Geplaatst door Bijna elke organisatie is actief op het gebied van risicomanagement. Binnen elke afdeling neemt men stappen, soms vrijwillig, soms verplicht door wet- en regelgeving. Het is ondertussen standaard geworden om centraal en decentraal risicoanalyses te doen. Ook zijn er steeds meer centrale functies o.a. een functionaris gegevensbescherming, internal auditor, privacy officer, business controller en risk & compliance officers. Deze functies worden door governance codes en wet- en regelgeving afgedwongen. Maar hoe begin je?
De implementatie van elke nieuwe wet-regelgeving start met een lijst van de verplichtingen in Excel. Om te kijken of de organisatie eraan voldoet wordt vervolgens de hele organisatie erbij betrokken. Maar doordat iedere medewerker hier op zijn eigen manier mee om gaat ontstaat er een enorme brei aan Excel-documenten die zeer moeilijk te onderhouden en te integreren zijn.
Wil je kennis van GRC bijvoorbeeld aan de hand van de COSO of ISO31000 samen een uitgebreide demo van onze GRC tool, mail mijn dan direct; r.hart@naris.com
Onderzoek
In 2014 deed FM onderzoek naar de mate van automatisering van (onder andere) de governance risk en compliance (GRC) processen binnen Nederlandse bedrijven. Slechts 1 op de 10 bleek deze processen destijds in hoge mate geautomatiseerd te hebben.
Uit een recent onderzoek (2018) van Capgemini onder 500 senior finance directeuren in Europa en Noord-Amerika kwam naar voren dat 56% van de snelgroeiende bedrijven verwacht dat de risicomanagementprocessen binnen 3 jaar volledig geautomatiseerd zijn. Ondernemingen schaffen GRC-software aan om hun bestaande raamwerk voor risicobeheer, interne controle en toezicht te centraliseren en te automatiseren.
Redenen voor automatisering GRC processen
Hieronder een aantal belangrijke redenen die hieraan ten grondslag liggen:
- GRC-software vergroot de efficiëntie en administratieve lastenverlichting. Veel activiteiten op het GRC vlak gaan over het vastleggen van bewijsmateriaal en behelzen een administratief proces. Door nieuwe complexe wet- en regelgeving neemt dit voortdurend toe. Werken in Excel is voor een individu eenvoudig, maar de verwerking van verschillende Excel-documenten is zeer inefficiënt en foutgevoelig. Met integrale GRC-software kunnen risico’s, key controls en audits uniform worden vastgelegd in een systeem waardoor de kwaliteit zal stijgen. Versiebeheer maar tevens zoeken en hergebruik worden daardoor haalbaarder. Ook kan informatie worden opgerold/ geconsolideerd waardoor een integraal inzicht ontstaat en er sneller risicosignalen worden vastgesteld. Goede risk & compliance software zorgt op deze manier voor kostenbesparing en een hogere efficiëntie binnen uw organisatie.
- De softwarepakketten op GRC-gebied zijn steeds makkelijker te koppelen en worden voortdurend professioneler. Doordat steeds meer organisaties hun primaire systemen naar de Cloud (Azure/Amazon) brengen ligt de integratie met primaire systemen en andere systemen binnen bereik. Hierdoor kunnen partijen die werkelijk verstand van het vakgebied hebben hun kennis beter delen.
- De nieuwe COSO 2017 positioneert riskmanagement expliciet als een managementvaardigheid, waardoor risicomanagement een zaak van de gehele organisatie wordt. Een geïntegreerd onderdeel van bedrijfsprocessen. Met GRC-software faciliteert, de tweede lijn, deze manager met kennis en makkelijke reporting. Door deze geïntegreerde aanpak kunnen integrale afwegingen rondom risicobeheersmaatregelen worden gemaakt, bijvoorbeeld tussen safety & security,
Houding en gedrag
Een veranderende manier van werken (met of zonder een softwarepakket) vraagt om een cultuuromslag. De implementatiestappen en de geformuleerde standaardtaal dienen specifiek bij de organisatie aan te sluiten. Regelmatige training en ondersteuning op het moment dat medewerkers er echt mee aan de slag gaan zijn hierin belangrijke succesfactoren. Na een bepaalde periode dient het gebruik van Excel dan ook verboden te worden.
Robert 't Hart 