GRC-tooling implementeren: Zes randvoorwaarden voor succes

26 juli 2023 Consultancy.nl 4 min. leestijd
Profiel
Meer nieuws over

Steeds meer bedrijven zetten technologie en tooling in om hun bedrijfsprocessen binnen risk & compliance te stroomlijnen. De stap naar het implementeren van GRC-tooling is echter niet zomaar gezet. Waar moet je op letten? En welke randvoorwaarden moeten op hun plek staan? Experts van Into Control geven uitleg.

Steeds meer organisaties zoeken naar automatisering ter ondersteuning van de risk & compliance-functie middels Governance, Risk & Compliance (GRC)-tooling. Als deze tooling eenmaal goed draait, kan die heel handig zijn voor bijvoorbeeld de auditability van risk management frameworks, reporting naar management en efficiency in de eerste en tweede lijn.

Vaak pakt de implementatie van GRC-tooling echter veel intensiever uit dan van tevoren verwacht, zo ziet Intro Control in de praktijk.

GRC-tooling implementeren: Zes randvoorwaarden voor succes

Consultants van de risk, compliance en assurance-consultancy hebben vanuit hun ervaring in de praktijk de belangrijkste randvoorwaarden om succesvol te kunnen beginnen met GRC-tooling op een rij gezet.

Beleid

De centrale randvoorwaarde waar aan voldaan moet worden is een duidelijk beleid op het gebied van risk management. Het gevoerde beleid moet de organisatie richting geven en daarnaast antwoord geven op vragen als: Hoe denken we over risk management? Wat zijn onze bedrijfsdoelstellingen? Wat is onze ‘risk appetite’?

Het beleid moet de juiste mindset bevorderen en de basis leggen voor effectief risk management. Daarnaast moet een beleidsstuk regelmatig worden herzien en beschikbaar zijn (minimaal) voor de relevante stakeholders.

Governance

Met het beleid als uitgangspunt is een tweede randvoorwaarde een goed uitgedacht governance-kader voor de organisatie evenals voor de risk & compliance-afdeling, waarin de manier van werken is vastgelegd. Dit kader dient het volgende te omvatten:

  • The way-of-working is vastgelegd
  • Rollen (bijvoorbeeld de rollen proceseigenaar, risico-eigenaar, controleigenaar en tester) zijn toebedeeld
  • Voor iedere rol zijn verantwoordelijkheden gedefinieerd
  • Er is waar nodig een back-up aangewezen voor bepaalde rollen
  • Er is een structuur afgesproken aan de hand waarvan de organisatie beslissingen neemt om bij te sturen
  • Er zijn rapportageprocessen gedefinieerd

Kennis en kunde

Ook het hebben van de juiste kennis en kunde binnen de organisatie is van groot belang. Medewerkers die betrokken zijn bij het gebruik en de implementatie van de GRC-tool moeten op de hoogte zijn van de huidige risicomanagementpraktijk en relevante methoden kunnen toepassen.

Cultuur

Verder moet een risk management-cultuur worden gedragen door de gehele organisatie. Als het risk management-gedachtegoed niet wordt omarmd door een deel van de organisatie kan dit de implementatie van de GRC-tool bemoeilijken.

Wanneer risicomanagement een integraal onderdeel is van de organisatiecultuur, stimuleert dit een proactief risicobeheer en compliance, wat op zijn beurt leidt tot een effectieve implementatie van GRC-tooling.

Het Risk Management Maturity Model

Bij Into Control maken ze gebruik van het Capability Maturity Model van het CMMI Instituut om de volwassenheid van risicomanagement te meten. “Vanuit onze ervaring in het implementeren van GRC-tools raden we organisaties aan om pas aan de slag te gaan met een GRC-tool als een volwassenheidsniveau van 3 is bereikt”, zo laat het bureau weten.

Volwassenheidsniveau 3 impliceert dat de basisprocessen voor risicobeheer al zijn gevestigd en dat er, naast een gestructureerde aanpak voor het identificeren en beoordelen van risico’s, op een consistente en aantoonbare manier controls worden uitgevoerd om risico’s te beheersen.

“GRC-tools zijn er om deze processen te ondersteunen middels automatisering en zijn vaak niet bedoeld om te gebruiken als leidraad om een hoger volwassenheidsniveau te behalen”, aldus Into Control.

Conventies

Het hebben van duidelijke richtlijnen en conventies is van cruciaal belang voor een consistente en gestructureerde aanpak van risicomanagement. “Specifiek op het gebied van risicomanagement moeten conventies worden vastgesteld voor aspecten als risk appetite (risicobereidheid) en risicobeoordelingsmethodieken. Deze conventies moeten worden opgenomen in het beleid en worden nageleefd in de dagelijkse praktijk.”

Conclusie

Voordat een GRC-tool kan worden geïmplementeerd moet aan bepaalde randvoorwaarden worden voldaan. Een duidelijk beleid, een goed governance-kader, de juiste kennis en kunde, een risicobewuste cultuur, volwassenheidsniveau 3 binnen het Risk Management Maturity Model en het vaststellen van conventies en richtlijnen zijn essentiële elementen om het platform succesvol te kunnen implementeren.

Lees ook

Modellen & Raamwerken nieuws

Meer Modellen & Raamwerken

Risk & Compliance nieuws

Risk & Compliance adviesbureaus Risk & Compliance consultancy diensten

Technologie nieuws

Technologie adviesbureaus Technologie consultancy diensten

Into Control nieuws

Into Control nieuws