Na co dzień widzisz, jak bardzo zmieniają się wymagania organów regulacyjnych i ile czasu Twój zespół traci na ręczne raportowanie. Dostrzegasz też, że mimo tych wysiłków, sporo ryzyka wymyka się spod kontroli. Zdajesz sobie więc sprawę, że twoja firma potrzebuje nowoczesnego narzędzia do zarządzania kwestiami ładu korporacyjnego, ryzyka i zgodności, czyli platformy GRC. Pozostaje jednak pytanie, jak przekonać do tej inwestycji zarząd. W tym artykule przedstawimy zestaw argumentów potrzebnych do tej rozmowy.
Czym jest GRC i dlaczego temat wraca na każdym spotkaniu zarządu?
GRC (ang. Governance, Risk, and Compliance) to podejście, które łączy zarządzanie ładem korporacyjnym, ryzykiem i zgodnością regulacyjną. Na rynku dostępne są narzędzia wspierające poszczególne elementy tego podejścia, np. wyłącznie audyt wewnętrzny albo zarządzanie ryzykiem. Istnieją jednak też platformy, które integrują wszystkie te obszary w jednym miejscu, ze wspólną bazą danych i spójnymi regułami. Przy wyborze platformy GRC warto zwrócić uwagę na stopień tej integracji, bo to od niego zależy, czy firma rzeczywiście zyska pełen obraz swojego ryzyka i zgodności.
Temat GRC nabiera znaczenia, bo regulacji przybywa. Dyrektywa NIS2, wdrożona do polskiego prawa nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), nakłada na organizacje nowe obowiązki w zakresie zarządzania ryzykiem. Instytucje finansowe muszą dodatkowo spełniać wymagania rozporządzenia DORA, którego przestrzeganie kontroluje KNF. Zakup platformy GRC przestaje więc być kwestią wygody, a staje się odpowiedzią na wymagania, które firma musi spełnić.
Czy twoją firmę stać na brak systemu GRC?
Zanim zaczniesz rozmawiać z zarządem o kosztach platformy, warto policzyć, ile kosztuje jej brak.
Ile godzin miesięcznie twój zespół traci na ręczną pracę?
Bez odpowiedniego narzędzia zbieranie danych do raportów z wielu źródeł i aktualizowanie rejestrów ryzyka pochłaniają dziesiątki godzin miesięcznie. Do tego dochodzi koordynacja zadań przed audytem, gdzie łatwo przeoczyć ważne terminy, oraz audytowanie dostawców, które bez odpowiedniego narzędzia często w ogóle nie jest prowadzone systematycznie. To czas, który zespół mógłby poświęcić na analizę ryzyka i faktyczną ochronę organizacji.
Ile kosztuje brak kontroli nad ryzykiem regulacyjnym?
Kary za naruszenia rosną. NIS2 przewiduje sankcje do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych. W ramach DORA KNF może nałożyć karę do 20 mln zł lub 10% rocznego przychodu instytucji finansowej. Do tego dochodzą koszty, których nie widać w taryfikatorze. Mówimy tu o utracie klientów, szkodach wizerunkowych, a także wydatkach na naprawę skutków incydentu. Według raportu IBM i Ponemon Institute średni globalny koszt naruszeń danych w 2023 roku wyniósł 4,45 mln USD.
Co się dzieje, gdy kontrola ujawnia niespójne dane?
Wyobraźmy sobie taki scenariusz. Audytor prosi o rejestr ryzyk i okazuje się, że trzy działy prowadzą jego trzy różne wersje w Excelu. Brak spójnej dokumentacji to dla organów regulacyjnych sygnał, że organizacja nie panuje nad swoimi procesami. W kontekście DORA i kontroli KNF niespójność danych może skutkować zaleceniami pokontrolnymi, a w skrajnych przypadkach sankcjami.
Odpowiedzialność osobista członków zarządu
Nowelizacja ustawy o KSC wprowadza kary osobiste dla osób kierujących podmiotami kluczowymi i ważnymi. Kierownik (czyli najczęściej członek zarządu) może zostać ukarany grzywną w wysokości wielokrotności miesięcznego wynagrodzenia. Organ nadzorczy może też wystąpić do sądu o nałożenie tymczasowego zakazu zajmowania stanowiska kierowniczego.
Platforma GRC ułatwia zarządowi wykazanie należytej staranności. Z jej pomocą można pokazać, kto jest właścicielem poszczególnych ryzyk, jakie środki zostały wdrożone i czy polityki są przestrzegane. Taki system zapewnia zarządowi bieżący wgląd w stan zgodności organizacji (GRC Compliance) i pozwala reagować, zanim drobne uchybienia przerodzą się w poważne naruszenia. W razie kontroli lub incydentu zarząd jest w stanie wykazać, jakie decyzje podjął i na jakiej podstawie.
GRC a kontrola KNF
Instytucje finansowe podlegają nadzorowi KNF, który w ramach DORA kontroluje ich cyfrową odporność operacyjną. Podczas kontroli weryfikowane są m.in. rejestr ryzyk, polityki bezpieczeństwa, procedury reagowania na incydenty i ślad audytowy. Należy wykazać, że niezbędne procesy są właściwie udokumentowane i stosowane.
Platforma GRC pozwala zgromadzić tę dokumentację w jednym miejscu i powiązać polityki z ryzykami, kontrolami i ich właścicielami. Oprogramowanie do zarządzania zgodnością umożliwia generowanie raportów na potrzeby kontroli KNF znacznie szybciej niż ręczne zbieranie danych z rozproszonych źródeł. Bez takiego narzędzia przygotowanie do kontroli wymaga dużo mozolnej pracy, a mimo wszystko istnieje ryzyko, że dane okażą się niespójne.
System GRC kontra Excel
Excel to narzędzie, które zna każdy, a wiele organizacji właśnie od niego zaczyna zarządzanie ryzykiem i zgodnością. Warto jednak wiedzieć, kiedy może ono okazać się niewystarczające.
Arkusz sprawdza się przy prostych rejestrach, jednorazowych analizach i w małych zespołach. Trudności zaczynają się, gdy rośnie liczba użytkowników i regulacji, którym organizacja podlega. Nawet z historią wersji w chmurze arkusz nie powiąże zmiany w rejestrze ryzyk z konkretną polityką, kontrolą ani decyzją. Nie wyśle też powiadomienia, że minął termin przeglądu, i nie wygeneruje raportu na potrzeby audytu. Gdy kilka działów prowadzi osobne pliki, trudno ustalić, która wersja danych jest aktualna, i nikt nie ma całościowego oglądu wszystkich ryzyk organizacji. Gdy spojrzymy uważniej na zagadnienie Excel a system GRC, widzimy, że arkusz kalkulacyjny nie zastąpi oprogramowania zaprojektowanego z myślą o zarządzaniu ryzykiem, zgodnością i audytami.
Jak obliczyć koszt i zwrot z inwestycji w platformę GRC?
Zanim zaczniesz rozmowę z zarządem o budżecie, warto zebrać konkretne dane. Poproś kilku dostawców o wycenę dopasowaną do wielkości i potrzeb organizacji. Przy porównywaniu ofert zwróć uwagę na model licencjonowania (subskrypcja czy opłata jednorazowa), liczbę użytkowników objętych ceną, zakres modułów oraz koszty wdrożenia GRC i szkoleń, które zwykle doliczane są osobno. Sprawdź też, czy dostawca umożliwia wdrożenie modułowe, dzięki któremu można rozłożyć inwestycję w czasie i zacząć od obszaru wymagającego najpilniejszej uwagi. Upewnij się również, że system można łatwo rozbudowywać, nie tylko dodając standardowe funkcje, ale też te dopasowane do specyfiki Twojej firmy. Szczegółowe porównanie wybranych narzędzi GRC dostępnych na rynku ułatwia ocenę, które rozwiązanie najlepiej odpowiada specyfice firmy.
Mając orientacyjną kwotę, można ją zestawić z kosztami, których organizacja chce uniknąć: karami regulacyjnymi przewidzianymi przez NIS2 i DORA, wydatkami związanymi z naruszeniem danych czy stratami wizerunkowymi.Po stronie oszczędności warto policzyć, ile godzin miesięcznie zespół odzyska dzięki automatyzacji raportowania i powiadomień, a także o ile szybciej organizacja przygotuje się do audytów. Takie zestawienie kosztów i korzyści daje zarządowi konkretne liczby, na których może oprzeć decyzję o zakupie platformy GRC.
Najczęstsze obiekcje zarządu i jak na nie odpowiedzieć
Rozmowa z zarządem o zakupie platformy GRC zwykle wiąże się z konkretnymi pytaniami i wątpliwościami. Tutaj prezentujemy pięć argumentów, które pojawiają się najczęściej.
Mamy już Excela, jest darmowy
Zarząd widzi narzędzie, które już posiada i które wszyscy znają. To zrozumiałe, że w pierwszej kolejności wskaże je jako właściwe rozwiązanie, również dla celów GRC. Warto jednak zapytać, czy w razie kontroli organu regulacyjnego organizacja jest w stanie w ciągu kilku dni przedstawić pełną dokumentację zarządzania ryzykiem ze spójnymi danymi i historią zmian? Jeśli odpowiedź brzmi „tak, ale potrzebujemy na to kilku tygodni i zaangażowania wielu osób”, to właśnie jest ukryty koszt Excela. Zarząd płaci nie za narzędzie, ale za czas i ryzyko, które wiążą się z jego ograniczeniami . Arkusz kalkulacyjny nie daje też pewności, że dane, na podstawie których firma ocenia swoje ryzyka, są poprawne i spójne. Platforma GRC wymusza jednolity sposób ich wprowadzania, dzięki czemu decyzje zarządu opierają się na wiarygodnych informacjach.
Mamy inne narzędzia
Organizacja może korzystać z osobnych systemów do audytu, ryzyka i zgodności. Każdy z nich spełnia swoją funkcję, ale dane w nich nie są ze sobą powiązane. Gdy zarząd potrzebuje zbiorczego obrazu ryzyk i stanu zgodności, ktoś musi go ręcznie złożyć z kilku źródeł. Platforma GRC zastępuje te rozproszone narzędzia jednym systemem, w którym informacje z różnych obszarów tworzą spójny obraz dla kierownictwa.
Odpowiednia platforma GRC zastępuje te rozproszone narzędzia jednym systemem, w którym informacje z różnych obszarów tworzą spójny obraz dla kierownictwa. Warto przy wyborze zwrócić uwagę na to, czy dostawca platformy umożliwia rozwijanie jej o nowe moduły i funkcjonalności, bo wymagania regulacyjne zmieniają się szybko. Platforma, która odpowiada na dzisiejsze potrzeby i jednocześnie nadąża za przyszłymi, pozwala uniknąć kolejnej wymiany narzędzia za rok czy dwa.
Nie mamy budżetu
Platforma GRC nie musi być drogą inwestycją, jeśli jest dobrze dopasowana do skali i potrzeb firmy. Nie każda organizacja potrzebuje od razu pełnego zestawu modułów. Warto też przedstawić zarządowi wyliczenie, ile naprawdę kosztuje obecny stan rzeczy. Ile osób angażuje się w przygotowanie dokumentacji przed kontrolą i na jak długo odrywa je to od ich podstawowych zadań? Ile kosztowałoby organizację naruszenie danych lub kara regulacyjna? Gdy zarząd zobaczy te liczby obok rocznego kosztu platformy, rozmowa o budżecie zmienia się z „czy nas na to stać” na „czy stać nas na dalsze odkładanie tej decyzji”.
Działamy dobrze, po co coś zmieniać?
Organizacja może faktycznie działać dobrze i mieć procesy, które sprawdzały się przez lata. Pozostaje jednak pytanie, czy te procesy pozwalają jej spełnić wymagania, które pojawiły się w ostatnim czasie. NIS2 i DORA wymagają odpowiedniego zarządzania ryzykiem oraz udokumentowania tego zarządzania w sposób, który da się zweryfikować. Skuteczna firma bez odpowiedniej dokumentacji może wyglądać podczas kontroli tak samo jak firma, która ryzykiem nie zarządza wcale.[AM9] Warto pamiętać lekcję, jaką było wejście w życie RODO. Wiele organizacji było przekonanych że spełnia wymogi rozporządzenia, dopóki kontrole nie wykazały braków, w tym np. udokumentowanej oceny skutków przetwarzania danych (DPIA). NIS2 i DORA stawiają podobne wymagania dokumentacyjne w obszarze zarządzania ryzykiem i ciągłości działania.
Boimy się chaosu przy wdrożeniu
To uzasadniona obawa, zwłaszcza jeśli organizacja miała do tej pory złe doświadczenia z wdrożeniami innych systemów. Dojrzałe platformy GRC można jednak wdrażać modułowo. Organizacja zaczyna od jednego obszaru, np. zarządzania ryzykiem, i rozszerza system dopiero wtedy, gdy pierwszy moduł się sprawdzi. Nie trzeba zmieniać wszystkiego naraz ani angażować całej firmy od pierwszego dnia.
Jak przygotować się do rozmowy z zarządem o platformie GRC?
Na spotkaniu z zarządem warto mówić językiem ryzyka i kosztów, a nie samej technologii. Konkretne liczby działają lepiej niż ogólne argumenty. Ile godzin miesięcznie zespół traci na ręczną pracę? Ile wynosi potencjalna kara za niezgodność? Jaki jest roczny koszt platformy w porównaniu z kosztem jednego incydentu? Jeśli organizacja podlega NIS2 lub DORA, odpowiedzialność osobista zarządu za cyberbezpieczeństwo nadaje tym pytaniom dodatkową wagę.
Przed spotkaniem warto przygotować kilka konkretów:
- Podsumowanie czasu, który zespół poświęca na ręczne zbieranie danych, aktualizowanie rejestrów i przygotowywanie dokumentacji na potrzeby audytów.
- Listę regulacji, którym organizacja podlega, wraz z wysokością kar za ich niedopełnienie.
- Wyceny od wybranych dostawców platform GRC, żeby zarząd mógł odnieść koszt do skali ryzyka.
Można też umówić się na prezentację z dostawcą platformy GRC jeszcze przed rozmową z zarządem, żeby szczegółowo zrozumieć możliwości narzędzia i jego ograniczenia. Po takim przygotowaniu można prowadzić rozmowę na podstawie faktów, a nie tylko ogólnego przekonania, że powinniśmy coś zmienić.
Zakup platformy GRC to inwestycja w przewidywalność i kontrolę nad ryzykiem. Zarząd nie kupuje kolejnego narzędzia IT, ale zyskuje przejrzystość wobec organów regulacyjnych i ochronę reputacji firmy. Pytanie, które powinien zatem sobie postawić, to co stanowi większy koszt: inwestycja w odpowiednie narzędzie GRC, czy też jego brak.
