Система GRC (governance, risk, compliance) — модель управления рисками в сфере соблюдения нормативных требований. Она включает в себя политики, способствующие достижению поставленных целей. Внедряя GRC-систему, компании получают возможность проактивно работать с рисками и принимать более обоснованные управленческие решения
Раньше на отечественном рынке преобладали иностранные ИТ-решения. После ухода вендоров в РФ не образовался вакуум. Освободившийся рынок быстро заняли отечественные поставщики. В этой статье мы сделали обзор российских GRC-систем и их возможностей, которые компании уже могут внедрить в бизнес-процессы.
Наша компания DynamicSun
также активно развивается в этом направлении. Уже реализовали несколько проектов — их можно посмотреть здесь.
Ниже вы можете увидеть описания нашей GRC-системы «Вектор Плюс» и ее аналогов. Будем рады помочь с внедрением!
1) Вектор Плюс от DynamicSun
Вектор Плюс — система, предназначенная для автоматизации процессов управления риском, экономической безопасности и внутреннего контроля. ИТ-решение идентифицирует и оценивает актуальные риски, а также ведет постоянный мониторинг контрагентов на основе данных, взятых из внешних и внутренних баз.
Данная система ориентирована на компании из любых ниш, поэтому она уже заняла прочные позиции на российском рынке.
Стоит отметить, что система вошла в российский реестр программного обеспечения. Обзор системы и сведения о модулях можно посмотреть по ссылке.
Основные возможности Вектор Плюс:
- Выявление угроз.
- Идентификация и оценка рисков.
- Мониторинг угроз.
- Ведение процессных и проектных планов по управлению рисками.
- Единая база рисков.
- Совершенствование процессов работы с рисками.
Стоит отметить, что заказчик может вносить незначительные изменения в функционал. Однако для крупных доработок потребуется привлечение российской службы поддержки вендора.
2) АВАКОР от Digital Desing
АВАКОР — ИТ-инструмент для отделов внутреннего контроля и управления рисками. Разработчики создали GRC-систему на основе российской платформы Docvision. Стоит отметить, что данное решение уже давно занимает лидирующие позиции в РФ. К примеру, по данным аналитического агентства Ernst & Young, уже в 2019 году не менее 13% организаций с госучастием использовали АВАКОР для автоматизации процессов управления рисками.
Платформа ориентирована крупный бизнес из реального сектора экономики. В 2024 году ее используют такие организации, как:
- АК «Алроса».
- Ростех.
- РЖД и др.
Для повышения гибкости и устойчивости GRC-системы разработчики выделили фронтэнд и бэкэнд. Это отличает систему как от российских, так и зарубежных конкурентов, которые часто создают монолитные решения.
Основные возможности системы АВАКОР:
- Автоматизация типовых процедур.
- Обеспечение следования процедурам и стандартам.
- Отслеживание угроз.
- Оптимизация ресурсного планирования.
- Аналитика и отчетность.
- Организация совместной работы аудиторской команды.
3) КАИРИС от ФИНЭКС
КАИРИС — автоматизированная GRC-система, ориентированная на экономические компании. ИТ-решение отличается более продвинутым функционалом для управления рисками, по сравнению с конкурентами из обзора российских GRC-систем. Разработчики предусмотрели инструменты для управления операционными рисками и стратегией компании, включая контроль бизнес-процессов, риск-аппетит в разрезе филиалов и т.д.
Однако стоит отметить, что возможности системы, связанные с внутренним контролем находятся еще в развивающемся состоянии. Пока КАИРИС предлагает относительно мало продвинутых функций в данном направлении, что стоит учитывать при выборе ИТ-решения.
Ключевые функции КАИРИС:
- Управление стратегией компании.
- Контроль показателей и выполнения целей.
- Менеджмент знаний.
- Управление несоответствиями и нарушениями политик.
- Работа с корректирующими действиями, рекламациями.
- Планирование и проведение аудитов.
- Контроль проведения мероприятий.
4) Quadrium ActiveGRC от «Квадриум»
Quadrium ActiveGRC — специализированное ИТ-решение для интегрированного управления операционными рисками. Оно разработано на платформе JMIX. Для обеспечения безопасности российского бизнеса от рисков разработчики предусмотрели 3 уровня ответственности в процессе управления рисками::
- Бизнес-функции.
