Quản trị, rủi ro và tuân thủ: định nghĩa và nguồn lực

I- GIẢI THÍCH VỀ QUẢN TRỊ, RỦI RO VÀ TUÂN THỦ

Quản trị, Rủi ro và Tuân thủ (Governance, Risk and Compliance - GRC) là thuật ngữ bao gồm cách tiếp cận của một tổ chức thông qua ba hoạt động sau: quản trị, quản lý rủi ro và tuân thủ. 

OCEG - Nhóm Tuân thủ và Đạo đức Mở (The Open Compliance and Ethics Group) khởi xướng Thuật ngữ GRC vào năm 2002: "là tập hợp tích hợp các năng lực cho phép một tổ chức đạt được Hiệu suất theo Nguyên tắc - khả năng đạt được mục tiêu một cách đáng tin cậy, giải quyết sự không chắc chắn và hành động một cách chính trực" (Governance, Risk, and Compliance - GRC - is the integrated collection of capabilities that enable an organization to reliably achieve objectives, address uncertainty, and act with integrity - to achieve Principled Performance).

Nghiên cứu của OCEG về GRC đã đề cập đến các hoạt động chung "duy trì công ty đi đúng hướng" được thực hiện trong các phòng ban như kiểm toán nội bộ, tuân thủ, rủi ro, pháp lý, tài chính, công nghệ thông tin, nhân sự cũng như các ngành kinh doanh, ban điều hành và hội đồng quản trị.

Ngày nay, mặc dù được diễn giải khác nhau trong các tổ chức khác nhau, GRC thường bao gồm các hoạt động như quản trị doanh nghiệp, quản lý rủi ro doanh nghiệp và tuân thủ pháp luật và quy định hiện hành của doanh nghiệp.

Các tổ chức đạt đến quy mô mà cần có sự kiểm soát phối hợp đối với các hoạt động GRC để hoạt động hiệu quả. Mỗi trong ba lĩnh vực này tạo ra thông tin có giá trị cho hai lĩnh vực còn lại, đồng thời cả ba đều tác động đến cùng một công nghệ, con người, quy trình và thông tin.

- Các yếu tố thúc đẩy Quản trị, Rủi ro và Tuân thủ:

Các tổ chức ngày nay phải giải quyết các vấn đề phức tạp trong môi trường kinh doanh đầy thách thức. Nhiều yếu tố chung mà các doanh nghiệp phải đối mặt trở thành động lực thực sự của GRC và giá trị của nó trong toàn bộ doanh nghiệp:

(i) Các bên liên quan yêu cầu hiệu suất cao cùng với mức độ minh bạch cao; 

(ii) Các quy định và việc thực thi luôn thay đổi và không thể đoán trước; 

(iii) Sự tăng trưởng theo cấp số nhân của các mối quan hệ bên thứ ba và rủi ro là một thách thức trong quản lý;

(iv) Chi phí giải quyết rủi ro và yêu cầu đang vượt khỏi tầm kiểm soát;

(v) Tác động khắc nghiệt (và đáng sợ) khi các mối đe dọa và cơ hội không được xác định.

Thêm vào đó, sự trùng lặp đáng kể các nhiệm vụ phát triển khi quản trị, quản lý rủi ro và tuân thủ được quản lý độc lập. Các hoạt động GRC chồng chéo và trùng lặp tác động tiêu cực đến cả chi phí hoạt động và ma trận GRC. Ví dụ: mỗi dịch vụ nội bộ có thể được nhiều nhóm kiểm toán và đánh giá hàng năm, tạo ra chi phí khổng lồ và kết quả không liên quan. Một cách tiếp cận GRC không liên quan cũng sẽ ngăn cản một tổ chức cung cấp báo cáo điều hành GRC theo thời gian thực.

Giống như một hệ thống giao thông được lập kế hoạch kém, mọi tuyến đường riêng lẻ sẽ hoạt động, nhưng mạng lưới sẽ thiếu các phẩm chất cho phép chúng hoạt động hiệu quả cùng nhau.

