Ïèòàííÿìè âïðîâàäæåííÿ GRCíà ð³âí³ îðãàí³çàö³é çàéìàëèñÿ òàê³ â³ò÷èçíÿí³ íàóêîâö³ ÿê Î. Ñàâ÷èí, Â. ôîí Ðîçåí, Â. ×àïëèãà, Þ. Ôåò³ñîâà, Â. Øóòåíêî òà ³íø³, à òàêîæ ³íîçåìí³ íàóêîâö³ òà äîñë³äíèêè: K. Spanaki, N. Racz, E. Weippl, A. Seufert, C. Hardy, J. Leonard, V. Nissen, W. Marekfia òà ³íø³.
Óïðàâë³ííÿ ïðîöåñàìè òà âèêîíàííÿ âíóòð³øíüîáàíê³âñüêèõ ïðàâèë ³ ïîë³òèê, äîòðèìàííÿ íîðìàòèâíèõ âèìîã çàêîí³â òà ðåãóëÿòèâíèõ âèìîã ÍÁÓ, ðèçèê-ìåíåäæìåíò òà ì³ò³ãàö³ÿ ïîòåíö³éíèõ ðèçèê³â, òîùî. Âñ³ ö³ ïîíÿòòÿ øèðîêî ðîçïîâñþäæåí³ â áàíê³âñüêîìó ñåêòîð³ Óêðà¿íè. Êîæíèé äåðæàâíèé òà êîìåðö³éíèé áàíê íà ð³âí³ îðãàí³çàö³¿ ñòâîðèâ âåëèêó ê³ëüê³ñòü âíóòð³øí³õ ïîë³òèê òà ïðîöåäóð, ðåºñòð³â ðèçèê³â, êàðò ïðîöåñ³â, êîíòðîëüíå ñåðåäîâèùå, âïðîâàäèâ ð³çí³ ³íñòðóìåíòè ì³ò³ãàö³¿ ðèçèê³â, çàïðîâàäèâ íàéêðàù³ ïðàêòèêè êîðïîðàòèâíîãî óïðàâë³ííÿ, òîùî. ϳä âñ³ ö³ ïðîöåñè áàíêè ñòâîðèëè âåëèêó ê³ëüê³ñòü ñòðóêòóðíèõ ï³äðîçä³ë³â, àäàïòóâàëè îðãàí³çàö³éíó ñòðóêòóðó, ñòâîðèëè êîì³òåòè ó ïðàâë³íí³ òà íàãëÿäîâ³é ðàä³, çðîáèëè â³äïîâ³äíèé ôóíêö³îíàëüíèé ðîçïîä³ë çà ôóíêö³ÿìè.
Íà íàøó äóìêó âñ³ ö³ ïðîöåñè âàæëèâ³ ³ ïîòðåáóþòü íàëåæíîãî ð³âíÿ óïðàâë³ííÿ ³ ðåãóëÿö³¿. Òèì íå ìåíøå, ïîáóäîâà òàêî¿ åêîñèñòåìè ïîòðåáóº çíà÷íèõ ðåñóðñ³â ç áîêó îðãàí³çàö³¿. ² çàäëÿ çàáåçïå÷åííÿ íàëåæíîãî ð³âíÿ ôóíêö³îíóâàííÿ òà ïðèíöèïó åôåêòèâíîñò³ òàêà åêîñèñòåìà ïîòðåáóº ïåâíî¿ êîìïëåêñíîñò³ òà ïîñë³äîâíîãî çâàæåíîãî óïðàâë³ííÿ.  ïîòî÷íèõ óìîâàõ òàêèé âåëèêèé, êîìïëåêñíèé òà ñêëàäíèé ìåõàí³çì ïîòðåáóº öåíòðàë³çàö³¿, çàäëÿ ñèíõðîí³çàö³¿ ³ çàáåçïå÷åííÿ ìàêñèìàëüíî¿ ðåçóëüòàòèâíîñò³ âñ³õ ôóíêö³é òà ïðîöåñ³â.
