Behovet for at samle governance, risk og compliance under ét bliver kun større. Læs og få overblik over de fem hjørnesten i en GRC-strategi.
Kom godt fra start med din GRC-strategi

Kom godt fra start med din GRC-strategi

Time Reading
8 minutters læsning
GRC

I den komplekse forretningsverden i dag er der tre centrale begreber, der spiller en afgørende rolle for organisationers succes og integritet. Disse begreber forenes ofte under akronymet GRC. På trods af sin tilsyneladende enkle forkortelse, skjuler GRC en dybere betydning og en integreret tilgang til, hvordan organisationer skal ledes og styres.

Hvad står GRC for?

GRC er en forkortelse for governance, risk og compliance, og disse tre centrale begreber udgør hjørnestenene inden for virksomhedsledelse og styring:

  • Governance handler om ledelse, retningslinjer og ansvar for at forme organisationens strategi og beslutningsprocesser.
  • Risk - eller risikostyring, som det hedder på dansk - er identifikation og håndtering af trusler og usikkerheder, herunder økonomiske og operationelle aspekter.
  • Compliance betyder at følge/overholde love og standarder, for at undgå juridiske problemer og opretholde et godt omdømme.

Når vi samler dem under paraplybetegnelsen GRC, opstår der ofte forvirring omkring, hvad dette komplekse akronym egentlig indebærer og hvorfor det er relevant at forholde sig til det.

GRC-strategi: effektiv risikostyring & sammenhæng 

GRC er langt mere end et fængende akronym, teknologileverandører bruger til at markedsføre deres produkter. Det er en forretningstilgang og en filosofi, der gennemsyrer hele organisationen.

En veltilrettelagt GRC-strategi giver dig mange fordele – blandt andet:

  • Bedre risikostyring
  • Færre gentagelser af opgaver
  • Mere effektive arbejdsgange
  • Bedre informationsdeling
  • Større sikkerhed

Udfordringen ved GRC – i de tilfælde hvor organisationen ikke har en GRC-strategi – er, at de enkelte begreber har forskellige betydninger på tværs af organisationens afdelinger. Ofte er de også kendetegnet ved at være isolerede siloer, der arbejder uafhængigt af hinanden.

Målet med en samlet GRC-strategi er at skabe harmoni med et redskab, der giver komplet overblik over beslutninger, risici og kontrol. Det handler om samarbejde og deling af informationer. Om vurderinger, målinger, risici, undersøgelser og tab på tværs af alle afdelinger.

Spørgsmålet er, hvordan du kommer i gang med at lægge en GRC-strategi for din organisation?

Fem trin til udvikling af GRC-strategi

Organisationer, der forsøger at opbygge en GRC-strategi med hjemmelavede løsninger i form af regneark og dokumentdeling på diverse drev, kommer hurtigt til kort.

En vellykket GRC-strategi kræver fælles rammer, integrerede processer og en platform, der spænder over hele organisationen og dens individuelle risici- og complianceudfordringer.

Din strategi for GRC starter med en simpel fem-trins plan.

Her er trinene, der sætter dig i gang med at udvikle et bæredygtigt GRC-program.

1) Identificer det nuværende arbejde med GRC

Hele arbejdet med at definere en GRC-strategi bør starte internt. Hvordan arbejder organisationen og de enkelte afdelinger hver især med governance, risk og compliance?

Start med en undersøgelse, der sigter mod at:

  • identificere og katalogisere antallet af processer, teknologier, metoder og rammer
  • skabe en bedre forståelse af både fordele og ulemper ved de forskellige arbejdsgange.

2) Definer GRC-strategiens formål

Når omfanget af de enkelte afdelingers arbejde med GRC er klarlagt, er næste skridt at fastlægge formålet med et GRC-program.

Her skal I svare på, hvorfor det er vigtigt at igangsætte programmet, og hvad I betragter som succeskriterier.

Derudover skal I definere målet for den fælles indsats samt hvilke resultater, GRC-strategien skal føre med sig.