Nếu không được tích hợp, nếu được giải quyết theo cách tiếp cận "silo" (tách biệt) truyền thống, hầu hết các tổ chức sẽ phải duy trì số lượng yêu cầu liên quan đến GRC không thể quản lý được do những thay đổi trong công nghệ, tăng cường lưu trữ dữ liệu, toàn cầu hóa thị trường và tăng cường quy định.

Xem thêm: Dịch vụ pháp chế doanh nghiệp thuê ngoài (luật sư doanh nghiệp) của Công ty Luật TNHH Everest

II- CÁC KHÁI NIỆM CƠ BẢN CỦA QUẢN TRỊ, RỦI RO VẦ TUÂN THỦ

Quản trị (Governance) mô tả phương pháp quản lý tổng thể thông qua đó các nhà điều hành cấp cao chỉ đạo và kiểm soát toàn bộ tổ chức, sử dụng kết hợp thông tin quản lý và cơ cấu kiểm soát quản lý phân cấp. Hoạt động quản trị đảm bảo rằng: thông tin quản lý quan trọng đến được với đội ngũ điều hành là đầy đủ, chính xác và kịp thời để cho phép đưa ra quyết định quản lý phù hợp và cung cấp các cơ chế kiểm soát để đảm bảo rằng: các chiến lược, chỉ đạo và hướng dẫn từ ban quản lý được thực hiện một cách có hệ thống và hiệu quả.

Quản trị hiệu quả sử dụng dữ liệu, thông tin và bằng chứng thực tế để phát triển chiến lược và đưa ra quyết định. Các nguồn chính bao gồm: (i) Kiểm toán nội bộ; (ii) Báo cáo đảm bảo; (iii) Kết quả giám sát tuân thủ; (iv) Đánh giá rủi ro. Quản trị mạnh mẽ giúp tổ chức đi đúng hướng và đạt được các mục tiêu đã đề ra.

Rủi ro (Risk) là bất kỳ sự kiện nào có thể dẫn đến tổn hại, khiến tổ chức khó đạt được mục tiêu. Có nhiều loại rủi ro đối với tổ chức. ví dụ rủi ro công nghệ, rủi ro thương mại hoặc tài chính, rủi ro bảo mật thông tin. Rủi ro có thể phát sinh nội bộ, trong các hoạt động và quy trình kinh doanh thiết yếu hoặc bên ngoài, trên thị trường rộng lớn hơn.

Quản lý rủi ro (Risk management) bao gồm việc xác định, đánh giá và kiểm soát và phản ứng một cách thích hợp với những rủi ro có thể ảnh hưởng bất lợi đến việc thực hiện các mục tiêu kinh doanh của tổ chức. Phản ứng đối với rủi ro thường phụ thuộc vào mức độ nghiêm trọng được nhận thức và liên quan đến việc kiểm soát, tránh, chấp nhận hoặc chuyển chúng cho bên thứ ba.

Các quy trình quản lý rủi ro thường dựa vào kiểm toán nội bộ và đánh giá rủi ro để xác định các khoảng cách quan trọng và các lĩnh vực có sự không chắc chắn đáng kể.

Các tổ chức thường giao cho nhiều cá nhân nhiều yếu tố khác nhau của quản lý rủi ro, bao gồm các nhà lãnh đạo an ninh công nghệ thông tin, nhà phân tích kinh doanh, nhân viên tài chính, hoặc hội đồng quản trị. Một khuôn khổ GRC mạnh mẽ có thể giúp đảm bảo tất cả các hoạt động quản lý rủi ro phù hợp với các mục tiêu và mục đích cuối cùng của tổ chức.

Tuân thủ (Compliance) liên quan đến việc điều chỉnh các hoạt động của tổ chức theo pháp luật và quy định tác động đến chúng.

Các nghĩa vụ phải tuân thủ bao gồm các nghĩa vụ bắt buộc và tự nguyện của mình, cụ thể là: luật liên quan, yêu cầu chế định, quy tắc ngành và tiêu chuẩn tổ chức, cũng như các tiêu chuẩn về quản trị tốt, các thông lệ tốt nhất, đạo đức và các quy định được chấp nhận chung, sự mong đợi của cộng đồng. Các nghĩa vụ này có thể là tài chính, chiến lược hoặc hoạt động khi hoạt động bao gồm các lĩnh vực đa dạng như an toàn tài sản, an toàn sản phẩm, an toàn thực phẩm, sức khỏe và an toàn nơi làm việc, bảo trì tài sản.

Quản trị tuân thủ (Compliance administration) đề cập đến việc thực hiện hành chính nhằm cập nhật tất cả các tài liệu tuân thủ, duy trì tính phổ biến của các biện pháp kiểm soát rủi ro và tạo ra các báo cáo tuân thủ.

Các khuôn khổ GRC khuyến khích các tổ chức tập trung giám sát tuân thủ và luôn cập nhật mọi luật hoặc quy định có thể ảnh hưởng đến quy trình của họ. Việc vi phạm tuân thủ có thể dẫn đến hậu quả tàn khốc về tài chính, pháp lý và danh tiếng . Những hậu quả này có thể bao gồm tiền phạt, thời gian và tiền bạc phải trả tại tòa án và danh tiếng bị hoen ố.

Xem thêm: Dịch vụ pháp lý về Sáp nhập và Mua lại doanh nghiệp (M&A) của Công ty Luật TNHH Everest

III- PHÂN KHÚC THỊ TRƯỜNG GRC

Chương trình GRC có thể được thiết lập để tập trung vào bất kỳ lĩnh vực riêng lẻ nào trong doanh nghiệp hoặc GRC được tích hợp đầy đủ có thể hoạt động trên tất cả các lĩnh vực của doanh nghiệp bằng cách sử dụng một khuôn khổ duy nhất.

GRC tích hợp đầy đủ sử dụng một bộ tài liệu kiểm soát cốt lõi duy nhất, được ánh xạ tới tất cả các yếu tố quản trị chính đang được giám sát. Việc sử dụng một khuôn khổ duy nhất cũng có lợi ích là giảm khả năng thực hiện các hành động khắc phục trùng lặp.

- Các khu vực GRC riêng lẻ

Khi được xem xét dưới dạng các khu vực GRC riêng lẻ, các tiêu đề riêng lẻ phổ biến nhất được coi là: (i) GRC Tài chính (Financial GRC), (ii) GRC Vận hành (Operational GRC), (iii) GRC Sức khỏe và an toàn lao động (Work Health and Safety - WHS GRC), (v) GRC Công nghệ thông tin (Information Technology - IT GRC), và: (vi) GRC Pháp lý (Legal GRC).

GRC tài chính: liên quan đến các hoạt động nhằm đảm bảo hoạt động chính xác của tất cả các quy trình tài chính, cũng như tuân thủ mọi nhiệm vụ liên quan đến tài chính.

GRC vận hành: liên quan đến tất cả các hoạt động vận hành như an toàn tài sản, an toàn sản phẩm, an toàn thực phẩm, sức khỏe và an toàn tại nơi làm việc, bảo trì tài sản tuân thủ công nghệ thông tin. 

WHS GRC: một tập hợp con của GRC hoạt động, liên quan đến tất cả các hoạt động an toàn và sức khỏe tại nơi làm việc

IT GRC: một tập hợp con của GRC hoạt động, liên quan đến các hoạt động nhằm đảm bảo rằng: tổ chức công nghệ thông tin hỗ trợ các nhu cầu hiện tại và tương lai của doanh nghiệp và tuân thủ tất cả các nhiệm vụ liên quan đến công nghệ thông tin.

GRC pháp lý: tập trung vào việc gắn kết cả ba thành phần này thông qua bộ phận pháp lý và giám đốc tuân thủ của tổ chức. Tuy nhiên, điều này có thể gây hiểu nhầm vì ISO 37301 đề cập đến các nghĩa vụ bắt buộc và tự nguyện và việc tập trung vào GRC pháp lý có thể gây ra sự thiên vị. 

AICD (The Australian Institute of Company Directors) chia rủi ro thành 03 (ba) nhóm siêu lớn: (i) Rủi ro tài chính, (ii) Rủi ro vận hành, (iii) Rủi ro chiến lược. 

Gartner, Inc (công ty nghiên cứu và tư vấn công nghệ của Mỹ) đã tuyên bố rằng thị trường GRC rộng lớn bao gồm các lĩnh vực sau: (i) GRC tài chính và kiểm toán, (ii) Quản lý GRC công nghệ thông tin, (iii) Quản lý rủi ro doanh nghiệp.

Sự khác biệt giữa các phân khúc phụ của thị trường GRC rộng lớn thường không rõ ràng. Với một số lượng lớn các nhà cung cấp tham gia vào thị trường này gần đây, việc xác định sản phẩm tốt nhất cho một vấn đề kinh doanh nhất định có thể là một thách thức. Do các nhà phân tích không hoàn toàn đồng ý về phân khúc thị trường, việc định vị nhà cung cấp có thể làm tăng thêm sự nhầm lẫn.

Do tính chất năng động của thị trường này, mọi phân tích về nhà cung cấp thường lỗi thời ngay sau khi được công bố.

Nhìn rộng ra, thị trường nhà cung cấp có thể được coi là tồn tại trong ba phân khúc: (i) Giải pháp GRC tích hợp (lợi ích đa quản trị, toàn doanh nghiệp), (ii) Giải pháp GRC cụ thể theo miền (lợi ích quản trị duy nhất, toàn doanh nghiệp), (iii) Giải pháp điểm cho GRC (liên quan đến quản trị toàn doanh nghiệp hoặc rủi ro toàn doanh nghiệp hoặc tuân thủ toàn doanh nghiệp nhưng không kết hợp với nhau).

Các giải pháp GRC tích hợp cố gắng thống nhất việc quản lý các khu vực này thay vì coi chúng như những thực thể riêng biệt. Một giải pháp tích hợp có thể quản lý một thư viện trung tâm về các biện pháp kiểm soát tuân thủ nhưng vẫn quản lý, giám sát và trình bày chúng theo mọi yếu tố quản trị. Ví dụ: theo cách tiếp cận theo miền cụ thể, có thể tạo ra ba phát hiện trở lên đối với một hoạt động bị hỏng. Giải pháp tích hợp nhận ra đây là một bước đột phá liên quan đến các yếu tố quản trị được ánh xạ.

Các nhà cung cấp GRC theo miền cụ thể hiểu được mối liên hệ mang tính chu kỳ giữa quản trị, rủi ro và tuân thủ trong một lĩnh vực quản trị cụ thể. Ví dụ: trong quá trình xử lý tài chính - rủi ro sẽ liên quan đến việc thiếu biện pháp kiểm soát (cần cập nhật cách quản trị) và/hoặc thiếu sự tuân thủ (hoặc chất lượng kém) của biện pháp kiểm soát hiện có. Mục tiêu ban đầu là tách GRC thành một thị trường riêng biệt đã khiến một số nhà cung cấp bối rối về việc thiếu chuyển động.

Nhà quản trị cũng cho rằng, việc thiếu đào tạo chuyên sâu trong một lĩnh vực về mặt kiểm toán, cùng với sự thiếu tin tưởng vào kiểm toán nói chung sẽ gây ra rạn nứt trong môi trường doanh nghiệp. Tuy nhiên, có những nhà cung cấp trên thị trường, mặc dù vẫn duy trì hoạt động theo miền cụ thể nhưng đã bắt đầu tiếp thị sản phẩm của họ tới người dùng cuối và các bộ phận, dù có liên quan hoặc chồng chéo, nhưng đã mở rộng để bao gồm các nhóm kiểm toán nội bộ doanh nghiệp (Corporate internal audit - CIA) nội bộ và các nhóm kiểm toán bên ngoài (cấp một Big 4 và cấp hai trở xuống), bảo mật thông tin và hoạt động/sản xuất là đối tượng mục tiêu.

