Hoe volwassen is jullie GRC?

Of hoe GRC volwassen wil je zijn..

GRC volwassenheidsmodellen zijn er inmiddels in overvloed. En alle modellen lijken op elkaar. Eerst maar eens een overzicht van de verschillende benamingen die worden gebruikt:

Een duidelijke conclusie is dat er veel overeenkomsten zitten in de verschillende modellen. Er zijn kleine verschillen in wat je in welke fase doet en verder is het voornamelijk de bewoording die gekozen wordt. Alle modellen refereren in de uitwerking naar de ontwikkeling die de organisatie moet doormaken.

Wat valt op!

Opvallend is dat alle modellen zichzelf als een Risicomanagement Model bestempelen. Dit is te beperkend. Zeker als je doordenkt dat het voldoen aan wetgeving en normenkaders (compliance) een basisbehoefte is en derhalve al in de Fase 2 naar gerefereerd wordt. In Fase 3 wordt gerefereerd naar de meer intrinsieke motivatie en worden de interne normenkaders / gedrag benoemd.

Het is dus een samenspel van Governance (hoe is mijn organisatie ingericht), Risicomanagement (inzicht in risico’s en beheersing) en Compliance (voldoen aan wetgeving).

Vanuit de Corporate Governance Code heeft de rol van Audit de laatste jaren een steeds meer prominente rol gekregen. Immers, het gaat ook over de zekerheid die je kunt ontlenen aan de mate van hoe de organisatie zijn beheersing op orde heeft. Deze zekerheid geeft pas de basis om Risicomanagement ook om te zetten naar Kansenmanagement of Prestatiemanagement.

Dit sluit volledig aan bij de ontwikkeling die een (risico)bewuste organisatie doormaakt. Een adequate en competente organisatie is pas in staat om de risico’s van morgen te herkennen en erop te anticiperen. Dit lukt alleen als je tijd hebt georganiseerd om de basis op orde te hebben.

Wat missen we?

De modellen hebben het veel over (risico)eigenaarschap. En natuurlijk over draagvlak aan de top. Een constatering is dat in de eerste fase van volwassenheid maar een beperkt aantal mensen nodig zijn om er invulling aan te geven.

Voorbeeld vanuit de praktijk:
Vanuit de Raad van Commissarissen worden meer details over de risico’s van een nieuw project gevraagd. De bestuurder vraagt de projectleider hierom en deze organiseert snel een workshop (al dan niet met een risicospecialist) om de belangrijkste risico’s in kaart te brengen. Deze worden netjes in een overzicht gezet en aangegeven wat de extreme situaties kunnen zijn. De RvC heeft haar inzicht. Indien gewenst herhalen we dit ieder jaar.

Dit kan voldoende zijn voor sommige organisaties…

Het is goed om vooraf te beseffen welke hoofdrolspelers een rol spelen in de verschillende fasen van volwassenheid. Niet ieder model geeft hier expliciet een antwoord op. En top-down suggereert niet dat 1e lijn hier dan intrinsiek aan meewerkt.

Een goed overzicht van hoofdrolspelers is:

Wat opvalt!

Opvallend is dat alle modellen terugvallen op de ‘verplichte zaken’ waar organisaties aan moeten voldoen. Financiële richtlijnen, voorgeschreven modellen, jaarrekening stukken, verplichte wetgeving, etc. Heel erg compliance driven!

Compliance is daarmee een hele belangrijke pijler onder het fundament van risicomanagement. Compliance is ook veel administratie. Compliance geeft zekerheid om volgende stappen te kunnen zetten. De ‘verdediging’ op orde geeft de basis om te kunnen aanvallen!

Bij de organisatie van deze administratie wordt de 1^e lijn niet vaak betrokken. Er wordt zeker wel om input gevraagd maar dit wordt hoofdzakelijk verwerkt door de compliance officer / 2^e lijn. Toch komt deze structuur terug bij nagenoeg alle modellen als basis om de organisatie verder te ontwikkelen. Een systeem voor deze structuur en afstemming tussen de verschillende disciplines wordt echter niet benoemd. Terwijl dit toch de basis is voor borging en herhaling.

Verder valt op dat de modellen (onbewust lijkt het) impliceren dat pas in fase 4 de 1^e lijn actief participeert. Tot en met Fase 3 leveren ze wel input maar met name reactief. Om de groei van GRC volwassenheid te faciliteren dus cruciaal om dit te beseffen. In het begin moet de aandacht echt liggen bij het neerzetten van structuur, uniformiteit, afstemming tussen disciplines, administratie op orde. Pas als dit is ingeregeld de 1^e lijn erbij betrekken om verwarring en onduidelijkheden te voorkomen.

