Джош Сокол (создатель и генеральный директор SimpleRisk)
Недавно друг прислал мне сообщение в блоге Джона А. Уиллера из Gartner под названием «Что случилось с GRC?». В своем посте Джон обсуждает рост GRC из-за требований регулирующих органов и последующее падение в «болото уменьшенной доходности» из-за осознания того, что погоня за нормативными требованиями с помощью технологий и услуг GRC не является устойчивой инвестицией. Джон считает, что следующим шагом в «цикле хайпа» станет забвение GRC, а инструменты и услуги, ориентированные на интегрированное управление рисками (IRM), восстанут из пепла. Я не мог с этим не согласиться.
Как я писал в «Истории основателя SimpleRisk» , я пришел к тем же выводам, что и Джон еще в марте 2013 года, когда мне нужно было запустить официальную программу управления рисками, но я не мог позволить себе раздутые инструменты GRC по сильно завышенным ценам. Электронные таблицы не подходили для меня, и поэтому я написал SimpleRisk.
SimpleRisk всегда был сосредоточен на управлении рисками. Фактически, прошло несколько лет, прежде чем мы начали интегрировать в этот инструмент какие-либо функции управления или соответствия. Он был выпущен как инструмент с открытым исходным кодом из-за альтруистической веры в то, что управление рисками должно быть доступно компаниям любого размера, а не только компаниям из списка Fortune 1000. Но за прошедшие годы мы поняли, что не огромная разница в цене привела пользователей к SimpleRisk. Дело в том, что они могли выполнять действия по управлению рисками, которые были на световые годы лучше, чем электронные таблицы, но были представлены в простой и интуитивно понятной форме, которую могли понять даже нетехнические пользователи. Установка заняла минуты, а не недели, а окупаемость инвестиций была практически мгновенной.
Не поймите меня неправильно. Всегда была и всегда будет потребность в возможностях управления и обеспечения соответствия, которые предоставляют инструменты GRC. Но основное внимание должно быть уделено управлению рисками. Я считаю, что мы начнем переходить к инструментам с открытой и интегрированной архитектурой и гибкими рабочими процессами, которые позволят управлять рисками. Хотя мы видим, как другие раздутые продукты GRC падают со скалы устаревания, я искренне верю, что SimpleRisk способен сэкономить компаниям огромные суммы денег, обеспечивая при этом интуитивно понятный интерфейс и позволяя им сосредоточить свое время и усилия на управлении рисками, а не на управлении инструментами управления рисками.
Источник: https://www.simplerisk.com/blog/grc-is-dead-long-live-grc
И я пришел к тем же выводам. Толстенькие GRC-системы хороши для освоения толстеньких бюджетов в гигантских вертикально интегрированных корпоративных структурах. Для нормального бизнеса, называемого SMB, который только и есть настоящий бизнес, важно “сосредоточить свое время и усилия на управлении рисками, а не на управлении инструментами управления рисками”, как правильно отметил Джош.