A szakmai tudás új értéke
A GRC-szakemberek évekig az operatív kiválóságért kaptak elismerést: bizonyítékgyűjtés, stresszes auditciklusok kezelése, bonyolult megfelelőségi programok fenntartása kis létszámban, kevés erőforrással – ezek jelentették az értékes kolléga ismérveit. Ez a tudás létfontosságú, és szerencsére valóban kiválóak benne. Lényeges szempont, hogy az MI azonban teljesen másként értékeli ezt a tudást. Az új generációs ügynökrendszerek képesek bizonyítékokat összegyűjteni, javítási feladatokat indítani vagy akár egy auditciklus nagy részét is önállóan kezelni. Ha mindezt az MI képes elvégezni, felmerül a kérdés: mi lesz a GRC-szakember valódi feladata? A legtöbb szervezet még nem találta meg a választ.
Vissza a gyökerekhez: a GRC valódi célja
A GRC valódi célja nem az adatgyűjtés vagy a státuszjelentések készítése, hanem a szervezet biztonságának tényleges mérése és a valós kockázatok átlátása. Az irány az elmúlt években eltorzult: az eszközök és folyamatok fejlődése elmaradt a programok növekedésétől, így a GRC-csapatok idejük nagy részét gépies munkára pazarolták, nem pedig arra, amiért eredetileg a szakmába jöttek: valódi védelmet biztosítani, és ezt átláthatóvá tenni a vezetés számára. Míg az operacionalizált feladatokat végül mindenki rutinszerűen végezte, az elhivatott szakemberek számára a szakmai motiváció forrása nem az Excel volt, hanem a döntések súlya.
Mit tud (és mit nem tud) az ügynökalapú GRC?
Az ügynökalapú GRC fejjel lefelé fordítja az egész működést. Az adat már nem emberi kézen át halad, hanem a rendszerekből automatikusan, folyamatosan jön; a kontrollokat nem időszakosan, hanem valós időben monitorozzák. A javítási feladatok nem Excel-táblákban lesznek nyomon követhetők, hanem automatizáltan generált és követett hibajegyekben. Az MI azonban nem tud magától priorizálni, szabályokat alkotni vagy eldönteni, mit miért kell vizsgálni. Az ügynökrendszerek logikáját az ember szabja meg: ki kell mondani, milyen kockázatot vállal a szervezet, mit jelent a valódi javítás, mi számít áteresztett hibának, mit kell felülvizsgálni, mit fogad el majd egy auditor. Ezt a tudást és ítélőképességet csak a tapasztalt szakemberek tudják hozzáadni.
A szakma újraírja önmagát
Az új operatív MI-korszak fő nyertesei azok lesznek, akik a műveletekről végre visszatérhetnek az eredeti hivatásukhoz: értékek mentén meghatározni a kockázatokat, átlátni, mi véd meg ténylegesen egy szervezetet, és mik azok a lusta megfelelőségi gyakorlatok, amelyek már csak hagyományból léteznek. Nem mindenkinek lesz könnyű átállni: sokaknak az operatív feladatok adták a szakmai identitást – még akkor is, ha alapvetően nem ezek miatt választották ezt a pályát. Mégis, azok, akik mernek továbblépni, arról számolnak be: nem új dolgot tanultak, hanem végre engedélyt kaptak olyasmire, amit mindig is jól csináltak volna.
Ebből adódóan az ügynökalapú GRC bevezetői nem technológiai, hanem stratégiai előnyt szereznek. Csapatai nem több MI-t, hanem több gondolkodási szabadságot kapnak, és ténylegesen vezetni kezdik a programot, nemcsak üzemeltetik. Az átállás nem forradalom, hanem a szakmai szerepkör valódi visszanyerése – épp abban a formában, ahogyan mindig is kellett volna.