- Функции мониторинга.
- Независимая функция.
Разноуровневый подход введен для создания полноценной и интегрированной системы риск-менеджмента. В обзорах российских GRC-систем часто не отмечают, что это универсальная система. Она рассчитана как на финансовые компании, так и реальный сектор экономики.
Ключевые возможности системы:
- Управление операционными рисками.
- Внутренний контроль.
- Проведение аудита.
- Управление риском конфликта интересов.
- Контроль политик.
- Управление регуляторным и модельным риском.
5) LANCELOT ORM от Lancelot
Обзор системы стоит начать с того, что разработчик «Ланселот» специализируется на создании аналитических платформ для финансовых компаний. Новое решение вендора также ориентировано на данный сектор экономики.
Lancelot ORM — интеллектуальная система управления операционными рисками и подготовки управленческой отчетности для аудитов. Разработчики предусмотрели несколько конфигураций для финансовых и нефинансовых компаний.
Стоит отметить, что ИТ-решение соответствует требованиям Базельского комитета по банковскому надзору (Базель III) и требованиям Банка России №716-П, №744-П, №787-П, №779-П.
Основные возможности Lancelot ORM:
- Ведение реестра рисков.
- Автоматизация сбора данных по событиям.
- Автоматизация процедур управления ОР, включая ИБ-риски и ИС-риски.
- Управление мероприятиями по борьбе с рисками и их профилактики.
- Мониторинг целевых значений.
6) ТАБ АСУР от ТАБ
ТАБ АСУР — модульная система для учета рисков, разработки методологии управления рисками и внутреннего контроля. Данное ИТ-решение также ориентировано преимущественно на финансовые компании. Стоит отметить, что в обзоре системы от разработчиков нет сведений о конфигурациях для нефинансовых организаций.
ИТ-решение построено на основе отечественной платформы «1С:Документооборот», поэтому она имеет все характерные черты 1С:
- Гибкая отчетность.
- Реализация сложной ролевой модели.
- Простая интеграция в ландшафт 1С.
- Настройка формата записи и экспорта данных.
Основное преимущество ТАБ АСУР, если сравнивать с конкурентами, — легкое администрирование продукта, если компания уже использует продукты 1С.
Ключевые функции ТАБ АСУР:
- Автоматизация процессов внутреннего аудита и управления рисками.
- Онлайн-мониторинг уровня рисков.
- Контроль выполнения мероприятий по профилактике угроз.
- Оценка разработанных систем и политик.
- Определение объема потерь в результате реализации событий.
- Количественная и качественная оценка операционных рисков.
7) Finist-OperRisk от «Финист»
Finist-OperRisk — GRC-система, опирающаяся на требования международной методологии ведения базы событий и положение банка РФ 716-П, регламентирующее управление рисками в финансовых организациях. Стоит отметить, что поставщик ИТ-решения «Финист» специализируется именно на автоматизации банковской деятельности и разработки интеллектуальных решений для оптимизации рабочих процессов.
Система имеет модуль «779-П», который создан на основе требований из положения ЦБ РФ №779-П. Он используется для регистрации и ведения учета операционного риска, а также событий, влияющих на операционную надежность организации.
Специально для банковских организаций разработчики предусмотрели интеграции:
- С учетными системами для анализа проводок и расчета КИР’ов.
- С SIEM/IDM системами для создания событий операционного риска.
Также вендор создал функционал для взаимодействия с FinCERT — центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовом секторе, что позволит повысить осведомленность ИБ-отдела о возможных информационных угрозах.
Основные возможности Finist-OperRisk:
- Автоматизированный сбор данных об ожидаемых и уже случившихся событиях ОР.
- Регистрация и анализ инцидентов.
- Ведение реестра ОР.
- Управление планами по проведению мероприятий для снижения рисков.
- Организация процедур самооценки угроз и качества контроля.
Заключение
Несмотря на уход западных вендоров GRC-систем, российский рынок ИТ-решений не пострадал. Отечественные разработчики наполнили его импортонезависимыми аналогами, созданными с учетом требований не только международных организаций, но и ЦБ РФ.
