Se zaváděním GRC (governance, risk management and compliance) systémů ve společnostech se pojí i určité výzvy, a to bez ohledu na sektor nebo velikost společnosti samotné. Za jednu z prvních výzev lze nepochybně označit volbu vhodného GRC systému. V následujících bodech se proto podíváme blíž na jednotlivé kroky, na které byste rozhodně neměli při výběru a implementaci GRC systému zapomenout.

1. Analyzujte své potřeby

Potřeba implementace GRC systému může vycházet z různých požadavků, které jsou vždy specifické pro každou společnost. Příkladem takové potřeby nebo motivace pro použití GRC systému může být např. zjednodušení a zefektivnění práce interního auditu nebo snaha o propojení řízení rizik a jednotlivých business oddělení. Stejně tak se ale může jednat o jednodušší analýzu a posílení garance shody se zákonnými požadavky, které můžou společnosti přinést velké benefity v průběhu auditů, ale i pomoc při získávání pro společnost certifikaci. Mnoho firem se také snaží posílit řízení třetích stran. Důvodů, proč se začnete poohlížet po řešení ve formě GRC systému, je celá řada, uvedené případy jsou jen jejich malým příkladem. Pro úspěšné zavedení GRC systému je proto vždy nutné si tyto potřeby jasně vydefinovat hned na začátku a prioritizovat je. Jen tak je možné dosáhnout nejen úspěšné implementace nástroje, ale i očekávaných benefitů pro vaši společnost.

2. Vytvořte seznam kandidátů

Jakmile ve vaší společnosti jasně identifikujete potřeby a očekávání, která má GRC systém splnit, je dalším krokem porozhlédnout se po možných nástrojích a zároveň i začít hledat vhodného dodavatele. GRC nástrojů je na trhu mnoho a každý z nich má svá specifika a taky přednosti pro různé způsoby nasazení. Nedá se říct, že jeden GRC systém bude vyhovovat všem a pro všechna možná použití. Existují různá obecná srovnání, ze kterých lze v této chvíli vycházet a použít je jako základ (Gartner Magic Quadrant, Forrester Wave). Nejvhodnějším přístupem vždy ale je domluvit si krátkou živou ukázku – demo – která vám pomůže vytvořit si obrázek, jak je možné implementovat vaše požadavky v jednom či druhém nástroji. Finální rozhodnutí, se kterými dodavateli budete dále jednat, tak doporučujeme učinit až na základě předvedení jednotlivých nástrojů. Důležité je také uvědomit si, že běžná kritéria pro rozhodování, např. cena nástroje, se nemusí vůbec vyplatit, pokud nástroj nebude akceptován uživateli nebo nebude poskytovat potřebné funkcionality.

3. Seznamte se s potenciálními dodavateli

Ve chvíli, kdy jste si předvybrali užší seznam potenciálních dodavatelů, můžete oslovit a naplánovat schůzku s každým z nich. Je potřeba mít na paměti, že ačkoliv je základní portfolio poskytovaných služeb každého GRC dodavatele víceméně stejné, forma zpracování jednotlivých služeb se výrazně liší. Je potřeba vyhodnotit nejen to, jestli konkrétní GRC systém danou oblast zpracovává, ale i to, jestli ji zpracovává způsobem, který je ve shodě s vašimi požadavky, a také jestli je zpracování již v základní verzi produktu (tzv. out-of-the-box), nebo bude nutné produkt upravit tzv. customizací. Po první schůzce je tedy vhodné domluvit si další, tentokrát už specifické předvedení systémů. Pokud budete mít připravené veškeré kroky (use case / případové studie), které byste chtěli konkrétně vidět, můžete získat velmi dobré srovnání jednotlivých GRC systémů vzhledem k vašim požadavkům. Živá ukázka systémů navíc může pomoct s definováním dodatečných požadavků, které možná nebyly ze začátku úplně zřejmé. V neposlední řadě můžete čerpat i z doporučení a zkušenosti jednotlivých dodavatelů, kteří již provedli celou řadu implementací těchto nástrojů a mohou tak upozornit na možné problémy, kterým při implementaci čelili. Na základě všech získaných informací můžete následně připravit RFP – žádost o nabídku – a zaslat ji vybraným dodavatelům. Zároveň s přípravou RFP byste ale měli znovu uvažovat i nad kritérii vyhodnocení jednotlivých nabídek a jejich prioritizací. Protože těchto zvažovaných kritérií může být mnoho, je nutné se zaměřit primárně na ta, která jsou pro vás nejdůležitější a pomohou vám udělat správné rozhodnutí při samotném výběru nejvhodnější nabídky.

4. Zkontrolujte žádosti o nabídku a vyjasněte si podrobnosti

Jakmile potenciální dodavatelé zareagují na vaše RFP nabídkou, nastává fáze vyhodnocení, která bohužel ani v této chvíli nebývá jednoduchá. Je nutné vyhodnotit bod po bodu požadavky s jejich prioritami, zhodnotit demo, které proběhlo, a vzít v potaz i historii dodavatele. Je důležité ptát se na reference a zkušenosti jiných zákazníků. V případě nejasností je možné a často i vhodné domluvit si další schůzku za účelem vyjasnění vybraných bodů z nabídky, případně dodatečnou živou ukázku systému s konkrétními otázkami. Je nutné nezapomínat, že nástroj musí v první řadě splnit očekávání vašich uživatelů.

5. Napište smlouvu

Mohlo by se zdát, že výběrem dodavatele, se kterým chcete v oblasti GRC spolupracovat, vše končí a nezbývá než podepsat smlouvu. Při přípravě smlouvy je ale vhodné znovu si projít vaše jednotlivé požadavky i vyhodnocovací kritéria a ověřit, že všechny části jsou ve smlouvě pokryty. Vyjednávání detailů smlouvy nemusí být v některých případech jednoduché a může ještě zpětně ovlivnit výběr. Může se také stát, že se s dodavatelem nebudete moct na některých bodech smlouvy shodnout. V těchto případech je samozřejmě možné znovu přehodnotit vaše priority, ale nemělo by se zapomínat ani na možnost vrátit se k předchozímu bodu a pokračovat s jiným dodavatelem. Jinou (v praxi ale méně uplatňovanou) variantou je zahrnutí požadavku na poskytnutí vzoru smlouvy již do procesu výběru RFP.

Zvažujete nasazení GRC systému a budete hledat vhodné řešení? Obraťte se na naše odborníky, kteří vám s výběrem pomohou. Společně identifikujeme klíčové požadavky a na jejich základě porovnáme možnosti dodavatelů GRC.