy zgodności postępowania z wymogami ustawodawcy (Compliance). Wszystkie powyższe elementy wspólnie składają się na zjawisko zwane Governance, Risk i Compliance (GRC).
Oracle GRC
Informatyczne systemy klasy GRC obsługują m.in. procesy zarządzania ryzykiem operacyjnym, zgodności z przepisami finansowymi, nadzoru nad pracownikami oraz nadzoru informatycznego. Przykładem takiej aplikacji jest pakiet Oracle GRC, który umożliwia przeprowadzanie oceny ryzyka biznesowego, wprowadzenie prewencyjnych i reaktywnych mechanizmów kontrolnych, ustanowienie procedur w zakresie pobierania próbek danych i ich analizy, a także wdrożenie certyfikatów organizacyjnych. Poza obsługą ogólnych procesów biznesowych, platforma Oracle GRC zapewnia funkcje dostosowane do potrzeb danej branży, między innymi zgodność z przepisami Basel II dla usług finansowych.
Jak działają prewencyjne mechanizmy kontrolne?
Przykładem niech będą kontrolki realizujące tzw. SOD (Segregation of Duties) czyli kombinacje operacji, które - pomimo iż każda z nich z osobna jest dozwolona - nie mogą być wykonywane razem. Wiele z nich zdefiniowano w standardach takich jak Sarbanes-Oxley, a dotyczą takich prostych reguł biznesowych jak np. ta, że osoba rozpatrująca wniosek kredytowy nie może być osobą, która ten wniosek kontroluje, albo że nie jest dopuszczalne, aby osoba wnioskująca o zakup sama go sobie zatwierdzała. Podobnie jak jest to w firmach komercyjnych, także w banku osoba obsługująca daną firmę jako dostawcę w systemie gospodarki własnej nie powinna obsługiwać tej firmy w innych rolach (np. jako odbiorcy).
GRC można rozumieć jako olbrzymi filtr rozpostarty nad wieloma (docelowo: wszystkimi) systemami banku, wychwytujący naruszenia polityk wewnętrznych oraz uregulowań prawnych. W momencie gdy filtr ten rozpozna, że zatwierdzenie danej operacji naruszy którąś z reguł SOD, po prostu nie dopuszcza do wykonania tej operacji. Rzecz jasna oprócz kontroli prewencyjnej możliwa jest też kontrola reaktywna post factum, pokazująca do jakich nieprawidłowości doszło w badanym okresie.
Korzyści z GRC
Obecnie wiele przedsiębiorstw i instytucji rozważa wdrożenie rozwiązań GRC w celu zastąpienia pracochłonnych (i kosztownych) wykonywanych ręcznie działań w zakresie zapewniania zgodności z przepisami przez procesy zautomatyzowane. Dzięki wdrożeniu w firmie systemów stale monitorujących wszystkie mechanizmy kontroli bieżącej działalności biznesowej można uprościć kontrolę wewnętrzną i zewnętrzną, elastycznie wprowadzać zmiany w regułach i procedurach oraz opracować solidny podstawowy zestaw kluczowych mechanizmów kontroli.
Platforma Oracle GRC oferuje wszystkie te możliwości oraz wiele innych.
Bardzo ciekawy artykuł, porusza kwestie o których rzadko się słyszy.
OdpowiedzUsuń