Onze visie op governance, risk en compliance (GRC)
GRC als bestaansrecht van een duurzame organisatie
Risico’s nemen met vertrouwen; dat is waar Governance, Risk & Compliance (GRC) om draait. Doelen bereiken, onzekerheden blootleggen en opereren binnen gezette kaders zijn daarbij essentiële uitgangspunten. Om dit bereiken zijn GRC tools, al is het maar in de vorm van Excel, onmisbaar. Alles draait om het eenvoudig verzamelen van informatie.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
De vier fundamentals van Governance Risk & Compliance
Governance
Governance staat voor goed bestuur met als kernbegrippen transparantie, verantwoording en zeggenschap. Het succesvol bereiken van doelen kan daarbij uitsluitend wanneer de kaders helder zijn, het risicoprofiel bekend is en de controls effectief aanwezig zijn.
Risk
Ondernemen vraagt per definitie om risico’s te nemen. De balans tussen risico’s nemen en beheersen is hierbij essentieel. Risicomanagement stelt de organisatie in staat om te prioriteren en zo te kunnen sturen met een gezonde dosis lef.
Compliance
Voldoen aan wettelijke kaders en normen speelt in toenemende mate een rol in het bestaansrecht van een organisatie. Integriteit en betrouwbaarheid zijn vereisten voor klanten, externe partijen en toezichthouders om zaken te doen. Compliance biedt hiervoor de handvatten.
Audit
Hoewel de afkorting GRC geen A biedt voor audit, is het een fundamenteel onderdeel voor Governance, Risk & Compliance. Audit kan de zekerheid afgeven dat aan de overige drie GRC-fundamenten wordt voldaan. Interne en externe audits leveren een bewijs van bekwaamheid.
Succesvol GRC komt uitsluitend tot stand door samenwerking
Een organisatie de juiste richting in sturen, omgaan met onzekerheden en het afleggen van verantwoording; dit is waar Governance, Risk & Compliance (GRC) om draait. Strategie, sturing en control vormen dan ook de ideale combinatie. Succesvol GRC komt uitsluitend tot stand door samenwerking. De verschillende GRC professionals zullen naast hun eigen specialismen ook oog moeten hebben voor een ander binnen het Three Lines Model (3LM). Alleen zo kunnen de krachten worden gebundeld en prioriteiten worden gesteld binnen de organisatie. Dit om de strategische doelstellingen te bereiken en te verbinden met het risk appetite van het management. Om als organisatie te professionaliseren is de juiste balans tussen mensen, processen en technologie noodzakelijk. GRC tools bevorderen een hogere volwassenheid door de introductie van een verbetercyclus gestuurde aanpak. Een duidelijk risicoprofiel en kaders kunnen getoetst en geaudit worden om zo in control te zijn en te blijven.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Prioriteiten stellen via risico control
Goed prioriteiten stellen ondersteunt doordachte besluitvorming. Zeker in deze snel veranderende, onzekere en complexe tijd maakt dit de rol van een risk manager en controller onmisbaar. GRC software helpt overzicht te houden en biedt informatie die noodzakelijk is voor risico-gebaseerde besluitvorming.
Lees meer over Risk & Control Management >
Actieve monitoring en verantwoording
Hoe betrek je de organisatie in het auditproces? En hoe kom je tot een ‘in control’ statement? Dit zijn slechts twee vragen waarmee complexe en dynamische omgevingen te maken hebben. GRC tools maken het mogelijk om relevante controles uit te voeren. Zo worden de belangrijkste risico’s geadresseerd en aanbevelingen gemonitord en opgevolgd.
Lees meer over Audit Management >
Bewegingsvrijheid vs. kaders
Compliance kan nog wel eens als verstikkend worden ervaren. Maar hoe houd je de balans tussen regels naleven en een werkbare situatie houden? Risk appetite geeft ruimte voor dialoog en leidt tot uitspraken rondom bewegingsvrijheid. NARIS GRC® faciliteert dit proces en helpt organisaties om compliance zo toe te passen dat ademruimte voor de mensen blijft bestaan.
Lees meer over Compliance Management & ISMS >
Leren van gemaakte fouten
Veel organisaties zien incidenten en near-misses als iets slechts. Jammer, want eigenlijk vormen deze componenten de brandstof voor groei en verbetering. GRC tools dragen bij aan een positieve meldcultuur en verhogen het lerende vermogen van een organisatie. Melden, analyseren, opvolgen en monitoren kan zo binnen één systeem plaats vinden.
Aansprakelijkheid en claims afhandelen
De wijze waarop organisaties met aansprakelijkheid, schade en claims om gaan heeft grote impact op hun imago. Net als bij incident management biedt het kansen voor een positief imago. Wel is een zorgvuldige afhandeling essentieel. GRC software biedt de mogelijkheid om adequaat te reageren op ongevallen en waarborgt onafhankelijkheid van verzekeraars en derden.
Rapporteer strategie en sturing
Risico’s koppelen aan strategische doelen. Het helpt controllers om hun werk efficiënt uit te kunnen voeren en geeft krachtige rapportages om op te sturen. Toch blijkt het niet eenvoudig om één overzicht te creëren. Tools zoals NARIS GRC® helpen om strategiekaarten te maken. Zo kunnen strategieën en sturingsmodellen in één overzicht gepresenteerd worden.
De 5 principes van Governance
Download de infographic
Inspiratie rondom Governance Risk Compliance (GRC).
Di. 3 dec 2024 – Three Lines Model: Hoe volwassen wil je zijn of worden?
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie. Wat zijn randvoorwaarden
Wo. 4 dec 2024 – Naris Intervisie Zoetermeer: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Kijk bijvoorbeeld
Nieuwe verduidelijking rondom de verklaring omtrent risicobeheersing (VOR)
Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA UPDATE 20 november 2024: Het IIA heeft de VOR nog
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Kim:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
