57% snelgroeiende bedrijven heeft GRC binnen 3 jaar volledig geautomatiseerd

Bijna elke organisatie is actief op het gebied van risicomanagement. Binnen elke afdeling neemt men stappen, soms vrijwillig, soms verplicht door wet- en regelgeving.  Het is ondertussen standaard geworden om centraal en decentraal risicoanalyses te doen. Ook zijn er steeds meer centrale functies o.a. een functionaris gegevensbescherming, internal auditor, privacy officer, business controller en risk & compliance officers. Deze functies worden door governance codes en wet- en regelgeving afgedwongen. Maar hoe begin je?

De implementatie van elke nieuwe wet-regelgeving start met een lijst van de verplichtingen in Excel. Om te kijken of de organisatie eraan voldoet wordt vervolgens  de hele organisatie erbij betrokken. Maar doordat iedere medewerker hier op zijn eigen manier mee om gaat ontstaat er een enorme brei aan Excel-documenten die zeer moeilijk te onderhouden en te integreren zijn.

Onderzoek

In 2014 deed FM onderzoek naar de mate van automatisering van (onder andere) de governance risk en compliance (GRC) processen binnen Nederlandse bedrijven. Slechts 1 op de 10 bleek deze processen destijds in hoge mate geautomatiseerd te hebben.

Uit een recent onderzoek (2018) van Capgemini onder 500 senior finance directeuren in Europa en Noord-Amerika kwam naar voren dat 56% van de snelgroeiende bedrijven verwacht dat de risicomanagementprocessen binnen 3 jaar volledig geautomatiseerd zijn. Ondernemingen schaffen GRC-software aan om hun bestaande raamwerk voor risicobeheer, interne controle en toezicht te centraliseren en te automatiseren.

Redenen voor automatisering GRC  processen

Hieronder een aantal belangrijke redenen die hieraan ten grondslag liggen:

  • GRC-software vergroot de efficiëntie en administratieve lastenverlichting. Veel activiteiten op het GRC vlak gaan over het vastleggen van bewijsmateriaal en behelzen een administratief proces. Door nieuwe complexe wet- en regelgeving neemt dit voortdurend toe. Werken in Excel is voor een individu eenvoudig, maar de verwerking van verschillende Excel-documenten is zeer inefficiënt en foutgevoelig. Met integrale GRC-software kunnen risico’s, key controls en audits uniform worden vastgelegd in een systeem waardoor de kwaliteit zal stijgen. Versiebeheer maar tevens zoeken en hergebruik worden daardoor haalbaarder. Ook kan informatie worden opgerold/ geconsolideerd waardoor een integraal inzicht ontstaat en er sneller risicosignalen worden vastgesteld. Goede risk & compliance software zorgt op deze manier voor kostenbesparing en een hogere efficiëntie binnen uw organisatie.
  • De softwarepakketten op GRC-gebied zijn steeds makkelijker te koppelen en worden voortdurend professioneler.  Doordat steeds meer organisaties hun primaire systemen naar de Cloud (Azure/Amazon) brengen ligt de integratie met primaire systemen en andere systemen binnen bereik. Hierdoor kunnen partijen die werkelijk verstand van het vakgebied hebben hun kennis beter delen.
  • De nieuwe COSO 2017 positioneert riskmanagement expliciet als een managementvaardigheid, waardoor risicomanagement een zaak van de gehele organisatie wordt. Een geïntegreerd onderdeel van bedrijfsprocessen. Met GRC-software faciliteert,  de tweede lijn,  deze manager met kennis en makkelijke reporting.  Door deze geïntegreerde aanpak  kunnen integrale afwegingen rondom risicobeheersmaatregelen worden gemaakt, bijvoorbeeld tussen safety & security,

Houding en gedrag

Een veranderende manier van werken (met of zonder een softwarepakket) vraagt om een cultuuromslag. De implementatiestappen en de geformuleerde standaardtaal dienen specifiek bij de organisatie aan te sluiten. Regelmatige training en ondersteuning op het moment dat medewerkers er echt mee aan de slag gaan zijn hierin belangrijke succesfactoren. Na een bepaalde periode dient het gebruik van Excel dan ook verboden te worden.

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: