{"id":6906,"date":"2016-11-29T11:56:00","date_gmt":"2016-11-29T10:56:00","guid":{"rendered":"https:\/\/naris-prod.azurewebsites.net\/kaplan-copy\/"},"modified":"2022-01-06T14:53:09","modified_gmt":"2022-01-06T13:53:09","slug":"waarom-coso-niet-helpt-bij-grc-implementaties","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/waarom-coso-niet-helpt-bij-grc-implementaties\/","title":{"rendered":"Waarom COSO niet helpt bij GRC implementaties"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Veel organisaties worstelen met het vormgeven van een eenvoudig en ge\u00efntegreerd GRC Framework<\/a>. Om toch maar een begin te maken wordt teruggevallen op COSO of ISO31000. Deze raamwerken bieden houvast, structuur en ordening. De praktijk leert dat de organisatie zelf helemaal niet zo denkt. En het dus ook nooit op deze wijze gaat omarmen. Laat onverlet dat het voor sommige partijen heel nuttig is om conform COSO of ISO te rapporteren. Maar dat is iets anders dan implementeren.<\/p>

Doelen van een GRC Framework<\/h3>

Een goed werkend GRC Framework zorgt er ondermeer voor dat bestuur efficient en effectief wordt ge\u00efnformeerd over op welke wijze de belangrijkste risico\u2019s van de onderneming worden beheerst. Daarnaast moet het vertrouwen geven in de opvolging van de afgesproken beheersmaatregelen. Incidenten kunnen registeren om te anticiperen en te leren. En je moet ook nog snel kunnen zien waar je wel of niet voldoet aan de eisen (wet- en regelgeving) van stakeholders.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t
<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Samenwerken<\/h3>

Als de 1e lijn ergens een hekel aan heeft is als ze vanuit de 2e lijn continue voor verschillende vraagstukken worden lastig gevallen terwijl hier een grote overlap in zit. Kwaliteit, Risicomanagement, Veiligheid, Informatiebeveiliging, Datasecurity, etc. hebben allemaal veel raakvlakken met elkaar. Samenwerking tussen deze staffunctionarissen is het begin. Bedenk met elkaar, aan de hand van de RiskAppetite van de organisatie, wat nodig is om de 1e lijn te ondersteunen en naar een hoger niveau te brengen. Zorg dat je een aanpak en tooling kiest die dit eenvoudig maakt en waaruit zowel de 1e als de 2e lijn snel kan rapporteren.<\/p>

Strategie is de basis<\/h3>

Om het relevant te maken is een verbinding met de doelen cruciaal. Zonder een duidelijke lijn vanuit de strategische doelen via de operationele doelen is het onmogelijk de belangrijkste activiteiten van de organisatie te kennen. Deze zijn nodig om te kunnen bepalen waar in de organisatie de meeste impact zit. Dit maakt het dan vanzelf ook meer relevant voor bestuur en stakeholders.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Risicoanalyse een voorwaarde<\/h3>

Wil men RiskBased kunnen prioriteren is een goede risicoanalyse een voorwaarde. Zonder een goed risicoprofiel, gerelateerd aan de doelen van de organisatie, wordt GRC een administratieve bezigheid. Minder is meer.<\/p>

Incidentenmanagement<\/h3>

Van incidenten kunnen we veel leren. Ze zeggen ons hoe goed de machinekamer functioneert. Incidenten hoeven niet altijd meteen veel geld te kosten maar hebben vaal wel direct invloed op ons imago. Snelle informatie hierover zegt veel over de prestaties van je bedrijf.<\/p>

Compliance<\/h3>

Durf hier ook keuzes te maken. Het is zo goed als onmogelijk om op ieder moment aan alle gestelde\u00a0wetten, eisen, normen, regelgeving te voldoen. Zorg dat je kunt laten zien waar je ervoor gekozen hebt om wel te voldoen. Namelijk omdat het vanuit je RiskAppetite moet. Laat zien dat je keuzes\u00a0maakt op basis van je risicoprofiel. Daarmee wordt het voor een organisatie duidelijk waarom wel of waarom niet. Is het eenvoudiger te begrijpen en gaan mensen er ook naar handelen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Audit<\/h3>

Zoals ook de Commissie Van Maanen aangeeft\u00a0kan<\/em>\u00a0audit steeds meer impact krijgen. Audit<\/a> moet er dan wel in slagen om hun auditplan RiskBased te plannen zodat de aanbevelingen rechtstreeks slaan op de Succesfactoren en TOP risico\u2019s van de organisatie. Iedere bestuurder is toch ge\u00efnteresseerd in het feit of de organisatie werkelijk zo goed presteert als door iedereen wordt gezegd?<\/p><\/article>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Veel organisaties worstelen met het vormgeven van een eenvoudig en ge\u00efntegreerd GRC Framework. Om toch maar een begin te maken…<\/p>\n","protected":false},"author":18,"featured_media":5763,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[84,42,54],"class_list":["post-6906","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-coso","tag-grc","tag-grc-tools"],"_links":{"self":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/6906","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/comments?post=6906"}],"version-history":[{"count":18,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/6906\/revisions"}],"predecessor-version":[{"id":16597,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/6906\/revisions\/16597"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media\/5763"}],"wp:attachment":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media?parent=6906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/categories?post=6906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/tags?post=6906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}