Organisaties opereren in een complex landschap van normen en wetgeving op het gebied van informatiebeveiliging, veiligheid, kwaliteit en meer. Waar een individueel managementsysteem soms tekortschiet, biedt een geïntegreerde aanpak uitkomst.
Maar wat wordt verstaan onder governance, risk en compliance (GRC) en hoe geeft u hier effectief invulling aan?
In dit blogartikel vertellen wij u alles wat u moet weten over Governance, Risk and Compliance (GRC). We bespreken de volgende onderwerpen:
Verlies niet je grip op de vele en vaak complexe aspecten van informatiebeveiliging. Krijg eenvoudig ondersteuning via e-mail. Meld je aan en ontvang direct het whitepaper 'De 7 principes van Privacy by Design' gratis.
Wat is GRC?
GRC (Governance, Risk and Compliance) is een overkoepelend proces dat organisaties helpt te voldoen aan een veelheid van normen en wetten. Compliance verwijst in deze context naar de staat waarin een organisatie voldoet aan relevante wet- en regelgeving, interne beleidslijnen en contractuele verplichtingen.
In feite is GRC de bredere scope van zoiets als een ISMS (Information Security Management System), een QMS (Quality Management System), PMS (Privacy Management System) en EMS (Environmental Management System) etc.
Een management systeem is de gebruikelijke werkwijze voor een veelvoud aan ISO normen, maar er zijn ook normen die weer een heel andere insteek hebben; bijvoorbeeld in de vorm van een checklist (waarbij u moet voldoen aan een lijst met specifieke eisen).
Als u als organisatie moet voldoen aan een combinatie van dergelijke normen en wetten, dan volstaat een eenvoudig managementsysteem alleen niet meer. Er is dan behoefte aan iets dat voor een hele set aan normen met een overkoepelend proces ondersteuning kan bieden. Dat proces is Governance, Risk and Compliance (GRC).
Niet alleen normenkaders zijn daarbij relevant, ook wetgeving wordt hierbij meegenomen - daar moet u immers ook aan voldoen. Denk dan aan de AVG of sectorspecifieke wetgeving voor bijvoorbeeld de industrie, overheid of de zorg. Dit benadrukt waarom risk en compliance belangrijk zijn: het niet naleven van wetten en normen kan leiden tot aanzienlijke juridische en financiële risico’s.
GRC is vaak niet een vrijwillige keuze, maar een noodzaak als gevolg van wetgeving en eisen van klanten.
Wat betekent GRC?
Laten we de componenten van GRC nader bekijken. GRC staat voor:
- Governance - Governance staat voor de sturing, het beleid en het overkoepelende management van alle zaken die aan normen en wetgeving moeten voldoen. Een belangrijke vraag hierbij is: wat is nu precies een goede governance? Dit kenmerkt zich door transparantie, verantwoordelijkheid, effectiviteit en integriteit in de besluitvormingsprocessen van een organisatie. De governance van een bedrijf is dus in het kort het systeem van regels, praktijken en processen waarmee een bedrijf wordt geleid en gecontroleerd.
- Risk - Risk, de tweede pijler, benadrukt het risicogebaseerd denken. Risico-gebaseerd denken vormt al die zaken de rode draad en neemt dus een voorname plaats. Door risico’s te identificeren op de verschillende deelgebieden en hiervoor behandelplannen op te stellen (maatregelen te treffen) wordt hieraan invulling gegeven;
- Compliance - Compliance, de derde pijler, betreft het voldoen aan normen en wetten. Hiervoor is het nodig om deze te vertalen naar beleid en maatregelen en te controleren of deze ook worden nageleefd. Dit leidt tot de staat waarin u, of uw organisatie, 'compliant' is. Compliance betekent dus hetgeen u uiteindelijk aan moet voldoen - het is de actie of staat van het voldoen aan een regel, wet, beleid of norm.
Normen en wetten
GRC heeft naast een belangrijke poot in het voldoen aan een veelheid aan normen en wetten, ook een belangrijke basis in de financiële verantwoording die een organisatie moet doen. Met zaken als SOC2 en SOC3 (SOC = System and Organization Controls) moeten (grote) organisaties ook hun financiële administratie en jaarverslag aan bepaalde normen laten voldoen. Dit is ook voor veel MKB+ organisaties en de overheid van toepassing.
GRC is daarom vaak niet iets wat een organisatie zo zeer zelf ‘wil’ (zoals een certificering) maar ‘moet’ als gevolg van (internationale) wetgeving en eisen van klanten.
Fundamenten van GRC
Nu we een basis hebben gelegd voor wat GRC inhoudt, is het waardevol om dieper in te gaan op de fundamentele principes die een effectief GRC-framework onderbouwen. Denk hierbij aan de kernwaarden die een organisatie in staat stellen haar doelstellingen te bereiken terwijl ze voldoet aan wet- en regelgeving en risico's beheerst.
Concepten als verantwoordelijkheid, transparantie en integriteit spelen hierbij namelijk een belangrijke rol. Een organisatie met een sterk GRC-fundament stelt duidelijke verantwoordelijkheden vast binnen de gehele structuur, communiceert open over haar processen en prestaties, en handelt ethisch en integer in al haar activiteiten. Daarnaast is strategische alignment belangrijk: GRC-activiteiten moeten in lijn zijn met de overkoepelende doelen van de organisatie om daadwerkelijk waarde toe te voegen.
