Enhver handling med konsekvenser for fremtiden innebærer risiko. Det være seg hva man velger å gjøre, men ikke minst: hva man velger IKKE å gjøre. Risiko er som kjent ikke bare negativt, men representerer også muligheter. Jo større risiko jo større gevinst sier man gjerne. På grunn av begivenheter i vår nære fortid er risikostyring blitt et svært interessant område for de fleste virksomheter. Interessenter (kunder, leverandører, myndigheter, ansatte, långivere, eiere osv) har behov for å vite at virksomheten har systemer på plass som ikke bare ivaretar risiko, men også sørger for at bedriften lever opp til sine etiske og samfunnsmessige forpliktelser.
Risiko er så mangt
De fleste virksomheter har tanker om de risikoer de lever under: endrede markedspriser, kunder med betalingsproblemer, tapsprosjekter, likviditetsproblemer, produksjonsavbrudd, leverandører som ikke kan levere, at man selv ikke er i stand til å levere, nøkkelpersonell som forsvinner osv. Dette er forretningsmessige og operasjonelle risikoer.
I tillegg har man farer som kriminalitet, at eiendeler går tapt, ødelegges eller at fortrolig informasjon kommer i uriktige hender.
En annen type risiko som kan få store konsekvenser er at man bommer på strategien. Den forretningsideen man hadde viste seg ikke å ha livets rett. Tap av omdømme er også en risiko man bør frykte. Mister man tillit kan dette slå svært negativt ut for virksomhetens fremtid.
Et område de fleste tilstreber nullrisiko er det som har å gjøre med liv og helse. I tillegg kommer juridisk risiko, det vil si brudd på lover og regler. Avvik her kan få store konsekvenser for både virksomheter og enkeltindivider.
Hva må gjøres?
Før man setter seg ned og analyserer virksomhetens risikobilde bør man gjøre seg opp noen tanker om egen risikostrategi. Hvor lysten er man på risiko og hvor går grensene? Hva slags standarder skal man legge til grunn? Med standarder mener vi retningslinjer som SOX, COSO-ERM, COBIT, ISO 17799 og lignende.
Ideelt sett bør alle risikoer identifiseres og beskrives før de inntreffer. Aktivitet for aktivitet bør analyseres med spørsmål om hva som kan gå galt. Deretter må risikoene veies med hensyn til sannsynlighet og konsekvens.
Neste steg er å avgjøre tiltak. For noen risikoer er det nulltoleranse som foreksempel liv, helse og lovbrudd. Risikoer som skårer høyt på risiko og konsekvens krever tiltak. Risikoer som skårer lavt på de to dimensjonene velger vi kanskje å akseptere.
Når et avvik oppstår er det viktig med rask og riktig informasjon til riktig punkt i organisasjonen. I tillegg bør bedriften ha et system for overvåking av det totale sikkerhetsbilde slik at man systematisk og kontinuerlig kan ha prosesser i gang for å bringe virksomheten dit man ønsker. Her kan teknologi gi et viktig bidrag.
SAP-GRC
Ved valg av teknologi står man foran flere valg: Man kan gå for best i verden, egenutvikling eller integrerte løsninger. SAP-GRC (SAP’s løsning for kontroll, risikostyring og regeletterlevelse) er en såkalt integrert løsning. Ved hjelp av undermoduler kan man få et helhetlig bilde av virksomhetens risikosituasjon. Tanken er at GRC (Governance, Risk & Compliance) blir en integrert del av alle virksomhetens forretningsprosesser.
SAP satser sterkt på GRC. Som så mye annet fra SAP så er utgangspunktet for løsningen at ”noen har tenkt”. Dersom man ønsker GRC på sin egen måte så bør man kanskje vurdere skreddersøm. Til tross for dette så er SAP GRC ingen ”ut av boksen” løsning. God GRC dreier seg ikke bare om teknologi men også om virksomhetens kultur, organisasjon og rammeverk. For å illustrere dette sier man gjerne at SAP-GRC er 80 prosent strategi og 20 prosent teknologi.
SAP-GRC består av flere delmoduler
-
SAP Risk Management:
Forretningsmuligheter satt opp mot økonomisk, juridisk, operasjonell eller annen type risiko -
SAP Access Control:
Identifisere og eliminere risikoer knyttet til tilgangs- og autorisasjonsregler -
SAP Process Control:
Sikre regeletterlevelse og kontroll fra et verdikjedeperspektiv, på kryss av avdelings- og applikasjonsgrenser -
SAP Global Trade Services:
Sikre at alle regler følges ved import og eksport -
Environment, Health and Safety Management:
Tilsvarer norsk HMS -
Sustainability Performance Management:
Administrasjon og rapportering av virksomhetens aktiviteter for fremme av bærekraftig utvikling
Mange muligheter
Som så ofte ellers i SAP så ligger ikke den store verdien i enkeltmoduler – det er helheten som gjør forskjellen. Sånn også med GRC. Man kan tenke seg informasjonssystemer som samkjører strategiledelse og risikoledelse, risikostyring og prosesstyring eller prosesstyring og tilgangskontroll. Man kan også se for seg løsninger som ikke bare dekker egen virksomhet, men som også inkluderer foretningspartnere. Løsningen kan også inkludere teknologi fra andre leverandører enn SAP. Fra en ledelsessynsvinkel kan GRC være verktøyet for å ”tvinge” virksomheten til å følge selskapets regler.
Tenk stort, start smått
God GRC er ikke bare et spørsmål om teknologi. SAP-GRC er først og fremst forankret i fag, og teknologien er mer å oppfatte som muliggjøreren. Som så ofte med SAP så er nøkkelen til suksess å tenke langsiktig og ikke gape over for mye for tidlig. Man begynner der det er mest kritisk, foreksempel regeletterlevelse. Basert på erfaringene fra første runde kan man bringe prosessen videre, og kaste seg over nye områder. Neste steg kan være samordning. Man lager et helhetlig bilde av virksomhetens risikosituasjon, gjerne satt opp mot virksomhetens aktiviteter, både igangsatte og planlagte. Siste steg, selv om GRC er noe som aldri tar slutt, er å gjøre regeletterlevelse og risikotenkning til en integrert del av alle virksomhetens aktiviteter.
Saptalknorway's Blog 