LÆS OGSÅ: 3 vigtige faktorer for dig der vil lykkes med GRC

Start med at definere en visions- og missionserklæring for arbejdet med GRC, så alle forstår, hvad organisationen sigter mod, og hvad der måles på.

Det kan eksempelvis lyde som følgende:

”Visionen er målbart at forbedre organisationens forretningspræstationer ved at levere styringsprocesser og risikointelligens, der proaktivt reducerer risici og samtidig øger effektiviteten.

Missionen er at levere rådgivende, innovative og pålidelige tjenester, der muliggør og understøtter integrerede og gennemgribende styrings-, risiko- og kontrolprocesser for hver enkelt interessentgruppe.”

3) Udarbejd en kortsigtet plan for at skabe synlige resultater

Med strategiens mål i tankerne skal de hurtige gevinster ved GRC synliggøres. Hvilke fordele følger i kølvandet på en fælles GRC-strategi, og hvordan kan den enkelte afdeling mærke dem?

Målet med dette skridt er at imødekomme de indvendinger, der uvægerligt vil komme, når processer og procedurer skal ændres hos den enkelte. Ved at synliggøre resultaterne opnås et større buy-in til strategien, og det er nødvendigt, hvis den skal implementeres med succes.

Den kortsigtede plan bør ikke strække sig over mere end 12 måneder.

4) Lav en omfattende handlingsplan

Med den kortsigtede plan på plads starter arbejdet med den langsigtede strategiske plan. Hvordan implementeres GRC-strategien, så hele organisationen tager den til sig, hvem påtager sig hvilke roller, og hvem har ansvaret for hvad?

Samtidig skal I – med GRC-programmets succeskriterier i baghovedet – finde ud af, hvordan I måler, om investeringen er indsatsen værd.

Det kan I blandt andet gøre ved at kigge på:

  • Risikodækning
  • Kontrolfejl
  • Effektivitet
  • Eksekvering

Den langsigtede plan bør dække en periode på 3-5 år og skal inkludere målene for GRC-indsatsen, så arbejdet løbende kan evalueres og tilpasses.

5) Find det rette værktøj

Ét er selve arbejdet med at definere en GRC-strategi og implementere den på tværs af en stor organisation. Noget andet er at finde det rette værktøj til at udføre arbejdet.

Konsekvent og relevant brug af teknologi er ikke til at komme udenom. Her handler det i høj grad om at finde en software-løsning, der matcher organisationens behov - både de nuværende og fremtidige.

I kan blandt andet overveje følgende faktorer:

  • Brugervenlighed – kan systemet anvendes let og intuitivt af medarbejdere på alle niveauer?
  • Integration – skal systemet integreres med andre nuværende systemer?
  • Sikkerhed – kan der oprettes adgangskontrol, så brugerne kun har adgang til data, der vedrører deres specifikke arbejde?
  • Skalerbarhed – kan systemet udvikles i takt med organisationens vækst og fremtidens behov?
  • Tilpasning – kan systemet tilpasses organisationens nøjagtige behov?
  • Support – er der mulighed for hurtig og nem support, hvis teknikken giver problemer?

Én ting er i hvert fald sikkert; arbejdet med risikostyring og kontrol forsvinder ikke. Myndighederne vil fortsat påvirke kravene gennem strammere regulering, og forretningspartnere vil kræve stærkere kontrol inden for deres område - og det vil kun blive mere kompliceret i fremtiden. 

Netop derfor er tiden inde til at definere og implementere en bæredygtig GRC-strategi. Det handler om at fremtidssikre sin indsats og være på forkant med forandringer.

Ved at opsætte fælles processer og information kan din organisation sikrer større effektivitet og synergi mellem de forskellige GRC-områder, hvilket gør det muligt for din ledelse at prioritere og arbejde strategisk med indsatserne. Det vil give din organisation det bedste grundlag for håndtere fremtidig forandringer og sætte ind, hvor det har størst effekt. 

Hos RISMA Systems arbejder vi målrettet med at skabe løsninger, som kan hjælpe organisationer med dette. Læs mere om vores GRC-platform - og hvordan den kan være med til at fremtidssikre din GRC-indsats. 

Logo