Een sterk GRC-framework rust op drie essentiële pijlers: Governance, Risk en Compliance. Deze componenten zijn onlosmakelijk met elkaar verbonden en vereisen een evenwichtige en geïntegreerde aanpak voor succes. Governance biedt de structuur en richting, Risk identificeert en beheerst potentiële bedreigingen en kansen, en Compliance zorgt ervoor dat de organisatie handelt binnen de gestelde grenzen van wet- en regelgeving.
Binnen de pijler van Governance kunnen diverse risico's ontstaan die de effectiviteit van de organisatiebeheersing beïnvloeden. Denk hierbij aan onduidelijke besluitvormingsprocessen of een gebrek aan adequaat toezicht op de verschillende organisatieonderdelen. Ook binnen Compliance zijn er risico's. Het niet naleven van wettelijke vereisten kan leiden tot aanzienlijke financiële en reputatieschade, terwijl inefficiënte complianceprocessen onnodige kosten en bureaucratie kunnen veroorzaken.
Het uiteindelijke doel van een effectief GRC-beleid is het vermijden van 'non-compliance', oftewel het niet voldoen aan de geldende wet- en regelgeving, interne richtlijnen en externe verplichtingen. Een goed ingericht GRC-systeem helpt organisaties om proactief risico's te identificeren en te beheersen, en om aantoonbaar te voldoen aan de eisen van stakeholders en toezichthouders.
Geïntegreerde aanpak GRC
Net als informatiebeveiliging of kwaliteitszorg, heeft u voor GRC een geïntegreerde aanpak nodig - het grijpt in op vrijwel alle processen binnen een organisatie. Zo is ook de risicobeheersing ‘integraal’, dus niet op één deelgebied.
- politiek/bestuurlijk;
- financieel/economisch;
- juridisch/wettelijk;
- geografisch/ruimtelijk;
- maatschappelijk.
Naast dat GRC een bijzonder complex werkveld is (allerlei verschillende normenkaders, wetgeving, audits, et cetera) komen er ook verschillende disciplines bij elkaar: specialisten (inhoudsdeskundigen), juristen (contracten/wetgeving), management/directie en de operationele bedrijfsvoering.
De complexiteit van GRC brengt uitdagingen met zich mee, waaronder de vele audits. De verantwoordelijkheid hiervan ligt vaak bij de afdeling ‘Risk’. Dit is de afdeling die zich bezighoudt met risk management en verantwoordelijk is voor het identificeren, beoordelen en beheersen van risico's die de organisatie kunnen beïnvloeden, vaak in nauwe samenwerking met compliance.
Uitdagingen en oplossingen voor GRC
Daarmee blijkt al dat GRC flinke uitdagingen met zich meebrengt. Ook krijgt u te maken met de vaak grote hoeveelheid aan interne en externe audits die moeten plaatsvinden. Medewerkers die belast zijn met GRC-gerelateerde taken zijn als gevolg daarvan een groot deel van hun tijd ‘kwijt’ aan uitvoering en begeleiding van die audits.
Er is dus behoefte aan:
- Planning: veel activiteiten hebben een herhalend karakter en er zijn lange-termijn ontwikkelingen waar invulling aan moet worden gegeven;
- Communicatie en samenwerking: het faciliteren van de onderlinge samenwerking en uitwisseling van informatie; e-mail en agenda zijn natuurlijk belangrijk daarin, maar niet alle informatie kunt (of wilt) u op deze manier uitwisselen;
- Risicobeheersing: het faciliteren van risicoanalyses en opvolging met behulp van behandelplan/maatregelen;
- Incidentafhandeling: incidenten met betrekking tot de scope moeten worden opgepakt, geanalyseerd en opgevolgd worden;
- Audits: het vastleggen, begeleiden en opvolgen van interne en externe audits (controles).
Vastlegging, verantwoording en aantoonbaarheid: het vastleggen van informatie en verantwoording van uitgevoerde werkzaamheden/controles. Om tijdens audits te kunnen ‘bewijzen’ dat u aan de gestelde eisen, normen en wetgeving voldoet moet dit immers aantoonbaar zijn; - Normenkaders en wetgeving: uniforme beschikbaarheid van de verschillende normenkaders en wetgeving zodat er snel inzicht kan worden gekregen met betrekking tot status, voortgang en compliance ten aanzien van die normen;
- Overzicht, dashboards en rapportages: vanwege de breedte moet alles enigszins overzichtelijk bij elkaar gehouden worden. Met behulp van dashboards en rapportages moet snel duidelijk zijn waar aandacht aan besteedt moet worden. Daarbij moet het liefst zo veel mogelijk geautomatiseerd zijn.
Base27 en GRC management software
Base27 biedt ondersteuning aan GRC. Naast governance - door vastlegging van beleid en doorlopende sturing/planning - is er ook ruimte voor risicobeheersing in brede zin, kunnen meerdere normenkaders ondersteund worden en heeft Base27 de tools voor compliance in de vorm van interne (en externe) auditing en monitoring.
Daarbij kan er worden samengewerkt, worden alle activiteiten vastgelegd en zijn er dashboards en rapportages om inzicht te verkrijgen in status en voortgang.
Wilt u meer weten over GRC in combinatie met Base27? Of bent u op zoek naar een platform om specifiek uw informatiebeveiliging op orde te krijgen en te behouden? Bekijk dan onze tool.