Íà íàøó äóìêó òàêèì ð³øåííÿì ïîâèííà ñòàòè ñàìå öåíòðàë³çàö³ÿ ôóíêö³é íà áàç³ GRC ïðîãðàìíîãî çàáåçïå÷åííÿ. Ñêîðî÷åííÿ GRC îçíà÷ຠ"Governance, Risk, and Compliance", òîáòî óïðàâë³ííÿ, ðèçèê (à ñàìå ïðîöåñ óïðàâë³ííÿ ðèçèêàìè) òà êîìïëàºíñ[1]. ϳä óïðàâë³ííÿì ìè ðîçó쳺ìî ïåâíèé ïóë ïðîöåñ³â, ðåñóðñ³â, ïîë³òèê ³ ïðàâèë, ÿê³ ðåãóëþþòü ä³ÿëüí³ñòü áàíêó çàäëÿ äîñÿãíåííÿ éîãî á³çíåñ-ö³ëåé. ϳä óïðàâë³ííÿì ðèçèêàìè ìè ðîçó쳺ìî êëàñè÷íó ôóíêö³þ, ùî âêëþ÷ຠâ ñåáå ïðîãðàìó óïðàâë³ííÿ ðèçèêàìè, ðåºñòð/ìàòðèöþ ðèçèê³â òà ³íñòðóìåíòè ùîäî ¿õ ì³ò³ãàö³¿, â³äïîâ³äí³ ïîë³òèêè òà ïðîöåäóðè, òîùî. Âñå öå ïîáóäîâàíå íà ðèçèê-îð³ºíòîâíîìó ï³äõîä³. ϳä êîìïëàºíñ òà åôåêòèâíèì éîãî óïðàâë³ííÿì ìè ðîçó쳺ìî íàá³ð ïîë³òèê, ïðîöåäóð òà ôóíêö³é, ùî çàáåçïå÷óþòü äîòðèìàííÿ çàêîí³â, ïðàâèë òà ðåãóëÿòîðíèõ âèìîã, à òàêîæ âïðîâàäæåííÿ êðàùèõ ì³æíàðîäíèõ ïðàêòèê íà ð³âí³ áàíêó.
Çàãàëîì ôðåéìâîðê GRC ó íîðìàòèâíèõ äîêóìåíòàõ âïåðøå â ñâ³ò³ ç’ÿâëÿºòüñÿ ó Çàêîí³ Ñàðáåéíçà-Îêñë³ (Sarbanes-Oxley Act, SOX), à òàêîæ ó Áàçåë³ II (BaselII) [2], [3]. Àëå öå ñàìå ôðåéìâîðê, òîáòî ïåâíèé âèïèñàíèé íîðìàòèâíèé äîêóìåíò ç êëþ÷îâèìè ïðàâèëàìè òà ïðèíöèïàìè, ÿê³ ïîòðåáóâàòèìóòü àäàïòàö³¿, àïðîáàö³¿ òà ïðàêòè÷íîãî âïðîâàäæåííÿ íà ð³âí³ áàíêó.
Ñàìå â íàø³é êîíöåïö³¿ öåíòðàë³çàö³¿ ìè ïðîïîíóºìî âïðîâàäæåííÿ íà ð³âí³ âñ³õ ï³äðîçä³ë³â áàíêó ïðîãðàìíîãî çàáåçïå÷åííÿ (ïàêåòíîãî ÷è ñàìîïèñíîãî), ùî çìîæå îá’ºäíàòè â ºäèíó ñèñòåìó âñ³ ïðîöåñè, ùî âêëþ÷àþòü â ñåáå óïðàâë³ííÿ, ðèçèêè òà êîìïëàºíñ.
