Veel organisaties worstelen met het vormgeven van een eenvoudig en geïntegreerd GRC Framework. Om toch maar een begin te maken wordt teruggevallen op COSO of ISO31000. Deze raamwerken bieden houvast, structuur en ordening. De praktijk leert dat de organisatie zelf helemaal niet zo denkt. En het dus ook nooit op deze wijze gaat omarmen. Laat onverlet dat het voor sommige partijen heel nuttig is om conform COSO of ISO te rapporteren. Maar dat is iets anders dan implementeren.
Doelen van een GRC Framework
Een goed werkend GRC Framework zorgt er ondermeer voor dat bestuur efficient en effectief wordt geïnformeerd over op welke wijze de belangrijkste risico’s van de onderneming worden beheerst. Daarnaast moet het vertrouwen geven in de opvolging van de afgesproken beheersmaatregelen. Incidenten kunnen registeren om te anticiperen en te leren. En je moet ook nog snel kunnen zien waar je wel of niet voldoet aan de eisen (wet- en regelgeving) van stakeholders.
Samenwerken
Als de 1e lijn ergens een hekel aan heeft is als ze vanuit de 2e lijn continue voor verschillende vraagstukken worden lastig gevallen terwijl hier een grote overlap in zit. Kwaliteit, Risicomanagement, Veiligheid, Informatiebeveiliging, Datasecurity, etc. hebben allemaal veel raakvlakken met elkaar. Samenwerking tussen deze staffunctionarissen is het begin. Bedenk met elkaar, aan de hand van de RiskAppetite van de organisatie, wat nodig is om de 1e lijn te ondersteunen en naar een hoger niveau te brengen. Zorg dat je een aanpak en tooling kiest die dit eenvoudig maakt en waaruit zowel de 1e als de 2e lijn snel kan rapporteren.
Strategie is de basis
Om het relevant te maken is een verbinding met de doelen cruciaal. Zonder een duidelijke lijn vanuit de strategische doelen via de operationele doelen is het onmogelijk de belangrijkste activiteiten van de organisatie te kennen. Deze zijn nodig om te kunnen bepalen waar in de organisatie de meeste impact zit. Dit maakt het dan vanzelf ook meer relevant voor bestuur en stakeholders.
Risicoanalyse een voorwaarde
Wil men RiskBased kunnen prioriteren is een goede risicoanalyse een voorwaarde. Zonder een goed risicoprofiel, gerelateerd aan de doelen van de organisatie, wordt GRC een administratieve bezigheid. Minder is meer.
Incidentenmanagement
Van incidenten kunnen we veel leren. Ze zeggen ons hoe goed de machinekamer functioneert. Incidenten hoeven niet altijd meteen veel geld te kosten maar hebben vaal wel direct invloed op ons imago. Snelle informatie hierover zegt veel over de prestaties van je bedrijf.
Compliance
Durf hier ook keuzes te maken. Het is zo goed als onmogelijk om op ieder moment aan alle gestelde wetten, eisen, normen, regelgeving te voldoen. Zorg dat je kunt laten zien waar je ervoor gekozen hebt om wel te voldoen. Namelijk omdat het vanuit je RiskAppetite moet. Laat zien dat je keuzes maakt op basis van je risicoprofiel. Daarmee wordt het voor een organisatie duidelijk waarom wel of waarom niet. Is het eenvoudiger te begrijpen en gaan mensen er ook naar handelen.
Audit
Zoals ook de Commissie Van Maanen aangeeft kan audit steeds meer impact krijgen. Audit moet er dan wel in slagen om hun auditplan RiskBased te plannen zodat de aanbevelingen rechtstreeks slaan op de Succesfactoren en TOP risico’s van de organisatie. Iedere bestuurder is toch geïnteresseerd in het feit of de organisatie werkelijk zo goed presteert als door iedereen wordt gezegd?