Cách tiếp cận này cung cấp một cách tiếp cận 'cuốn sách mở' hơn trong quy trình. Nếu nhóm sản xuất được CIA kiểm tra bằng cách sử dụng một ứng dụng mà nhóm sản xuất cũng có quyền truy cập thì được cho là sẽ giảm rủi ro nhanh hơn vì mục tiêu cuối cùng không phải là 'tuân thủ' mà là 'an toàn' hoặc bảo mật nhất có thể. Bạn cũng có thể dùng thử các Công cụ GRC khác nhau hiện có trên thị trường dựa trên tự động hóa và có thể giảm tải công việc của bạn.

Các giải pháp điểm cho GRC được đánh dấu bằng việc tập trung vào việc chỉ giải quyết một trong các lĩnh vực của GRC. Trong một số trường hợp có yêu cầu hạn chế, những giải pháp này có thể phục vụ mục đích khả thi. Tuy nhiên, vì chúng có xu hướng được thiết kế để giải quyết các vấn đề cụ thể theo miền một cách sâu sắc nên chúng thường không có cách tiếp cận thống nhất và không chấp nhận các yêu cầu quản trị tích hợp. Hệ thống thông tin sẽ giải quyết những vấn đề này tốt hơn nếu các yêu cầu về quản lý GRC được kết hợp ở giai đoạn thiết kế, như một phần của khuôn khổ mạch lạc.

Xem thêm: Dịch vụ pháp lý trong lĩnh vực thương mại của Công ty Luật TNHH Everest

IV- KHUNG GRC

Khung quản trị, rủi ro và tuân thủ là một cách tiếp cận có cấu trúc để triển khai các quy trình GRC. Một khuôn khổ hiệu quả cung cấp một cách có hệ thống để xác định, đánh giá, ưu tiên và giảm thiểu rủi ro, đảm bảo rằng các hoạt động kinh doanh tuân theo một bộ tiêu chuẩn đạo đức và bảo mật nhất quán và tuân thủ luật pháp và quy định.

Mặc dù khuôn khổ GRC có thể tồn tại độc lập, các tổ chức cũng có thể tích hợp nó với các tiêu chuẩn quản lý rủi ro khác để mở rộng chiến lược quản lý rủi ro của mình, bao gồm:

[1] Khung ISO

ISO (The International Organization for Standardization) cung cấp hướng dẫn về nhiều nhu cầu kinh doanh khác nhau, bao gồm bảo mật thông tin và quản lý rủi ro. Các tiêu chuẩn này bổ sung cho GRC bằng cách cung cấp các phương pháp tiếp cận được ghi chép mà các tổ chức có thể tận dụng để cải thiện quản lý rủi ro và tuân thủ.

[2] Khung COSO

COSO (The Committee of Sponsoring Organizations) là khung quản trị rủi ro có uy tín mà các doanh nghiệp trong nhiều ngành sử dụng để tạo ra góc nhìn toàn diện hơn về rủi ro. Việc tích hợp các nguyên tắc COSO vào mô hình GRC giúp các tập đoàn đưa các thông lệ quản lý rủi ro tốt nhất được chấp nhận vào các mục tiêu quản trị và tuân thủ của họ.

[3] Khung NIST

NIST (The National Institute of Standards and Technology) là một quy trình có thể lặp lại để quản lý và cải thiện an ninh mạng. Trong GRC, nó cung cấp một cấu trúc để xác định, ứng phó và phục hồi sau các mối đe dọa an ninh mạng - một điều bắt buộc, vì các cuộc tấn công mạng đã tăng đột biến vào năm 2023.

[4] Khung ISACA

ISACA là một hiệp hội chuyên nghiệp toàn cầu phát triển các khung cho quản trị công nghệ thông tin và quản lý rủi ro, bao gồm Mục tiêu kiểm soát cho công nghệ thông tin và liên quan. Các khung này có thể hướng dẫn cách mô hình GRC của một tổ chức liên kết các hoạt động quản trị công nghệ thông tin với các mục tiêu chung và bối cảnh pháp lý của tổ chức đó.

