Geplaatst door Het jaar 2020 was een bewogen jaar. Of eigenlijk het jaar dat een extern risico een grote impact heeft gehad op het functioneren van elke organisatie. Corona heeft daarmee de aandacht GRC enorm versterkt. Het ging in plaats van alleen iets voor het jaarverslag naar de input voor besluitvorming. Eigenlijk net als het nieuwe three lines model van de directie eist; risico-gestuurde besluitvorming.
Ook 2021 zal het jaar van Corona zijn waarbij we als het goed is de weg hieruit gaan vinden en ook realiseren. Maar los van Corona moeten we ook vooruit kijken en onze blik verbreden. Daarom in deze blog vijf andere onderwerpen die men niet uit het oog mag verliezen.
Hier onze lijst van onderwerpen die je GRC agenda kunnen vormen;
1. Bereken je financiële risicoreserve
In 2021 zal de deken van steunmaatregelen langzaam afgebouwd moeten worden. Pas dan wordt de economische impact echt duidelijk worden. Zullen we een stijging zien in faillissementen, herziening van ons zorgstelsel, de impact van leerachterstanden, minder sociale cohesie in onze gemeenschap? Wij verwachten dat de publieke sector weer een sterkere positie krijgt in onze maatschappij. En hoe bereken je de risicoreserve die je organisatie nodig heeft? Bouw je risicoprofielen uit in NARIS GRC voor de verschillende scenario’s en bereken met simulaties of de risicoreserve groot genoeg is. De focus zal in krappe tijden liggen op deze financiële risico analyses.
2. Risicoanalyse naar klimaat risico’s en duurzaamheid
Waar Corona als een extern risico snel optrad zijn duurzaamheid en klimaatrisico’s de grotere golf die jouw organisatie moet trotseren of als surfer moet gebruiken om te versnellen in de verandering. Op het World Economic Forum is door de jaren heen steeds meer aandacht voor deze risico’s gevraagd, gelukkig maar! Grote organisaties maken hier inmiddels werk van en ook komt er steeds meer wetgeving aan die daadwerkelijk acties afdwingt voor organisaties. Zo moeten over drie jaar vliegtuigen in Europa verplicht deels op duurzame brandstof vliegen. Samen met onze partner Sustainalize organiseerden wij hier een webinar over. Overheidsorganisaties als gemeenten en woningbouwcorporaties worden nog niet hard afgerekend maar nemen wel initiatieven. Wat is de impact op de assets van je organisatie, de verantwoording die je gaat afleggen aan stakeholders en de kansen die er ontstaan?
3. Risicoanalyse security & informatie-veiligheid
Waar 2020 begon met de hack op de Universiteit Maastricht en de gemeente Hof van Twente is het aantal ransomware aanvallen toegenomen. Afgelopen jaar zijn we massaal thuis gaan werken en is er geïnvesteerd in extra functionaliteiten. Maar het moet ook veilig worden of blijven. De professionaliteit van cybercriminelen is niet te onderschatten. Ze doen niet 1 aanval om te kijken of het kan maar proberen diep in je systemen door te dringen zodat, zodra ze zich bekend maken, ze zeker weten dat er geen uitweg mogelijk is dan te betalen. Een werkend ISMS is daarmee van het allergrootste belang. ISO, BIO, ISAE en andere normen helpen je daarbij en in NARIS GRC kan je je controls testen en auditen aantoonbaar in control te zijn. Maar ook de noodzaak te laten zien van de noodzakelijke investeringen in informatie veiligheid. De kern van je bedrijfsvoering draait voor het grootste deel al op IT systemen. Informatieveiligheid kan niet het restant op het IT budget zijn. Bij tunnels maken de veiligheidskosten vaak 40% uit van het totaal, maar bij ICT is dat vaak dik onder de 10%!
4. Risicoanalyse Supply chain
Door de wereldwijde lock-downs zijn vele productieketens geraakt. Met kunst en vliegwerk zijn de meeste ketens overeind gehouden. Een grote voorraad aanhouden wordt als niet efficiënt bestempeld maar in deze tijden was dat wel heel prettig. Net zoals Duitsland niet efficiënt was met het aantal IC-bedden maar wel heel fijn dat Nederlandse patiënten daar geholpen konden worden.
De keten in kaart brengen maar vooral de meest risicovolle toeleveranciers aandacht geven en alternatieven creëren en dit risico dus managen zal vanaf 2021 meer gebeuren.
5. Stappenplan om GRC vorm te geven in je organisatie
Door al het videobellen is nog duidelijker geworden dat we als mensen behoeften hebben aan mobiel zijn en andere collega’s ontmoeten. Toch hebben we veel geleerd afgelopen jaar dat het online vergaderen, trainen ook voordelen kent. Dit geld zeker op het gebied van GRC. Bij NARIS hebben we veel aandacht voor de driehoek van People, Process en Technology. De balans tussen die 3 is belangrijk. Onze software levert je organisatie meer op door de kennis die erin gezet wordt voordat je begint of de kennis die we delen middels onze blogs en webinars. Maar we hebben ook aandacht voor de processen in je organisatie en de best practices die wij zien. En natuurlijk de mensen in je organisatie; hoe krijg je ze mee in de complexiteit van GRC? Hoe veranderen ze van moeten naar willen? We kunnen je helpen intern GRC beter te verkopen.
De DCA in PDCA
Ja, we zijn allemaal goed in Plannen maar naarmate het aankomt op Do, Check en Act is de uitvoering vaak “lichter”. We kennen allemaal de resultaten van goede voornemens, toch? Do, Check en Act zijn activiteiten en uiteindelijk dus Assurance afgeven zijn vitale elementen juist in bijvoorbeeld de bovenstaande Top 3. En als je als 2e lijn hulp nodig hebt daarbij kunnen wij je helpen. In blogs en ons webinar “is de 2e lijn sterk genoeg?” hebben we het watermeloen model al toegelicht om de 2e lijn te versterken. Meer en meer klanten gebruiken NARIS Audit om in combinatie met Risicomanagement en Controls om de PDCA cyclus tot leven te brengen. Sommigen zelfs met een IIA certificering waarmee je de buitenwereld laat zien dat je de kennis en vaardigheden bezit, plus een sterke betrokkenheid hebt bij de praktijk van internal audit.
Als jij niks doet gebeurt er niks en blijft de organisatie zoals jij hem aantrof. Dus durf de noodzakelijke stappen te zetten.
Robert 't Hart 