Группа «Иннотех» — высокотехнологичная IT-компания (входит в Холдинг Т1), занимающаяся разработкой решений для цифровизации бизнеса, консалтингом и технологическим аудитом.
Бизнес-кейс Группы «Иннотех» (Холдинг Т1)
Задачи
- Разработать платформу для автоматизации процессов управления рисками на замену решениям западных компаний.
- Дать бизнесу гибкий и комплексный инструмент, с помощью которого можно повысить качество принятия решений, скорость коммуникаций между подразделениями и сократить затраты на управление рисками.
Предпосылки и мотивация
«После ухода западных игроков из России, в частности американской SAS, рынок остался без сильных решений для автоматизации процессов управления рисками», — рассказывает Сергей Степаненко, директор дивизиона технологического развития управления рисками Группы «Иннотех» (Холдинг Т1). Ниша опустела, и ее нужно было занять — предложить рынку качественную и функциональную платформу.
Помимо потребности в импортозамещении у бизнеса также появился новый запрос. В новых экономических условиях компании стали уделять больше внимания рискам и потерям. При этом зрелость процессов и риск-культура во многих организациях выросли.
Соответственно, появилась потребность в более качественном риск-менеджменте и, как следствие, в автоматизированном инструменте по управлению рисками.
При этом процесс управления рисками является сквозным для всей организации: свои время и ресурсы тратят не только работники профильного департамента, но и другие бизнес-подразделения, а также топ-менеджмент. Ресурс расходуется из-за того, что приходится агрегировать данные из разных источников, коммуницировать по нескольким каналам и отвечать на одни и те же вопросы разных сотрудников.
Отсутствие единого информационного пространства и автоматизированных инструментов увеличивает нагрузку на бизнес.
Решение
Группа «Иннотех» (Холдинг Т1) разработала гибкую GRC-платформу ОАЗИС («Объекты, Атрибуты, Задачи, Исполнители, Согласование»), позволяющую создавать единое информационное пространство для эффективного управления различными рисками. С помощью ОАЗИС можно управлять операционными рисками, внутренним контролем и аудитом, обеспечением непрерывности бизнеса, устойчивым развитием, процессами обработки персональных данных и комплаенс-рисками.
Компания занималась разработкой самостоятельно, используя open source технологии и соблюдая требования по импортонезависимости.
Что такое GRC-платформа
Концепция GRC позволяет рассматривать развитие компании с трех точек зрения:
- руководства (Governance);
- управления рисками (Risk management);
- соответствия внешним регуляторным требованиям внутренних регламентов (Compliance).
Для эффективного взаимодействия этих элементов они должны быть собраны на единой IT-платформе.
Реализация
Особенности платформы
«ОАЗИС спроектирована таким образом, чтобы клиент мог расширять функционал и количество решаемых задач до «разумной бесконечности», — отмечает Иван Восканьянц, заместитель начальника управления перспективных проектов Группы «Иннотех» (Холдинг Т1).
Платформа позволяет объединять различные бизнес-задачи по любому принципу и видеть пересечение между ними. «Мы можем нанизывать эти задачи как бусы и переплетать так, как хочет заказчик. У нас нет привязки к определенному модулю, к конкретному виду задачи. На выходе мы отдаем заказчику тот вид системы и то разделение на модули, которое ему нужно», — рассказывает Иван Восканьянц.
Система помогает решать бизнес-задачи на разных уровнях, и здесь все зависит от потребностей бизнеса. Если стоит задача управления рисками, то с помощью платформы можно:
- вести их реестр;
- анализировать риски на разных уровнях управления;
- фиксировать контрольные процедуры и отслеживать выполнение.
Пример использования платформы: управление рисками при закупках
Почти каждая компания проводит закупки. Этот процесс сопровождается риском некорректного определения начальной цены. Если она завышена, то компания понесет дополнительные расходы.
Организации пытаются минимизировать данный риск и внедряют контрольные процедуры. Например, устанавливают правило: рассчитанную одним сотрудником цену обязательно перепроверяет другой специалист.
ОАЗИС позволяет агрегировать всю информацию о процессах, рисках, контрольных процедурах в едином информационном пространстве, обеспечивая прозрачную коммуникацию между подразделениями и актуальность данных.