[5] Khung OECG

Mô hình năng lực GRC của OECG là một khung toàn diện cung cấp một cách tiếp cận thống nhất đối với quản lý tổ chức trên toàn bộ rủi ro, quản trị, kiểm toán, đạo đức, công nghệ thông tin và tuân thủ. Các tổ chức có thể sử dụng mô hình năng lực để nâng cao bất kỳ khuôn khổ nào ở trên để làm phương pháp duy nhất của họ để phát triển và cải thiện các hoạt động GRC.

Được phát triển từ nghiên cứu gần 300 tập đoàn lớn, mô hình này cung cấp các thông lệ tốt nhất về GRC được tổ chức thành bốn thành phần:

(i) Học hỏi: Thành phần này bao gồm việc xây dựng sự hiểu biết sâu sắc trên toàn tổ chức về các khái niệm, quy định và thực hành GRC, bao gồm thông qua giáo dục và đào tạo.

(ii) Căn chỉnh: Các tổ chức nên phát huy những gì đã học được bằng cách căn chỉnh các hoạt động GRC và mục tiêu chiến lược, đồng thời phát triển các cấu trúc quản trị rõ ràng.

(iii) Thực hiện: Thành phần thứ ba của mô hình, “thực hiện”, có nghĩa là thực hiện các quy trình và hoạt động GRC để bắt đầu quản lý rủi ro chủ động, giám sát hiệu suất và duy trì sự tuân thủ thông qua kiểm toán, kiểm soát nội bộ.

(iv) Đánh giá: Các tổ chức phải liên tục đánh giá hiệu quả của các nỗ lực GRC thông qua giám sát và đo lường, điều này đòi hỏi phải thiết lập các số liệu đánh giá hiệu suất.

Xem thêm: Dịch vụ pháp lý về nhượng quyền thương mại của Công ty Luật TNHH Everest

V- CÁC YẾU TỐ TRIỂN KHAI GRC THÀNH CÔNG

Việc triển khai mô hình GRC thường phức tạp vì nó thường bao gồm việc kiểm toán nội bộ các quy trình và thủ tục hiện có. Mỗi khu vực đã được thiết lập của tổ chức có thể có cách riêng để thực hiện đánh giá rủi ro hoặc giám sát tuân thủ. Tuy nhiên, một cách tiếp cận thống nhất với chuyên môn chung là cách tốt nhất để đạt được mục tiêu chung của tổ chức.

Với logic này, có nhiều cách để triển khai chương trình GRC dễ dàng hơn. Sau đây là 05 yếu tố để triển khai khung GRC trong một tổ chức.

[1] Giai đoạn khám phá là quan trọng

Việc dành thời gian đánh giá các quy trình hiện có là rất quan trọng nếu chương trình GRC muốn thành công. Các tổ chức nên thực hiện kiểm toán nội bộ các quy trình và thủ tục được nhóm đánh giá rủi ro và tuân thủ sử dụng.

Các cách tiếp cận trong các phòng ban và lĩnh vực của nhóm sẽ khác nhau, nhưng mục đích là thiết lập điểm tương đồng và quy trình chung. Kết quả kiểm toán nội bộ sẽ giúp định hình hướng đi của toàn bộ dự án GRC.

Điều quan trọng nữa là phải xác định tất cả các quy định, hợp đồng, luật và văn bản pháp lý có liên quan mà tổ chức có thể cần tuân thủ. Ví dụ, các tổ chức xử lý dữ liệu chủ thẻ có thể sẽ cần tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán . Sau khi được nêu bật, có thể quyết định quy mô và phạm vi của chương trình GRC.

