GRC – Moet dat nou?

Gespreksthema’s

Als Governance Risk en Compliance (GRC) professional zijn er een aantal gespreksthema’s die terugkerend zijn en die je op de juiste manier wil brengen om de organisatie naar een volwassener niveau te krijgen op het gebied van Governance, Risk en Compliance. Deze thema’s zijn:

 1. Management: de GRC professional is van een stafafdeling dus draagt niet direct bij aan de groei van de organisatie, “Moet ik daar wel in investeren?”
 2. 1e lijn: de GRC professional is van de afdeling “moeten” en kost mij tijd. “Moet dat nou?”
 3. De toezichthouder/externe accountant/partnerorganisatie: het kan nog beter op een aantal punten. “Het moet beter”

Deze 3 thema’s leiden vaak tot onder-investering in GRC; te weinig GRC professionals, de status quo van Excel, alleen doen wat hoogstnoodzakelijk is, half bakken tools of onveilige software.

Hoe kunnen wij helpen?

Wij delen al 20 jaar kennis, kunde en software om Governance, Risk en Compliance op een hoger niveau te krijgen in organisaties omdat de indirecte waarde die de GRC professional bijdraagt niet vaak genoeg belicht kan worden. Jij als GRC professional draagt bij aan de waarde van de organisatie omdat GRC betekent dat:

 • de organisatie betrouwbaar is naar andere organisaties zoals partners, leveranciers, klanten, verbonden partijen, kortom het hele ecosysteem rondom je organisatie
 • de organisatie doelgericht is door een risicoprofiel dat aansluit bij de doelstellingen van de organisatie
 • de organisatie integer is qua handelen en transparant kan zijn

En ja, je kan dit allemaal op de achterkant van een servetje uitrekenen als je wat aannames doet of uitgebreid bestuderen. Dat willen we graag samen met je doen.

Maar we willen je ook helpen op een andere manier.

Onze software zit vol met functionaliteit die direct waardevol is zoals de simulatie om je risicoprofiel af te zetten tegen de financiële reserves, self assessments om de risico’s in je netwerk in één keer duidelijk te krijgen, workshops om kans en impact gezamenlijk te scoren, incident- en schademanagement om je verzekeringsportfolio te optimaliseren et cetera. Wil je dat zien? Neem dan contact met ons op.

We hebben al eerder aandacht geschonken aan hoe je GRC intern verkoopt omdat de communicatie van jou als GRC professional bepalend is voor het opereren als “lone wolf” versus een integrale aanpak.

Een belangrijk aspect van dit verkopen is ook dat er vaak gezegd wordt dat GRC professionals cyclisch denken, want het gaat niet om een éénmalige verbetering die gewenst is maar een continu proces van verbeteringen. Maar hoe vertaal je dat cyclische denken nu voor de “lineaire” denkers? De 1e lijn die bezig is in één rechte weg naar haar doelstelling te gaan of het management dat volgend jaar x,y, of z wil hebben bereikt?

Hieronder hebben we het voor je plat geslagen!

Links het cyclische karakter van Risico, Maatregel en Audit (zonder alle details) en rechts de vertaling daarvan naar een lineair proces dat je kan gebruiken voor de 1e lijn of management waarbij je voor Risico, Maatregel en Audit het kader schetst, de uitvoering beschrijft en de strategie definieert. Als dit lineaire proces de 1e keer is doorlopen en op basis daarvan een nieuwe cyclus start blijft het voor lineaire denkers lineair. Iedere uitvoering van het lineaire proces is een verbeteringsstap die de cyclus opnieuw start.

Toelichting

 1. Risico
  • Kader: Hoe relateren risico’s aan de doelstellingen en binnen welke context (interne of externe risico’s, key risks, operational risks etc.)
  • Uitvoering: Verzamel de risico’s, analyseer ze en evalueer ze. Een risico register met alle denkbare risico’s is meer effectief te managen
  • Strategie: Bepaal voor het gecomprimeerde register de strategie per risico, bepaal bruto kans en impact en ga daarna door naar de Maatregelen/Controls.
 2. Maatregel
  • Kader: Maatregelen gaan over beheersing en beheersbaarheid. Een maatregel moet uniek zijn oftewel je wil zo min mogelijk doublures. Een maatregel als het vier ogen principe kan/moet toepasbaar zijn in verschillende processen of risico’s of normen. De 2e lijn kan dit register klaarzetten voor de 1e lijn om zo de inspanning die verwacht wordt van de 1e lijn te minimaliseren. Lees hier meer in deze blog.
  • Uitvoering: OBW. Moeten we dat toelichten aan jou als GRC professional?
  • Strategie: Je kan de 1e lijn helpen door een self assessment te laten uitvoeren, evidence toe te voegen, acties te definiëren of te benchmarken als de maatregel bijvoorbeeld hetzelfde is voor meerdere afdelingen, processen of risico’s
 3. Audit
  • Kader: een auditee die geïnformeerd is over de scope, de steekproef en de documentatie snapt wat gevraagd wordt en zal niet gaan duiken bij een audit maar begrijpen wat nut en noodzaak is van een audit. De auditee is deelgenoot in plaats van “lijdend voorwerp”
  • Uitvoering: een audit heeft niet als doel bevindingen op te leveren maar op basis van bevindingen te komen tot aanbevelingen, opvolging daarvan, verbeteringen en een review.
  • Strategie: de acties leiden tot verbeteringen en uiteindelijk misschien tot een verklaring of certificering. Als er gedeeld begrip is dat dat een doel is en het kader is helder dan wordt de strategie een gezamenlijke inspanning

En ja, het ineengrijpen van deze 3 complexe en cyclische processen (we hebben veel details weggelaten) is mogelijk in NARIS GRC. We kunnen helpen bij het omkeren van het negatieve beeld zoals benoemd aan het begin van deze blog in een waardevol beeld!

LinkedIn
Twitter
Facebook
Email
Print
GRC

In het kort:

Meer artikelen: