Welke randvoorwaarden moeten op orde zijn om GRC-tooling goed te kunnen implementeren?

Bedrijven zijn continu op zoek naar manieren om hun bedrijfsprocessen efficiënter te maken om zodoende kosten te drukken en fouten te verminderen. Into Control heeft de afgelopen jaren een grote automatiseringsslag waargenomen, waarbij de bedrijfsprocessen bij veel organisaties zo veel mogelijk zijn geautomatiseerd. Tegenwoordig zoeken steeds meer organisaties naar automatisering ter ondersteuning van de Risk en Compliance functie middels Governance, Risk & Compliance (GRC) tooling.

Ondanks dat deze tooling heel handig kan zijn voor bijvoorbeeld de auditability van risk management frameworks, reporting naar management en efficiëncy in de eerste en tweede lijn, merkt Into Control, door de ervaring van meerdere projecten, dat de implementatie van GRC-tooling vaak veel intensiever uitpakt dan men van te voren verwacht. Organisaties hebben behoefte aan tooling, maar zijn hier nog niet helemaal klaar voor. Into Control begeleidt organisaties van A tot Z bij de implementatie van GRC-tooling.

Into Control heeft ervaren consultants gevraagd wat de belangrijkste randvoorwaarden zijn om te kunnen beginnen met GRC-tooling. Onderstaand ziet u een samenvatting van de antwoorden.

Beleid

Een essentiële randvoorwaarde is het hebben van een duidelijk Risk Management beleid. Het beleid moet de organisatie richting geven en antwoord geven op vragen als: ‘’Hoe denken we over risk management?’’, ‘’Wat zijn onze bedrijfsdoelstellingen?’’, ‘’Wat is onze risk appetite?’’. Het beleid moet de juiste mindset bevorderen en de basis leggen voor effectief risk management. Daarnaast moet een beleidsstuk regelmatig worden herzien en beschikbaar zijn voor de relevante stakeholders.

Governance

Zoals hierboven al beschreven is een goed uitgedacht governance kader is van cruciaal belang voor de succesvolle implementatie van een GRC-tool. Met een goed uitgedacht governance kader bedoelen we:

  • The way-of-working is vastgelegd
  • Rollen (bijvoorbeeld de rollen proces eigenaar, risico eigenaar, control eigenaar en tester) zijn toebedeeld
  • Voor iedere rol zijn verantwoordelijkheden gedefinieerd
  • Er is waar nodig een back-up aangewezen voor bepaalde rollen
  • Er is een structuur afgesproken aan de hand waarvan de organisatie beslissingen neemt om bij te sturen
  • Er zijn reporting processen gedefinieerd

Kennis en kunde

Het hebben van de juiste kennis en kunde binnen de organisatie is van groot belang. Medewerkers die betrokken zijn bij het gebruik en de implementatie van de GRC-Tool moeten op de hoogte zijn van de huidige risicomanagementpraktijk en relevante methoden kunnen toepassen.

Cultuur

Een risk management-cultuur die gedragen wordt door de gehele organisatie is essentieel. Als het risk management-gedachtegoed niet wordt omarmd door een deel van de organisatie kan dit de implementatie van de GRC-Tool bemoeilijken. Wanneer risicomanagement verweven is in de cultuur van de organisatie bevordert dit proactief risicobeheer en compliance en daarmee de effectieve implementatie van GRC-tooling.

Het Risk Management Maturity Model

Into Control raadt aan om volgens de volwassenheidsniveaus gedefinieerd in het Risk Management Maturity Model eerst een volwassenheidsniveau van 3 te bereiken voordat een GRC-tool wordt geïmplementeerd. Volwassenheidsniveau 3 impliceert dat de basisprocessen voor risicobeheer al zijn gevestigd en dat er, naast een gestructureerde aanpak voor het identificeren en beoordelen van risico’s, op een consistente en aantoonbare manier controls worden uitgevoerd om risico’s te beheersen. GRC-tools zijn er om deze processen te ondersteunen middels automatisering en zijn vaak niet bedoeld om te gebruiken als leidraad om een hoger volwassenheidsniveau te behalen

Conventies

Het hebben van duidelijke richtlijnen en conventies is van cruciaal belang voor een consistente en gestructureerde aanpak van risicomanagement. Specifiek op het gebied van risicomanagement moeten conventies worden vastgesteld voor aspecten als risk appetite (risicobereidheid) en risicobeoordelingsmethodieken. Deze conventies moeten worden opgenomen in het beleid en worden nageleefd in de dagelijkse praktijk.

De conclusie

Voordat een GRC-tool kan worden geïmplementeerd moet aan bepaalde randvoorwaarden worden voldaan. Een duidelijk beleid, een goed governancekader, de juiste kennis en kunde, een risicobewuste cultuur, volwassenheidsniveau 3 binnen het Risk Management Maturity Model en het vaststellen van conventies en richtlijnen zijn essentiële elementen om het platform succesvol te kunnen implementeren.

Into Control

Wilt u graag een GRC-tool implementeren bij uw organisatie, maar bent u benieuwd waar uw organisatie staat met betrekking tot het maturity level? Into Control staat voor u klaar om te helpen! Into Control heeft een Risk Management Maturity scan zodat er op een snelle en efficiënte manier vastgesteld kan worden in welk maturity level uw organisatie zich bevindt. Tevens kan Into Control de groei naar volwassenheidsniveau 3 uitstekend begeleiden.

Neem contact met ons op en ontdek hoe Into Control uw organisatie kan bijstaan.

Ervaring uit de praktijk 

Into Control Academy heeft op ons verzoek een praktische maatwerk programma ontwikkeld en verzorgd voor onze medewerkers. De ervaren docenten zijn in staat gebleken om op een boeiende wijze een brug te slaan tussen de praktijk en de theorie.

Chelize Perez

Manager Revisio, Van Ameyde

Deze cursus geeft een uitstekend inzicht in de achtergronden, algemene werking en opzet van een control framework. Het kan hierdoor ook goed gebruikt worden om draagvlak te creëren voor een ISAE 3402 of ERM implementatie.

Risk Manager

Financiële Dienstverlening

Cursus biedt veel meerwaarde. Risico Management krijgt een prominente plek en de cursus geeft veel handvatten om de Riskfunctie te professionaliseren. Docenten hebben veel kennis en ervaring en zetten dit op de juiste wijze in.

Kwaliteitsmanager

Zorg