GRC software; waar moet je op letten bij de keuze voor een leverancier?

Met GRC software, ook wel  Governance, Risk and Compliance software, wil je de spaghetti aan control spreadsheets efficiënter managen. Het kan echter moeilijk zijn om te kiezen, aangezien elke softwareleverancier tegenwoordig te koop loopt met GRC software.  

Leveranciers claimen vaak dat alles kan terwijl in werkelijkheid er vaak functionaliteiten missen of vrij beperkt zijn. Als je een vergelijking maakt tussen de verschillende partijen voor GRC software, vergeet dan niet de functionaliteiten en mogelijkheden goed onder de loep te nemen.  

Vooraf is het dan belangrijk om duidelijk te hebben welke functionaliteiten voor jouw belangrijk zijn. Denk dus eerst na over het huidige en gewenste proces, wie er mee moet gaan werken en op welke wijze, en voor wie je straks welke rapportages/dashboard wilt kunnen samenstellen.  

Ben je op zoek naar GRC software en wil je een weloverwogen keuze maken? Hier zijn enkele product- en supportcriteria die je mee kunt nemen bij het selecteren en uitnodigen van potentiële leveranciers. 

De verschillende functionaliteiten en mogelijkheden van GRC software 


Risico-analyse en vaststelling kans en impact

Hoe gemakkelijk is het om jouw risico’s te kwantificeren en te rangschikken? Sommige GRC tools laten meerdere kans en impact scores zien (bijv. impact financieel, duurzaamheid en/of veiligheid). Met deze scores kan je risico’s op meerdere manieren snel rangschikken en de key risico’s vaststellen. Dit helpt bij het stellen van de juiste prioriteiten en bepaalt waar actie genomen moet worden. Daarnaast zijn er partijen waarbij er ook scenario analyses, Monte Carlo analyses, kunnen worden gedaan.  

Risicoregister

Kunnen de risico’s van jouw organisatie gemakkelijk gedeeld en uitgevraagd worden?  Sterke GRC software vereenvoudigt de manier waarop je risico’s identificeert en communiceert (bijvoorbeeld door centraal risicoregister). Deze verzamelt een standaard set aan risico’s en biedt voldoende details decentraal het risico makkelijk begrepen wordt. 

Control register

Hoe goed kun  je  risico’s  en  controls  koppelen?  Zowel  controls  aan risico’s als andersom.  Daarnaast wil je de controls  kunnen koppelen aan normen, wet en regelging. Denk hierbij bijv. aan de ISO27002.  Het systeem moet het mogelijk maken het  P&C cyclus voldoende gedetailleerd te beschrijven en moet links bieden naar volledig gedetailleerde documentatie, zoals opzet, bestaan en werking. 

Workflow

Elke organisatie is uniek en doet het weer net even anders. Werk je huidige werkwijze en/of processen uit zodat je een goede afweging kunt maken welk GRC pakket het beste aansluit. Is het pakket zo te configureren dat er meerdere oplossingen zijn? Daarnaast kan het zijn dat je aansluit bij een best practice of je bereid bent je processen aan te passen.  

Control risk self-assessments templates

Kun je makkelijk informatie ophalen uit de organisatie en vragenlijsten uitzetten? Kun je daarnaast bepaalde templates, checklist, steekproeven, aanbevelingen hergebruiken? Standaard templates, controls moeten makkelijk benaderbaar zijn vanuit databases.  

Ad hoc risicoanalyses

De mogelijkheid voor  operationele  en  compliance  analyses uit te voeren van gedetailleerde gegevens wordt steeds belangrijker in veel  GRC processen. Dus, is de GRC software bruikbaar voor derden? Met een gebruiksvriendelijke oplossing ben je deze potentiële uitdaging een stap voor.  

Gegevensverbindingen, toegang en extractie

Hoeveel gegevensbronnen kun je koppelen? Je moet moeiteloos verbinding kunnen maken met meerdere verschillende gegevensbronnen en routines voor gegevensextractie kunnen automatiseren.  