Ïåðåë³ê êëþ÷îâèõ ôóíêö³é ³ êîìïîíåíò³â ìîæå â³äð³çíÿòèñÿ â³ä áàíêó äî áàíêó, àëå ìîæåìî âèä³ëèòè òîï-15, ÿê³ íà íàøó äóìêó, ìàþòü áóòè îáîâ’ÿçêîâî âêëþ÷åí³:
1) Óïðàâë³ííÿ ïîë³òèêàìè, ïðîöåñàìè òà ïðîöåäóðàìè;
2) Êîìïëàºíñ, óïðàâë³ííÿ ñòàíäàðòàìè òà íàéêðàùèìè ì³æíàðîäíèìè ïðàêòèêàìè;
3) Óïðàâë³ííÿ àóäèòîì (âíóòð³øí³ì òà çîâí³øí³ì);
4) Ïðîöåñ âçàºìî䳿 ïðàâë³ííÿ òà éîãî êîì³òåò³â;
5) Óïðàâë³ííÿ áåçïåðåðâí³ñòþ á³çíåñó;
6) Êîíòðîëüíå ñåðåäîâèùå òà óïðàâë³ííÿ âíóòð³øí³ì êîíòðîëåì;
7) Óïðàâë³ííÿ îïåðàö³éíèìè ðèçèêàìè (â ò.÷. ²Ò ðèçèêè);
8) Óïðàâë³ííÿ ô³íàíñîâèìè ðèçèêàìè;
9) Åòèêà òà êîðïîðàòèâíå ñåðåäîâèùå;
10) Þðèäè÷í³ ðèçèêè òà ïîòåíö³éí³ çáèòêè â³ä ñóäîâèõ ñïðàâ;
11) Çàáåçïå÷åííÿ ÿêîñò³ áàíê³âñüêèõ ïîñëóã;
12) Óïðàâë³ííÿ ðèçèêàìè ïîâ’ÿçàíèìè ç êîíòðàãåíòàìè;
13) Óïðàâë³ííÿ çâåðíåííÿìè òà íàëåæíå ðåàãóâàííÿ;
14) Óïðàâë³ííÿ âðàçëèâîñòÿìè òà ³íöèäåíòàìè;
15) Óïðàâë³ííÿ êîíô³ãóðàö³ÿìè[4].
Ãîëîâíà ïåðåâàãà öåíòðàë³çàö³¿ â óïðàâë³íí³ ïðîöåñàìè öå îïåðàòèâí³ñòü â ðåàãóâàíí³ òà ïðèéíÿòò³ ð³øåíü, à îòæå ìîæëèâ³ñòü øâèäêî ðåàãóâàòè íà âèêëèêè òà ïðîáëåìè, ùî íàïðÿìó âïëèâຠíà êîíêóðåíòîñïðîìîæí³ñòü áàíêó íà ðèíêó[5].