Kennismaken met NARIS-GRC® NEXT?

Gratis online en vrijblijvend?

Hoe volwassen wil je zijn?

Denken in modellen is gevaarlijk. Voor je het weet blijf je in een theoretisch model hangen en verlies je oog voor de dagelijkse werkelijkheid. Een model is goed om richting of inzicht geven.

De kernvraag is: Hoe GRC volwassen wil je zijn?

Deze vraag beantwoorden langs de inzichten van de verschillende modellen geeft veel richting.

Voorbeeld uit de praktijk:

Een beursgenoteerd bedrijf moet voldoen aan alle SOC wetgeving vanuit de USA en heeft hiervoor een kwalitatief goed en volledig ICF (In Control Framework) opgesteld. Dit wordt jaarlijks uitgevraagd naar alle business controllers in >60 landen met de mogelijkheid afwijkingen te noteren of de voorgestelde control van toepassing te verklaren.

Hiermee is deze multinational volkomen compliant aan de voor hen geldende wet- en regelgeving en heeft een GRC volwassenheid van ‘Basic’ (fase 3). Precies conform hoe de organisatie nu wil werken en hoe ze de organisatie nu willen belasten.

Vanuit een gestructureerde, ingeregelde basis is uitbouwen eenvoudig!

Denk na over het totale plaatje!

Volwassenheid van GRC gaat over het totale plaatje. De belofte dat je een implementatie binnen 2 maanden kan doen…

Het systeem werkt dan wel, maar werken mensen ook met het systeem?

Alle drie de GRC-elementen moeten volwassen worden. Mensen moeten worden meegenomen, getraind, verwachtingen duidelijk zijn, etc. GRC is iets van veel mensen in een organisatie. Processen moeten op elkaar worden afgestemd. Immers, je wilt ‘administraties’ combineren dus vakgebieden moeten op elkaar aansluiten. En als sluitstuk de GRC software. Denk na welke rapportages zinvol zijn en direct waarde opleveren. Houd hier rekening mee met de inrichten. Begin simpel en laat het groeien…

Voor de implementatie van een financieel pakket is het ook heel normaal dat iedereen getraind wordt voordat ze het systeem mogen gebruiken en verrijken. Dus ook voor GRC Software. De praktijk leert dat vaak alleen de 2^e lijn wordt getraind…

Geïnspireerd geraakt of wil je meer weten? Vraag het Stijn!

Meer artikelen:

Bas van ’t Hof over Strategiekaarten voor Effectief Risico- en Prestatiemanagement in Gemeenten

Bas van’t Hof een bedreven Governance, Risk & Compliance professional werkend als Adviseur Concerncontrol Risico- & Prestatiemanagement bij De Bedrijfsvoeringspartner...

Lees dit bericht >

Risicomanagement

Nieuwe aanpak voor meer synergie Risicomanagement en Procesmanagement

In de dynamische en complexe omgeving is het essentieel om processen efficiënt te beheren en risico’s effectief te beheersen. Procesmanagement...

Lees dit bericht >

Risicomanagement

Risicomanagement

Wij zijn een erkend leerbedrijf!

Onlangs hebben wij van het SBB de officiële erkenning als ‘erkend leerbedrijf’ in ontvangst mogen nemen. Dit betekent dat Naris...

Lees dit bericht >

Risicomanagement

Risicomanagement

5 stappen op weg naar een Verklaring Omtrent Risicobeheersing

Afgelopen december 2023 werd besloten een wettelijk verplichte Verklaring Omtrent Risicobeheersing (VOR) voor ondernemingen aan de corporate governance code toe...

Lees dit bericht >

Risicomanagement

Bekijk meer artikelen en Webinars in de Naris Academy ->

Nederland

Plantageweg 1C
3833 AZ Leusden

Colosseum 19
7521 PV Enschede

Duitsland

Hohenzollernring 57
50672 Köln

Over NARIS

Partners

GRC tooling

Support

Hoe volwassen is jullie GRC?

Of hoe GRC volwassen wil je zijn..

Wat valt op!

Wat missen we?

Wat opvalt!

Kennismaken met NARIS-GRC® NEXT?

Gratis online en vrijblijvend?

Hoe volwassen wil je zijn?

Denk na over het totale plaatje!

Geïnspireerd geraakt of wil je meer weten? Vraag het Stijn!

In het kort: