Contact NARIS
Contact
Email to
info@naris.com
Governance Risk en Compliance software (GRC) vergelijken

Governance Risk en Compliance software (GRC) vergelijken

Terug naar overzicht | | | Reacties uitgeschakeld voor Governance Risk en Compliance software (GRC) vergelijken

Voor elk wetje een pakketje of een integrale oplossing

Ben je op zoek naar GRC (Governance Risk en Compliance-software? Hier zijn enkele product- en supportcriteria welke je mee kunt wegen het bij het selecteren en uitnodigen van potentiële leveranciers.

Met Governance, Risk en Compliance (GRC) software wil je alle spaghetti aan control spreadsheets efficiënter managen.  Maar omdat elke software leverancier te koop loopt met GRC software kan het moeilijk zijn om te kiezen.

Vooraf is het belangrijk eerst na te denken over het huidige en het gewenste proces, wie er mee moet gaan werken en op welke wijze, en voor wie je straks welke rapportages/dashboard wilt kunnen samenstellen.

Leveranciers claimen vaak dat alles kan terwijl in werkelijkheid er vaak  functionaliteiten missen of vrij beperkt zijn. Als je naar verschillende partijen voor GRC software kijkt, zijn hier enkele van de functionaliteiten en mogelijkheden die je zou kunnen overwegen.

Welke soorten risicoanalyses zijn mogelijk?

Hoe gemakkelijk is het om uw risico’s te kwantificeren en te rangschikken? Sommige GRC oplossingen laten meerdere kans en impact scores toe (bijv. impact financieel/ duurzaamheid/ veiligheid) zodat je risico’s op meerdere manieren snel kunt rangschikken en de key risico’s kunt vaststellen. Dit helpt bij het stellen van de juiste prioriteiten waar actie genomen moet worden. Ook zijn er partijen waarbij er ook scenario analyses, Monte Carlo analyses kunnen worden gedaan. Belangrijk punt is nog of de classificatie ook verschillend kan zijn voor bijv. een decentraal project (impact 5 is 1 mio) versus corporate (impact score 5 is boven de 40 mio).

Wat zijn de mogelijkheden voor een risico register?

Kunnen de risico’s van uw organisatie gemakkelijk worden gedeeld en uitgevraagd worden?  Kunnen de risico’s tussen afdelingen gemakkelijk gekopieerd en verplaatst worden?

Een sterke GRC-oplossing vereenvoudigt de manier waarop u risico’s identificeert en communiceert (bijvoorbeeld door één centraal risicoregister). Deze verzamelt een standaard set aan risico’s en biedt voldoende details zodat decentraal het risico makkelijk begrepen wordt.

Wat is een control register?

In een control register leg je de beheersmaatregelen van risico’s en uit wet-en regelgeving vast en monitor je de activiteiten. Belangrijk is om vast te stellen hoe goed de risico’s en controls te koppelen zijn? Zowel controls aan risico’s als andersom. Ook wil je de controls kunnen koppelen aan normen, wet en regelging zoals als bijv. een norm als ISO27002, zodat je kunt zien of de organisatie compliant is. Het systeem moet het mogelijk maken de P&C cyclus voldoende gedetailleerd te beschrijven en moet links bieden naar volledig gedetailleerde documentatie, als opzet bestaan en werking. Kun je ook met control templates werken? En bijv., checklists, steekproeven, aanbevelingen hergebruiken een andere keer?  Standaard templates, controls moeten makkelijk benaderbaar zijn vanuit databases.

Kunnen activiteiten als het monitoren van afwijkingen, bevindingen, aanbevelingen gemanaged worden?

Is het mogelijk om afwijkingen, bevindingen en aanbevelingen uit te zetten, en een proces  en wederhoor te faciliteren. Des te eenvoudiger de software het kan maken, des te beter. Je bent op zoek naar een oplossing welke gedetailleerde en een complexe workflow ondersteunt, inclusief de manier waarop afwijkingen worden geëscaleerd en acties gemonitord.

Analyse & monitoring

Los van het vastleggen, dient GRC-software vooral de dynamiek in de organisatie goed te kunnen volgen. Helpt de software u de opgehaalde gegevens gemakkelijk te begrijpen? Zijn de key risks, key controls van de verschillende units makkelijk naast elkaar te leggen. Zijn stijgers en dalers makkelijk te rapporteren? Kan daar een rode lijn uit gehaald worden vanuit verschillende perspectieven? Kan de auditplanning en risicobeoordelingsfasen van interne audit goed verwerkt worden en kunnen bevindingen, aanbevelingen, acties, uitgezet en gemonitord worden?

GRC data, rapportage en dashboards

Welke soorten dashboards en rapportages zijn er te maken? Kunnen er integrale rapportages worden gemaakt? Kunnen risico’s bottom-up en top down gerapporteerd worden?  Kunnen risico’s ook geconsolideerd worden zodat strategische risico’s onderbouwd? Is het mogelijk om de informatie als data-feed beschikbaar te krijgen, zodat de informatie geïntegreerd kan worden met de andere data.

Beveiliging

Veiligheid is enorm belangrijk. Hoe is de beveiliging van de GRC-software georganiseerd. Is de leverancier ook zelf ISO27001 gecertificeerd? Waar zitten de programmeurs? Hoeveel lagen van beveiliging zijn er voor de toegang tot en het delen van uw vertrouwelijke gegevens? Toegangsrechten, bescherming tegen data-inbreuken en sterke data-encryptie zijn essentiële onderdelen van de beoordeling van een potentiële GRC-oplossing.

Kiest u als GRC Professional voor een software leverancier die niet aantoonbaar compliant is op bijvoorbeeld ISO?

Schaalbaarheid GRC-applicatie

Is de applicatie schaalbaar? Zal de software die nu voor u werkt, voor u blijven werken als uw gegevens groeien of het breder in de organisatie gebruikt gaat worden? Data-gestuurde GRC-processen omvatten doorgaans zeer grote hoeveelheden data, vaak uit meerdere bronnen, en met complexe verwerkingsvereisten. Software moet in staat zijn om efficiënt en betrouwbaar om te gaan met toenemende datavolumes.

Integratie met andere technologieën

Idealiter is één GRC-platform in staat om meerdere aspecten van GRC-processen te ondersteunen; het kan echter voorkomen dat het slimmer is om de GRC-software nauw aan te laten op andere gespecialiseerde software die de organisatie mogelijk gebruikt. Denk hierbij bijv. financieel beheer, HR etcetera. Is het mogelijk om een data feed te leveren zodat je eigen organisatie data vanuit andere applicaties kan bundelen in een eigen dashboard zoals PowerBI of Cognos of een andere BI tool.

Multi device

Kan de software op meerdere devices gebruikt worden? Is er een self-assement, incidenten -app of risico-app die laagdrempelig gebruikt kan worden? Met simpele tools help je de organisatie en kost het niet te veel tijd en energie.

U hebt misschien managers, controllers en risk en compliance officers die processen moeten opstarten en resultaten moeten bekijken terwijl ze onderweg zijn en/of meerdere apparaten gebruiken. Neem mee of de leverancier verschillende mobiele apparaten ondersteunt.

Implementatie kracht en ervaring GRC

Verandering in organisaties is moeilijk. De methode van People Proces Technology helpt hierbij. Mensen zijn moeilijk te veranderen. Als ze gestart zijn met Excel dan houden ze daar het liefste aan vast.. Daarnaast helpt het om ook de bestaande processen en taxonomie van de GRC processen op elkaar aan te laten sluiten.

De beschikbaarheid van zowel inhoudelijk als technische ondersteuning is een sleutelcomponent in succesvolle GRC-software, vooral tijdens de initiële implementatiefase. Een goede partij heeft voldoende ervaring met implementatie van haar tool bij complexe of in ieder geval soortgelijke organisaties.

Tot slot

Dit zijn enkele algemene kenmerken en overwegingen om GRC-leveranciers te helpen evalueren, maar vergeet niet uw eigen organisatorische vereisten op te nemen. Denk hierbij aan kosten, reputatie van de leverancier en productstrategie (bijv. kan de technologie meegroeien met uw bedrijfsbehoeften?).

Als het veel lijkt, is een goede manier om dit alles te beoordelen, een gedetailleerde tabel te maken met al uw GRC vereisten en overwegingen, en dan wegingen/scores toe te voegen voor elke leverancier op elk van de essentiële criteria. Dan heb je een data-gedreven evaluatie om je te helpen bij je beslissingen! Mocht je een voorbeeld willen ontvangen…


Naris