Top 10 GRC-fouten – en hoe ze te vermijden

Met wettelijke verplichtingen en boetes voor het niet-naleven van de regels is een gedegen GRC voor iedere organisatie noodzakelijk. Maar wanneer is Governance, Risk & Compliance effectief en wanneer gaat het mis? Lees in dit artikel de 10 grootste GRC-fouten en tips om ze te vermijden.

Vanwege veranderende wet- en regelgeving op het gebied van privacy, de steeds complexere cyberbeveiliging en de continu veranderende wereldmarkt is effectieve GRC een belangrijk middel om niet alleen de operationele effectiviteit te vergroten, maar ook om de kosten te verlagen, de winstgevendheid te vergroten en om tegemoet te komen aan uiteenlopende internationale regelgeving.

Een effectieve GRC is gestoeld op een algemeen strategisch plan dat leidend is voor uitvoerende besluitvorming. Projecten en initiatieven worden gewogen en geëvalueerd op basis van vooraf gestelde doelen, risico’s worden beheerd en meetbaar en nalevingslasten worden gekend en gecommuniceerd. Veel organisaties worstelen met het optuigen van een effectieve GRC. Wat gaat er mis? Lees hieronder de meest voorkomende valkuilen.

1. Slechte interne organisatie

Wanneer uw bedrijf slecht intern is georganiseerd, is er geen goed overzicht welke activa aanwezig zijn, zoals hardware, software en data. Het is dan buitengewoon moeilijk een effectieve GRC op te zetten. Goede interne organisatie gaat vooral om de bedrijfscultuur. Transparantie en verantwoording moeten de heilige graal binnen uw onderneming worden.

Aanbeveling: om de volwassenheid van de organisatie op te bouwen, moet de bedrijfscultuur dit ondersteunen. Managers moeten verantwoording en transparantie binnen hun afdelingen bewerkstelligen. Stakeholders, managers en medewerkers die deze verandering niet omarmen, moeten aangesproken worden op hun verantwoordelijkheid.

2. Technologie- en bedrijfssilo’s

IT moet vlekkeloos kunnen samenwerken met andere afdelingen om GRC zo effectief mogelijk te laten werken. Helaas gaat dit vaak mis. Belangrijke software updates worden plotseling doorgevoerd zonder duidelijke communicatie of andere afdelingen communiceren niet afdoende met IT. Als er plotsklaps nieuwe implementaties moeten komen, is er weinig ruimte voor een risico-evaluatie door IT.

Aanbeveling: stel commissies en communicatiekanalen in.

3. Gebrek aan samenhangende normen, beleid en procedures

Het kan zijn dat belangrijke bedrijfsgegevens door uw werknemers worden opgeslagen in de cloud. Dat risico bestaat alleen als er geen eenduidig beleid is geformuleerd. Bij gebruik van een opslagsysteem dat niet gebruiksvriendelijk is, kunnen documenten/procedures onvindbaar zijn. Daarom is een goed onderliggend systeem belangrijk. Daarom is moderne governance van Diligent zo essentieel.

Aanbeveling: het beleid moet beknopt, gecentraliseerd, gecommuniceerd en gemakkelijk toegankelijk zijn voor alle werknemers. De documenten zelf moeten eenvoudig, beknopt en gemakkelijk te begrijpen zijn.

4. Geen vastgestelde definitie van risico

Wat is een risico voor de onderneming? De definitie kan verrassend moeilijk vast te stellen zijn. Vaak worden alleen financiële risico’s of generieke risico’s gerapporteerd aan de raad van bestuur en worden veel andere risico’s niet benoemd en niet op geanticipeerd.

Aanbeveling: zorg ervoor dat iedereen het eens is welke risico’s er zijn. Er moet een programma voor risicobeheer opgetuigd worden waarin alle risico’s (IT en bedrijfsactiviteiten) worden opgenomen en gecommuniceerd aan de raad van bestuur.

5. Blind varen op dure technologie

Er zijn veel GRC-tools beschikbaar, van eenvoudige spreadsheets tot bedrijfssystemen met een prijskaartje van een paar miljoen euro. Als u echter geen degelijk GRC-kader hebt, kan geen enkele technologie risico’s beheersen.

Aanbeveling: investeer niet in de verkeerde tools. Stel eerst uw GRC-programma op en kijk vervolgens welke hulpmiddelen bij uw behoeften passen. Diligint biedt Governance Cloud, een systeem van modules die gecombineerd de meest complete oplossing vormen.

6. Geen compleet beeld regelgeving

Is er een compleet zicht welke regelgeving van invloed is op uw onderneming? Weet u echt welke regelgevingskaders uw onderneming beïnvloeden? Maar al te vaak hebben organisaties geen compleet beeld van hun regelgevende omgeving waarin ze opereren.

Aanbeveling: het regelgevingsproces moet beheerd worden door zowel Legal als Compliance met een duidelijke communicatielijn met IT en Business.

7. Gebrek aan ultieme verantwoordelijkheid

Leidinggevenden moeten de uiteindelijke verantwoordelijkheid dragen voor het te voeren GRC. Zij moeten steun geven aan alle werknemers die verantwoordelijkheid dragen voor bijvoorbeeld databeheer.

Aanbeveling: GRC-initiatieven moeten op continue basis worden aangestuurd vanuit de executive suite met ultieme verantwoording op directieniveau. Het kantoor van de CFO is een goed startpunt.

8. Te veel complexiteit

Een aparte tool voor portfoliobeheer, een andere tool voor regelgeving, spreadsheets en dashboards. Veel bedrijfsinformatie is versplinterd en systemen werken tegenstrijdig aan elkaar. Tijd om te vereenvoudigen.

Aanbeveling: werk nauw samen met het GRC-team om de beste tool(s), zoals Governance Cloud van Diligent, te selecteren en werk vervolgens om het systeem te vereenvoudigen.

9. Gebrek aan management van programma- en projectinvesteringen

Een ​​GRC-programma komt niet van de grond zonder zicht en beheer op de benodigde investeringen voor projecten of programma’s. Welk initiatief krijgt het groene licht? Wat is de meest effectieve ingreep?

Aanbeveling: betrokkenheid van de directie is van cruciaal belang om GRC-initiatieven van de grond te krijgen. Stel daarom een strategie op voor portefeuillebeheer en beleggingsbeheer.

10. Geen haalbare statistieken voor succes

Hoe weet u of uw GRC-programma werkt zoals bedoeld? Verlaagt het het risico, voldoet het aan nalevingsdoelstellingen en raakt het programma-initiatieven? Voer de belangrijkste prestatie-indicatoren (KPI’s), de belangrijkste bedrijfsvragen (KBQ’s) en de belangrijkste risico-indicatoren (KRI’s) in.

Aanbeveling: Leg de top tien bedrijfsprocessen (KPI’s of KBQ’s) langs de SMART-meetlat: specifiek, meetbaar, haalbaar, relevant en tijdsgebonden. Zorg ervoor dat ze in lijn zijn met de bedrijfswaarden en zorg ervoor dat de besluitvormers worden aangemerkt. Wijs meetbare KRI’s toe aan deze tien belangrijkste processen en monitor vervolgens programmatisch de kwaliteit van alle gegevens.