Hoe volwassen is jullie GRC?

Of hoe GRC volwassen wil je zijn..

GRC volwassenheidsmodellen zijn er inmiddels in overvloed. En alle modellen lijken op elkaar. Eerst maar eens een overzicht van de verschillende benamingen die worden gebruikt:

Een duidelijke conclusie is dat er veel overeenkomsten zitten in de verschillende modellen. Er zijn kleine verschillen in wat je in welke fase doet en verder is het voornamelijk de bewoording die gekozen wordt. Alle modellen refereren in de uitwerking naar de ontwikkeling die de organisatie moet doormaken.

Wat valt op!

Opvallend is dat alle modellen zichzelf als een Risicomanagement Model bestempelen. Dit is te beperkend. Zeker als je doordenkt dat het voldoen aan wetgeving en normenkaders (compliance) een basisbehoefte is en derhalve al in de Fase 2 naar gerefereerd wordt. In Fase 3 wordt gerefereerd naar de meer intrinsieke motivatie en worden de interne normenkaders / gedrag benoemd.

Het is dus een samenspel van Governance (hoe is mijn organisatie ingericht), Risicomanagement (inzicht in risico’s en beheersing) en Compliance (voldoen aan wetgeving).

Vanuit de Corporate Governance Code heeft de rol van Audit de laatste jaren een steeds meer prominente rol gekregen. Immers, het gaat ook over de zekerheid die je kunt ontlenen aan de mate van hoe de organisatie zijn beheersing op orde heeft. Deze zekerheid geeft pas de basis om Risicomanagement ook om te zetten naar Kansenmanagement of Prestatiemanagement.

Dit sluit volledig aan bij de ontwikkeling die een (risico)bewuste organisatie doormaakt. Een adequate en competente organisatie is pas in staat om de risico’s van morgen te herkennen en erop te anticiperen. Dit lukt alleen als je tijd hebt georganiseerd om de basis op orde te hebben.

Wat missen we?

De modellen hebben het veel over (risico)eigenaarschap. En natuurlijk over draagvlak aan de top. Een constatering is dat in de eerste fase van volwassenheid maar een beperkt aantal mensen nodig zijn om er invulling aan te geven.

Voorbeeld vanuit de praktijk:
Vanuit de Raad van Commissarissen worden meer details over de risico’s van een nieuw project gevraagd. De bestuurder vraagt de projectleider hierom en deze organiseert snel een workshop (al dan niet met een risicospecialist) om de belangrijkste risico’s in kaart te brengen. Deze worden netjes in een overzicht gezet en aangegeven wat de extreme situaties kunnen zijn. De RvC heeft haar inzicht. Indien gewenst herhalen we dit ieder jaar.

Dit kan voldoende zijn voor sommige organisaties…

Het is goed om vooraf te beseffen welke hoofdrolspelers een rol spelen in de verschillende fasen van volwassenheid. Niet ieder model geeft hier expliciet een antwoord op. En top-down suggereert niet dat 1e lijn hier dan intrinsiek aan meewerkt.

Een goed overzicht van hoofdrolspelers is:

volwassen grc

Wat opvalt!

Opvallend is dat alle modellen terugvallen op de ‘verplichte zaken’ waar organisaties aan moeten voldoen. Financiële richtlijnen, voorgeschreven modellen, jaarrekening stukken, verplichte wetgeving, etc. Heel erg compliance driven!

Compliance is daarmee een hele belangrijke pijler onder het fundament van risicomanagement. Compliance is ook veel administratie. Compliance geeft zekerheid om volgende stappen te kunnen zetten. De ‘verdediging’ op orde geeft de basis om te kunnen aanvallen!

Bij de organisatie van deze administratie wordt de 1e lijn niet vaak betrokken. Er wordt zeker wel om input gevraagd maar dit wordt hoofdzakelijk verwerkt door de compliance officer / 2e lijn. Toch komt deze structuur terug bij nagenoeg alle modellen als basis om de organisatie verder te ontwikkelen. Een systeem voor deze structuur en afstemming tussen de verschillende disciplines wordt echter niet benoemd. Terwijl dit toch de basis is voor borging en herhaling.

Verder valt op dat de modellen (onbewust lijkt het) impliceren dat pas in fase 4 de 1e lijn actief participeert. Tot en met Fase 3 leveren ze wel input maar met name reactief. Om de groei van GRC volwassenheid te faciliteren dus cruciaal om dit te beseffen. In het begin moet de aandacht echt liggen bij het neerzetten van structuur, uniformiteit, afstemming tussen disciplines, administratie op orde. Pas als dit is ingeregeld de 1e lijn erbij betrekken om verwarring en onduidelijkheden te voorkomen.

Kennismaken met NARIS-GRC® NEXT?

Gratis online en vrijblijvend?

Hoe volwassen wil je zijn?

Denken in modellen is gevaarlijk. Voor je het weet blijf je in een theoretisch model hangen en verlies je oog voor de dagelijkse werkelijkheid. Een model is goed om richting of inzicht geven.

De kernvraag is: Hoe GRC volwassen wil je zijn?

Deze vraag beantwoorden langs de inzichten van de verschillende modellen geeft veel richting.

Voorbeeld uit de praktijk:

Een beursgenoteerd bedrijf moet voldoen aan alle SOC wetgeving vanuit de USA en heeft hiervoor een kwalitatief goed en volledig ICF (In Control Framework) opgesteld. Dit wordt jaarlijks uitgevraagd naar alle business controllers in >60 landen met de mogelijkheid afwijkingen te noteren of de voorgestelde control van toepassing te verklaren.

Hiermee is deze multinational volkomen compliant aan de voor hen geldende wet- en regelgeving en heeft een GRC volwassenheid van ‘Basic’ (fase 3). Precies conform hoe de organisatie nu wil werken en hoe ze de organisatie nu willen belasten.

Vanuit een gestructureerde, ingeregelde basis is uitbouwen eenvoudig!

Denk na over het totale plaatje!

Volwassenheid van GRC gaat over het totale plaatje. De belofte dat je een implementatie binnen 2 maanden kan doen…

Het systeem werkt dan wel, maar werken mensen ook met het systeem?

grc volwasssen

Alle drie de GRC-elementen moeten volwassen worden. Mensen moeten worden meegenomen, getraind, verwachtingen duidelijk zijn, etc. GRC is iets van veel mensen in een organisatie. Processen moeten op elkaar worden afgestemd. Immers, je wilt ‘administraties’ combineren dus vakgebieden moeten op elkaar aansluiten. En als sluitstuk de GRC software. Denk na welke rapportages zinvol zijn en direct waarde opleveren. Houd hier rekening mee met de inrichten. Begin simpel en laat het groeien…

Voor de implementatie van een financieel pakket is het ook heel normaal dat iedereen getraind wordt voordat ze het systeem mogen gebruiken en verrijken. Dus ook voor GRC Software. De praktijk leert dat vaak alleen de 2e lijn wordt getraind…

LinkedIn
Twitter
Facebook
Email
Print
volwassen grc

In het kort:

Meer artikelen: