GRC vs. Compliance wg ISO 37301 oraz ISO 37001
Kilkukrotnie na łamach naszych „Aktualności” przywoływaliśmy publikacje z magazynu „Risk&Compliance”, które traktujemy jako cenne źródło inspiracji oraz utrzymania kontaktu z trendami światowymi. Trudno w nim znaleźć odniesienia do standardów zarządzania także w systemach compliance, jak ISO 37301, ISO37001, ISO 37002, chociaż ostatnio w przypadku AI sięgnięto do standardu ISO 38507. Ale być może poniższy akapit nawiązujący do nauk ojca standardów zarządzania zachęci do refleksji, gdyż wiele rozwiązań w ramach GRC ma swoje odpowiedniki także w systemach opartych na normach ISO, co może zapewnić naturalną kompatybilność przy tworzeniu wasnych rozwiązań w systemach zarządzania.
W ostatnim numerze „Risk&Compliance” zaciekawił nas artykuł „GRC in2033” autorstwa Patrick Henz, co stało się także kanwą wpisu na Linkedin’ie. Być może to głównie za sprawą ciekawego wprowadzenia odwołującego się do nauk W.Deminga, ojca standaryzacji, i systemów zarządzania – „…Holistyczne podejście do zarządzania ładem korporacyjnym, ryzykiem i zgodnością z przepisami (GRC) jest zgodne rozumieniem W. Edwardsa Demingsa, że firma jest nie tylko wzajemnie powiązanym systemem, ale na poziomie makro jest zintegrowana ze swoim lokalnym i globalnym środowiskiem. Firma musi być w stanie zidentyfikować swoje ryzyko i możliwości, aby dostosować swoją strukturę i procesy. W ten sposób firma najlepiej radzi sobie z obecnym krajobrazem biznesowym, ale także zabezpiecza się na przyszłość. W oparciu o bieżące oceny ryzyka, procesy firmy muszą być tak odważne, jak to konieczne i tak usprawnione, jak to tylko możliwe. Nieefektywne procesy mogą być postrzegane jako obciążenie biurokratyczne, kusząc pracowników do szukania luk prawnych, co może narazić firmę na ryzyko prawne i finansowe. Jak zauważył pan Demings: “Zły system za każdym razem pokona dobrego człowieka”…”
I jeszcze raz gwoli utrwalenia przekazu – Rzadko taki sposób przedstawiania relacji GRC z systemami zarządzania ma miejsce gdy piszą o tym ludzie bardziej związani z GRC, a tak naprawdę model GRC może być pokryty swoim zakresem przez systemy zarządzania wg standardów ISO, oczywiście gdy robi się to prfesjonalnie, bo zarządzanie jest dla zawodowców, nie amatorów.
Jak AI może wspomóc Compliance
Z kluczowych predykcji dotyczących compliance za 10 lat ujętych w magazynie Risk & Compliance warto wskazać te 7, chociaż ich lista ne jest zamknięta i będzie bardzo szybko ewoluowała – niektóre z nicu rozwinę poniżej, a po resztę zapraszam do zapoznania się z artykułem, bo warto:
- Rosnące wykorzystanie i znajomość sztucznej inteligencji, w tym chatbotów:
Nawet obecnie dostępne są, a nawet prefereowane takie narzędzia do odpowiadania na ogólne pytania, a nawet omawiania trudnych mentalnie kwestii, co zapewnia stronie pytającej anonimowość. W zależności od kultury organizacyjnej, pracownicy mogą nawet preferować omawianie drażliwych tematów, takich jak molestowanie z awatarem AI, a nie z człowiekiem. Jeśli sztuczna inteligencja przekona ofiarę o powadze sytuacji i znaczeniu dochodzenia w sprawie incydentu, może ona być bardziej skłonna do oficjalnego zgłoszenia sprawy za pośrednictwem anonimowej infolinii dla sygnalistów lub bezpośrednio do oficera GRC. Naszym zadaniem pozostanie włączenie w system compliance – np. ISO 37301, albo ISO 37001 takich działań, które pozwolą wykorzystać te rozwiązanie dla dobra każdej ze stron. - Automatyzacja pozwala działowi GRC skupić się na podejmowaniu strategicznych decyzji:
Tutaj potrzebne będzie zapewnienie aby osoba odpowiedzialna za GRC była zaangażowana w planowanie strategiczne firmy, aby pomóc zidentyfikować przyszłe zagrożenia i wymagania. Ponieważ relacja między technologią a człowiekiem nadal ewoluuje, pracownicy muszą być chronieni przed znanymi uprzedzeniami, takimi jak nadmierne zaufanie do maszyn, humanizowanie robotów i uprzedzenia dotyczące automatyzacji. Oswojenie się z takim wsparciem może pozwolić w akceptacji zmian proponowanych z użyciem AI korzystającej z większej ilośvci danych niż jest w stanie przetworzyć człowiek. - Doświadczenie w naukach behawioralnych oczekiwanym wymaganiem dla oficerów GRC,
- Doskonalenie wykorzystania generatywnej sztucznej inteligencji, w tym głosu, video, obrazów 3D, etc. – np. szkolenia,
- Dostęp do globalnych baz danych, będzie wspierał korporacyjne oceny ryzyka:
Już o tym wspomniałem powyżej, ale Jest to bardzo ważne, ponieważ przyszłe regulacje, takie jak obowiązki prawne związane z wykorzystaniem sztucznej inteligencji, taryfy handlowe, prywatność danych, standardy pracy lub sprawozdawczość w zakresie ochrony środowiska, spraw społecznych i ładu korporacyjnego (ESG), mogą stworzyć bardziej wyrafinowane środowisko, w którym organizacje będą musiały manewrować. Oprócz nowych przepisów, rosnące skutki zmian klimatycznych muszą być przewidywane na poziomie makro i mikro, aby zapewnić odporność biznesową. - Zwiększy się możliwość monitorowania pracowników, zarówno na miejscu, jak i zdalnie,
- Oprócz odpowiedzianości za zachowania swoich pracowników obejmie ona również istoty wirtualne, takie jak chatboty AI, cyfrowi influencerzy i kognitywne cyfrowe bliźniaki (CDT).
Motto autora do artykułu „…Obecnie GRC definiuje i kontroluje podejmowanie decyzji przez ludzi. W przyszłości zakres kontroli danych, kodu i decyzji podejmowanych przez maszyny może zostać uwzględniony w opisie stanowiska…” pokazuje, że nie jest science fiction, a wiele działań rozwojowych zmierza w tym kierunku. Mam nadzieję, że nie tylko ten artykuł będzie dla Państwa ciekawym kąskiem wiedzy, ale także sam magazyn na stałe zagości w Waszej prasówce biznesowej.
Więcej na temat standardów z rodziny compliance pod egidą ISO, czyli ISO 37001 oraz ISO 37301 można znaleźć na naszych stronach produktowych, oraz we wpisach tematycznych.
Zachęcam do refleksji i zapraszamy do współpracy
Zespół Centre of Excellence & QSCert
Bibliografia:
- Risk&Compliance Magazine – nr July-September 2023 – https://riskandcompliancemagazine.com
- ISO 37301:2021 – Compliance management systems — Requirements with guidance for use
https://www.iso.org/standard/75080.html