Beheer van gegevens

Hoe makkelijk is het om gegevens te kopiëren of te verplaatsen van de ene afdeling naar de andere, bijv. na een reorganisatie. Kunnen risico’s, controls en templates ook gekopieerd worden zodat dezelfde taal wordt gesproken.  

Analyse & monitoring

Helpt de software je de opgehaalde gegevens gemakkelijk te begrijpen?  Zijn de  key  risks,  key  controls  van de verschillende units makkelijk naast elkaar te leggen. Kan daar een rode lijn uit gehaald worden vanuit verschillende perspectieven? Kan de auditplanning en risicobeoordelingsfasen van interne audit goed verwerkt worden en kunnen bevindingen, aanbevelingen, acties  uitgezet en gemonitord  worden?  

Rapportage en dashboards

Communicatie middels dikke rapporten is niet meer van deze tijd. De mogelijkheid om flexibele rapporten te produceren over meerdere aspecten van GRC processen is duidelijk belangrijk, en in het bijzonder als het gaat om het bieden van dashboard overzichten van de status van risicobeoordelingen. Kun je de informatie aan bestaande reporting tools koppelen?  

Beveiliging

Veiligheid is enorm belangrijk. Hoe is de beveiliging van de GRC software georganiseerd. Is de leverancier ook zelf ISO27000 gecertificeerd?  Hoeveel lagen van beveiliging zijn er voor de toegang tot en het delen van jouw vertrouwelijke gegevens?  Toegangsrechten, bescherming tegen data-inbreuken en sterke data-encryptie zijn essentiële onderdelen van de beoordeling van een potentiële GRC tool.  

Schaalbaarheid GRC applicatie

Is de applicatie schaalbaar? Zal de software die nu voor je werkt voor je blijven werken als jouw gegevens groeien? Stel dat je begint met risk en control en je kunt uitbreiden naar compliance en audit? Data-gestuurde GRC processen omvatten doorgaans zeer grote hoeveelheden data, vaak uit meerdere bronnen en met complexe verwerkingsvereisten. GRC software moet in staat zijn om efficiënt en betrouwbaar om te gaan met toenemende datavolumes.  

Integratie met andere technologieën

Idealiter is één GRC platform in staat om meerdere aspecten van GRC processen te ondersteunen. Het kan echter voorkomen dat de GRC software nauw moet aansluiten op andere gespecialiseerde software die de organisatie mogelijk gebruikt. Denk hierbij bijv. financieel beheer, HR, etc. Is het mogelijk om een data feed aan te leveren? Op die manier kan je eigen organisatie data vanuit andere applicaties bundelen in een eigen dashboard als  PowerBI/Cognos.  

Multi-device

Kan de software op meerdere devices gebruikt worden? Is er een self-assessment, incidenten -app of risico-app die laagdrempelig gebruikt kan worden? Met simpele GRC tools help je de organisatie en kost het niet te veel tijd en energie. Je hebt misschien managers, controllers en risk en compliance officers die processen moeten opstarten en resultaten moeten bekijken terwijl ze onderweg zijn en/of meerdere apparaten gebruiken. Neem mee in je overweging voor GRC software of de leverancier verschillende mobiele apparaten ondersteunt.  

Implementatie kracht en ervaring GRC

Verandering in organisaties is moeilijk. Men is gewend op de eigen manier te werken, bijv. via Excel. Alleen met een GRC tool ben je er vaak niet.  De beschikbaarheid van zowel inhoudelijk als technische ondersteuning is een sleutelcomponent in succesvolle GRC software, vooral tijdens de initiële implementatiefase. Een goed partij heeft voldoende ervaring met implementatie van haar tool bij complexe of in ieder geval soortgelijke organisaties. 

Deskundige hulp nodig bij het vinden van de juiste GRC software?

Ook een GRC tool dwingt tot een verandering in organisaties en medewerkers. Natuurlijk ben je met het maken van de keuze er nog niet. Sterker dan begint het pas! Laat je goed begeleiden bij de implementatie van GRC software en betrek medewerkers door training en coaching. Hou bij het proces en planning rekening met de organisatie om de succes rate van de implementatie te vergroten. Wil je keer een voorbeeld van een aanbesteding of RFP laat het ons weten.

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: