Naar inhoud gaan
Vrouw achter een computer die GRC-software gebruikt om risico's te beheren

Wat is GRC?

In het eerste wetenschappelijk onderzoek naar governance, risk, and compliance werd GRC gedefinieerd als "de geïntegreerde verzameling van functies die een organisatie in staat stellen op betrouwbare wijze doelstellingen te bereiken, onzekerheid aan te pakken en integer te handelen". Sindsdien zijn digitale technologieën en datavolumes explosief toegenomen, maar de kerndoelen en -waarden van een bedrijf blijven hetzelfde.

 

 

Betekenis en definitie van GRC

Eenvoudig gezegd is GRC de strategie en structuur waarmee een organisatie veilig en op schema blijft. Corporate governance, de bestuursstructuur van een bedrijf, bepaalt net als het bestuur van een stad of land, de beginselen en overeenkomsten waar mensen naar leven. Ook biedt het de controles en ondersteuning die nodig zijn om algemene doelen te bereiken. Met risicobeheer worden bedreigingen geïdentificeerd terwijl er processen worden geïntroduceerd om zich ertegen te beschermen. Tot slot zorgt compliancebeheer ervoor dat de organisatie zich houdt aan de voorschriften, de juiste boekhoudprocedures volgt en ethisch te werk gaat.

GRC is de strategie en structuur waarmee een organisatie veilig en op schema blijft.

Zie governance, risk, and compliance als de drie benen van een statief die ervoor zorgen dat de organisatie in balans blijft:

 

1. Governance

 

De G in GRC staat voor governance: bestuur. Het bestuur bepaald niet alleen de regels, het zorgt er ook voor dat de silo's binnen de organisatie aansluiten op de strategische doelstellingen. Het zorgt voor een georganiseerde, productieve werkplek waar alle belanghebbenden, intern en extern, begrijpen hoe hun bijdragen en interesses passen bij die van anderen. Ook draagt het bestuur bij aan het voorkomen van ontslagen, tegenstrijdige initiatieven en onnodige kosten. Door een focus op resourcemanagement en aansprakelijkheid biedt het de controles en balans die nodig zijn om alles op orde te houden. Het doel is om te zorgen voor principiële activiteiten, naleving van bedrijfswaarden en ethische bedrijfspraktijken. Governance is ook een mechanisme om risico's te verminderen en naleving te garanderen door validatie en beheer van informatie, informatiebronnen en de verwerking.

 

2. Risicobeheer en risicovermindering

 

De R in GRC staat voor risk (risico). Dit is alles dat mogelijk tot een negatief resultaat kan leiden, in elk aspect van het bedrijf. Op sommige risico's, zoals een pandemie, kun je je niet voorbereiden. Maar andere risico's ontstaan binnen het bedrijf en zijn het gevolg van operationele, procedurele of technische zwakke punten. En sommige zijn het gevolg van externe bedreigingen, zoals een cyberaanval of fraude.

 

Technologie speelt een cruciale rol bij het vroegtijdig opsporen van risico's, maar voor bedrijfsrisicobeheer is meer nodig dan alleen technologie. De waarden, processen en inzet van de organisatie zijn essentieel voor de manier waarop deze risico's beheert. In een onlangs verschenen artikel in Forbes wordt de groeiende behoefte aan ERM-strategieën (Enterprise Risk Management) beschreven die gebruikmaken van "proactieve, geïntegreerde oplossingen die overkoepelend is voor mensen, data en infrastructuur". Bedrijfsrisico's zijn in te delen in vijf basiscategorieën. De ERM- en GRC-strategieën van een organisatie moeten worden voorbereid om te kunnen anticiperen op deze situaties, en deze beperken en vooral voorkomen.

  • Operationele risico's of prestatierisico's zijn het moeilijkst te definiëren en de hebben grootste potentiële verschillen. Deze ontstaan door fouten (per ongeluk of opzettelijk) binnen de structuur, systemen, mensen, producten of processen die zijn betrokken bij alle aspecten van de bedrijfsvoering.
  • Compliancerisico's ontstaan door een schending van de wet, regelgeving, gedragscode of gevestigde praktijknormen binnen een bedrijfstak of organisatie.
  • IT-risico's ontstaan door een storing in of misbruik van IT, wat leidt tot verlies of negatieve bedrijfsresultaten. Dit kan om een toevallige IT-storing gaan, maar ook om fraude, hacken of een cyberaanval.
  • Financiële risico's zijn bedrijfsrisico's waarbij je geld kunt verliezen aan een investering of zakelijke onderneming. Dit kan een kredietrisico of liquiditeitsrisico zijn, maar kan ook een combinatie zijn met een operationeel risico zoals fraude of wanbeheer.
  • Reputatierisico's kunnen het gevolg zijn van een mislukking in een van de vier bovengenoemde categorieën, die een negatieve invloed heeft op de publieke perceptie. Reputatierisico's leveren niet zo zeer een kwantificeerbaar verlies op, maar zijn desalniettemin een van de meest schadelijke risico's voor een bedrijf of merk.

Met GRC-software kunnen bedreigingen worden opgespoord en kunnen organisaties de risico's proactief monitoren en beheren.

3. Compliancebeheer

 

De C in GRC staat voor compliance. In veel gevallen kan het niet naleven van de regelgeving leiden tot enorme financiële verliezen en ernstige reputatieschade. In 2019 bereikten alleen al de boetes voor gegevenslekken een recordhoogte. De International Trade Commission in de VS heeft gepubliceerd dat bedrijven die in de EU zijn gevestigd in 2019 tot 4 % van hun jaarlijkse wereldwijde inkomsten hebben besteed aan AVG-boetes. En daarnaast zijn er jaarlijks nog miljarden uitgegeven aan andere overtredingen.

 

Compliance is gebaseerd op regels. Dus ook al is het complex en een uitdaging, het is wel een van de meest vermijdbare risico's indien compliance op de juiste wijze wordt beheerd. Daarom zijn slimme technologieën en moderne GRC-software enorm belangrijk als het gaat om datamanagement, predictive analytics en realtime inzichten die nodig zijn om een robuuste en actuele compliancestrategie te behouden.

Wat is een GRC-kader en waarom is het belangrijk?

Een GRC-kader zorgt voor de integratie van bedrijfsbrede systemen en processen om toe te zien op alle aspecten van governance, bedrijfsrisicobeheer en compliance. Dit zorgt voor de gestructureerde aanpak die nodig is om de bedrijfsstrategie van een organisatie af te stemmen met de informatietechnologie. Op deze manier kunnen risico's effectief worden beheerd en kan worden voldaan aan de compliancevereisten. GRC bepaalt hoe de organisatie functioneert, niet wat de organisatie doet. Het gaat dus niet over de productie, verkoop of professionele diensten, maar over de manier waarop de organisatie te werk gaat om hun doel te bereiken. Het maakt niet uit in welk gebied het bedrijf werkzaam is, het gaat om ethisch, zorgvuldig en verantwoord zakendoen.

 

Waarom is een solide GRC-kader nu belangrijker dan ooit? Omdat bedrijven tegenwoordig met ongekend complexe situaties worden geconfronteerd. Dun & Bradstreet hebben de Global Business Impact-risicoscore op een recordhoogte ingedeeld in het Global Business Risk Report van kwartaal 3 van 2020. Bovendien wordt in een recente studie voorspeld dat de wereldwijde kosten voor cybercriminaliteit en gegevenslekken in 2025 meer dan 10 biljoen dollar zullen bedragen. Dit is meer dan drie keer het bedrag van 2015. Als reactie op deze moderne risico's is er ook sprake van een evenredige toename van wereldwijde regelgevende instanties. Volgens de berichten van de Financer zijn er momenteel alleen al in de banksector meer dan 250 dergelijke instanties. Dit zorgt ervoor dat er ongeveer om de 12 minuten een wijziging is van de regelgeving voor het bankwezen.

Wie is er verantwoordelijk voor GRC?

De verantwoordelijkheid voor het opzetten en onderhouden van GRC-plannen en -processen ligt meestal bij de financiële en compliancedirecteuren (CFO en CCO) en hun teams. Dit doen zij samen met de afdeling IT-, HR- en operationele teamleiders in de hele organisatie. Het opzetten van een uitstekende GRC-strategie is echter slechts de eerste stap. Om effectief te zijn moet deze op de juiste manier worden geïntegreerd in de dagelijkse gang van zaken in het gehele bedrijf.

 

De beste GRC- en risicobeheerstrategieën zetten menselijke op de eerste plaats. Op deze manier hebben alle werknemers er belang bij om de duurzaamheid van het bedrijf te waarborgen. In een artikel in de Wall Street Journal wordt het belang van de voorbereiding voor GRC-technologieën en digitale transformatie beschreven: "Bij de voorbereiding en uitvoering van een digitale transformatie binnen een organisatie is het essentieel om een cultuur te creëren waarin iedereen technisch is, en de risico's voor iedereen gelden."

GRC en slimme technologieoplossingen

Artificial intelligence (AI)-technologieën, waaronder machine learning, geavanceerde of augmented analytics en predictive analytics, worden steeds vaker gebruikt om risicobeheer en regelgevingstechnologieën te transformeren (RegTech). Door de mogelijkheid om grote, snel veranderende datasets te verwerken, te analyseren en ervan te leren, hebben GRC-professionals de mogelijkheid om hun eigen vaardigheden te verbeteren, realtime analytische inzichten te gebruiken en hun directe situatie beter te visualiseren in meerdere scenario's.

 

Robotic Process Automation (RPA) is een cruciale tool voor het opbouwen van robuustere en effectievere complianceprogramma's. RPA ondersteunt de monitoring van continue controles en steekproefsgewijze audits. Hierdoor is het gemakkelijker om risico's en afwijkingen vast te stellen. RPA-tools helpen ook om de repetitieve en vaak omvangrijke administratieve taken die horen bij ERM en compliance te automatiseren en te stroomlijnen. Blockchain voegt daarnaast extra kracht toe aan de GRC-systemen, vanwege de beveiliging en onveranderlijkheid van de transactierecords. Blockchain zorgt voor één versie van de waarheid. Ook worden de risico's in de meer praktische bedrijfsgebieden beperkt door te zorgen voor een juiste herkomstgeschiedenis van materialen en goederen, waar ze ook vandaan komen. Nu de uitdagingen op het gebied van risico's en compliance steeds complexer worden, bieden intelligente technologieën het vertrouwen en de betrouwbaarheid om juist te kunnen handelen in toekomstige situaties.

Overzicht

Het moderne risicolandschap verandert en evolueert voortdurend. Door de pandemie werden we eraan herinnerd dat we niet altijd grip op de situatie hebben, of het nu gaat om een land of een individu. En naarmate cloudoplossingen en intelligente technologieën zich blijven ontwikkelen, worden cybercriminaliteit, gegevenslekken en fraude een steeds complexere bedreiging.

 

In de huidige situatie met meer risico's en onzekerheid moeten bedrijven alle mogelijke hulpmiddelen benutten en vereenvoudigen om te kunnen anticiperen op risico's en om deze te beheren. Het bereiken van bedrijfsdoelstellingen en het handhaven van strenge compliance- en governancenormen is een groeiende uitdaging voor elke organisatie. De beste bedrijven voldoen aan deze behoeften door mensen op de eerste plaats te zetten met een voortdurende inzet voor het trainen en ondersteunen van hun teams. Dit wordt gedaan van bovenaf, om nieuwe technologieën te benutten en reactieve GRC-strategieën te innoveren.

Ontdek GRC-software

Ontdek robuuste oplossingen en strategieën voor governance, risico's en compliance.

Meer lezen

Terug naar boven