[2] Các quản lý cấp cao tham gia toàn diện

Lợi ích của phương pháp tiếp cận GRC thống nhất phải rõ ràng đối với bất kỳ thành viên nào của ban quản lý cấp cao. Rốt cuộc, điều đó có nghĩa là khả năng truy cập tốt hơn vào các báo cáo, phân tích và bằng chứng, giúp định hình các quyết định chiến lược. Thêm vào đó, các quy trình quản lý rủi ro được cải thiện có nghĩa là các quyết định chiến lược đó được thông báo đầy đủ ngay từ đầu.

Ban quản lý cấp cao nên cung cấp ý tưởng rõ ràng về mục tiêu và chiến lược chung của tổ chức, từ đó sẽ định hình giai điệu của dự án GRC. Nếu hội đồng quản trị có thể quyết định về chiến lược GRC thống nhất , sẽ dễ dàng hơn để nhúng dự án vào tổ chức rộng lớn hơn.

[3] Công cụ GRC có thể hợp lý hóa quy trình

Các công cụ GRC như phần mềm tuân thủ hoặc phần mềm quản lý hội đồng quản trị đáng tin cậy sẽ giúp hợp lý hóa dự án. Phần mềm GRC sẽ cung cấp một khu vực để ghi lại tất cả các đánh giá rủi ro và kiểm toán nội bộ khác nhau. Ngoài ra, nó có thể giúp theo dõi việc tuân thủ . Dữ liệu tập trung này sau đó có thể được truy cập và trực quan hóa từ xa để truy cập tức thời vào các xu hướng và hồ sơ.

Phần mềm GRC cũng sẽ giúp theo dõi các quy trình và thủ tục được sử dụng trong các nhóm hoặc vai trò khác nhau. Bằng cách tập trung các quy trình và phần mềm trong một nền tảng , các tổ chức có thể khám phá các xu hướng được tìm thấy trong các silo khác nhau.

[4] Đưa hiệu suất kinh doanh được cải thiện thành mục tiêu cốt lõi của dự án

Đánh giá các quy trình và thủ tục hiện có phải trả lời câu hỏi: Có thể cải thiện được không? Mục đích chính của chương trình GRC là thúc đẩy cải thiện đánh giá rủi ro và giám sát tuân thủ. Cả hai khía cạnh đều là một phần không thể thiếu đối với sự thành công liên tục của một tổ chức.

Quản lý rủi ro trực tiếp thông báo các quyết định về sự phát triển của tổ chức hoặc cải thiện các dịch vụ và sản phẩm. Một dự án thống nhất các chương trình GRC nên hướng đến mục tiêu cải thiện các quy trình đánh giá và quản lý rủi ro. Điều này có thể thông qua việc tiết kiệm hiệu quả bằng cách chia sẻ tài nguyên giữa các nhóm và phòng ban hoặc tinh chỉnh các quy trình. Hiệu suất chung của doanh nghiệp sẽ được cải thiện nhờ đó.

[5] Xác định mục tiêu và giữ cho các kênh truyền thông luôn mở

Quay trở lại các mục tiêu của sáng kiến ​​GRC của bạn là rất quan trọng. Cần phải có sự giao tiếp thường xuyên và rõ ràng với tất cả các thành viên của tổ chức về các mục tiêu. GRC, theo bản chất của nó, có phạm vi rộng và toàn diện, vì quy trình sẽ xem xét phạm vi của một tổ chức.

Việc triển khai hệ thống GRC mới sẽ đòi hỏi các chiến dịch đào tạo và tương tác, do đó, truyền thông dự án rất quan trọng. Các bảng câu hỏi, khảo sát và phỏng vấn rất hữu ích để hiểu sâu hơn về các quy trình khác nhau giữa các nhóm và phòng ban. Thêm vào đó, bất kỳ thay đổi nào trong quy trình cũng cần được thông báo và quản lý.

Điều này đặc biệt đúng nếu tổ chức giới thiệu một công cụ hoặc phần mềm mới để cung cấp hệ thống GRC. Bất kỳ thay đổi nào về công nghệ đều cần có yếu tố tham gia hoặc đào tạo.

Xem thêm: Pháp lý tái cấu trúc doanh nghiệp của Công ty Luật TNHH Everest