При необходимости с помощью платформы можно связать бизнес-процессы с дополнительными видами риска, например с регуляторными. Если организация хочет использовать систему по максимуму, в нее добавляется модуль аудиторских проверок.
«В целом компания может поставить на рельсы нашей платформы даже специфичные процессы, например управление закупками или взаимодействие с поставщиками и контрагентами. Это выходит за рамки привычного использования GRC-платформы, но с ОАЗИС это возможно», — комментирует Сергей Степаненко.
При этом Группа «Иннотех» (Холдинг Т1) является не только вендором, но и консультантом в области управления рисками, внутренним контролем и аудитом. Компания помогает заказчику создать оптимальную архитектуру, определить необходимый набор атрибутов и ролей.
Конструктор интерфейса
На этапе внедрения систему настраивают консультанты, отталкиваясь от требований компании. Как правило, заказчик не готов тратить собственные время и силы и хочет видеть уже работающее решение.
При этом у него остается возможность вносить любые изменения. Интерфейс системы быстро настраивается благодаря конструктору экранных форм и объектов. Это user-friendly инструмент, который не требует навыков проектирования и программирования: в браузере пользователь сам может «собрать» экран, с которым он будет в дальнейшем работать, добавить нужные поля, атрибуты, классификаторы, справочники и связи между другими объектами системы.
Практика показывает, что конструктором чаще всего пользуются IT-сотрудники организации, которые поддерживают определенную бизнес-задачу и могут быстро внести изменения уже без привлечения вендора и консультантов.
Каким компаниям нужны GRC-решения
Решение о внедрении платформы по управлению рисками принимается исходя из трех соображений.
- Первый и ключевой фактор — размер компании, то есть количество процессов, подразделений и сотрудников. Чем больше компания, тем большим объемом рисков приходится управлять. А для эффективного управления потребуется специализированный инструмент.
- Второй фактор — стремление придерживаться стандартов. Речь идет как об исполнении требований регуляторов, так и о функционировании организации в целом. Это подталкивает бизнес к большой и качественной работе с данными, которые лучше хранить и обрабатывать в едином информационном пространстве.
- Третий фактор — зрелость процессов в компании. Если организация молодая и операционные процессы еще не выстроены, скорее всего, управление рисками для нее не будет первостепенной задачей. Но как только процессы приводят в порядок, сразу же возникает вопрос риск-менеджмента.
Пример использования платформы: управление регуляторными рисками
Компании из любой отрасли так или иначе подвергаются внешнему регулированию, например в части трудового законодательства. Несоответствие требованиям регулятора может привести к реализации рисков.
Для управления такими рисками в ОАЗИС есть модуль, который позволяет вести список требований с указанием ссылки на нормативно-правовые акты и информацию о размерах штрафов за нарушения.
Если регуляторные требования меняются, система транслирует эти обновления во все соответствующие процессы и риски. Все заинтересованные стороны получают необходимые данные и могут оперативно отреагировать на изменения.
В этом модуле также ведется реестр рисков и их оценка. В ситуации, когда регулятор значительно увеличивает размер штрафа, модуль платформы по заложенным алгоритмам автоматически пересчитывает оценку риска, и он из категории «низкий» попадает в «средний» или даже «высокий».
Это обеспечивает полноту и актуальность данных, что позволяет руководителям принимать более взвешенные и своевременные управленческие решения.
Результаты
По оценке разработчиков, ОАЗИС помогает сократить трудозатраты на управление рисками, внутренним контролем и аудитом. Кроме того, повышается скорость коммуникаций между подразделениями и качество принятия управленческих решений.
Несмотря на то что решение появилось на рынке относительно недавно, платформу уже внедряют несколько организаций, но проекты пока не завершены.
Разработчики отмечают, что для них один из главных результатов на сегодняшний день — занесение ОАЗИС в реестр отечественного ПО. «Мы получили знак качества», — поясняет Сергей Степаненко.
Планы и перспективы
Планируется развивать платформу и обогащать ее функционал. Сейчас идет работа над новыми возможностями — например, добавление функциональности для управления ESG-рисками и операционной надежностью.