Íàâåäåìî óìîâíèé ïðèêëàä. Ó ê볺íòà-ô³çè÷íî¿ îñîáè áóëî ñïèñàíî ç êàðòêè éîãî âëàñí³ êîøòè ÷åðåç âðàçëèâ³ñòü ó ïðîãðàìíîìó çàñòîñóíêó áàíêó. Çà óìîâè âïðîâàäæåíî¿ GRC ñèñòåìè òà â³äïîâ³äíîãî ïðîãðàìíîãî êîìïëåêñó íà âñ³õ ð³âíÿõ ïðîöåäóðà ðåàãóâàííÿ ìîãëà áóòè ïîáóäîâàíà íàñòóïíèì ÷èíîì â ðàìêàõ îäíîãî îïåðàö³éíîãî äíÿ: 1) Çâåðíåííÿ ïðèéíÿòî êîë-öåíòðîì áàíêó, çàðåºñòðîâàíî, ïðèñâîºíî ð³âåíü ðèçèêó òà òåðì³íîâ³ñòü ðîçãëÿäó; 2) Äåïàðòàìåíò ðèçèê-ìåíåäæìåíòó ðåºñòðóº ïîä³þ â ðåºñòð³ ðèçèê³â; 3) ²íôîðìàö³éíà áåçïåêà ðåºñòðóº ³íöèäåíò, ïîâ’ÿçàíèé ³ç çàñòîñóíêîì áàíêó; 4) ²Ò äåïàðòàìåíò îòðèìóº çàâäàííÿ íà óñóíåííÿ âðàçëèâîñò³; 5) Ïðîåêòíèé îô³ñ âíîñèòü çì³íè äî äîêóìåíòàö³¿ çàñòîñóíêó òà ðåºñòðó êîíô³ãóðàö³é; 6) Þðèäè÷íèé äåïàðòàìåíò îö³íþº ðèçèêè çà ³íöèäåíòîì òà ïîäຠïðîïîçèö³¿ ïðàâë³ííþ ùîäî ìîæëèâî¿ êîìïåíñàö³¿ ê볺íòó; 7) Âíóòð³øí³é êîíòðîëü ñòâîðþº çàäà÷ó íà âïðîâàäæåííÿ ITGCêîíòðîë³â äëÿ çàñòîñóíêó áàíêó; 8) Íà ï³äñòàâ³ çàïèñ³â ðåºñòð ïåðåâ³ðîê âíóòð³øíüîãî àóäèòó (audituniverse) êîðèãóºòüñÿ àâòîìàòè÷íî ³ ïð³îðèòåòí³ñòü ïåðåâ³ðêè çàñòîñóíêó áàíêó çðîñòàº; 9) Ïðàâë³ííÿ îòðèìóº äàí³ òà âêëþ÷ຠâ³äïîâ³äíå ïèòàííÿ äî ïîðÿäêó äåííîãî íà ðîçãëÿä íà çàñ³äàíí³ êîì³òåòó ç ðèçèê³â.
Îòæå, ìîæåìî çðîáèòè âèñíîâîê, ùî âïðîâàäæåííÿ êîìïëåêñíîãî ïðîãðàìíîãî GRC ð³øåííÿ íà ð³âí³ áàíêó ìîæå ñòàòè ïîòóæíèì ³íñòðóìåíòîì äëÿ ï³äâèùåííÿ éîãî ñòàá³ëüíîñò³, åôåêòèâíîñò³ òà êîíêóðåíòîñïðîìîæíîñò³.
Ñïèñîê ë³òåðàòóðè:
1. Eccles, R. G., & Krzus, M. P. (2010). "One report: Integrated reporting for a sustainable strategy." John Wiley & Sons.
2. Basel Committee on Banking Supervision. (2006). International convergence of capital measurement and capital standards: a revised framework. URL: https://www.bis.org/publ/bcbs128.htm
3. Sarbanes-Oxley Act:U.S. Congress. (2002). Sarbanes-Oxley Act of 2002. URL: https://www.sec.gov/about/laws/soa2002.pdf
4. Apeh, J. A., Hassan, A. O., Oyewole, O. O., Fakeyede, O. G., Okeleke, P. A., & Adaramodu, O. R. (2023). "GRC Strategies in Modern Cloud Infrastructures: A Review of Compliance Challenges." Computer Science & IT Research Journal, 4(2), 111-125. URL: https://doi.org/10.51594/csitrj.v4i2.609
5. Deloitte. (2023). "Governance, Risk and Compliance Software: Driving Value in a Dynamic Regulatory Environment." URL: https://www2.deloitte.com/content/dam/Deloitte/lu/Documents/risk/governance-risk-compliance-software_DCA.pdf
__________________
Íàóêîâèé êåð³âíèê: Çàðóöüêà Îëåíà Ïàâë³âíà, äîêòîð åêîíîì³÷íèõ íàóê, ïðîôåñîð, Óí³âåðñèòåò ìèòíî¿ ñïðàâè òà ô³íàíñ³â
|