I dag findes der softwareleverandører til stort set alt – herunder også governance, risk management og compliance (GRC) – og de produkter, der er tilgængelige, kan overordnet inddeles i to kategorier: punktløsninger (point solutions) og platformsløsninger.
De to løsningstyper varierer meget i fleksibilitet og skalerbarhed, og hver især har de styrker og svagheder, som du skal overveje, inden du lægger dig fast på et givent system. Det er ikke let at finde og integrere ny teknologi i en organisation, og af samme årsag er det vigtigt, at du træffer det rette valg i første omgang.
Vi dykker ned i emnet og tager et kig på de spørgsmål, der kredser om valget mellem det ene og det andet – nemlig:
- Hvad er en point solution?
- Hvad er en GRC-platform?
- Hvad er de vigtigste forskelle?
- Hvad skal du overveje, inden du vælger?
- Hvorfor anbefaler RISMA en platform?
Hvad er en point solution?
Direkte oversat betyder point solution punktløsning, og det er netop, hvad det er. Et program eller en arbejdsgang der er bygget til at løse et enkelt problem. Hverken mere eller mindre. Her er der ofte begrænset muligheder for udvidelse til andre områder, hvilket låser din organisation fast i det rammeværk og begrænsninger, der eksisterer i løsningen.
Årsagen til, at mange organisationer alligevel lander her, er, at den rette punktløsning hurtigt og let kan løse en given problemstilling. Det fulde fokus ligger nemlig på effektivitet inden for ét specifikt område. Samtidig er en point solution ofte mere ligetil at integrere end et platformsystem.
Punktløsninger udføres ofte som en one size fits all-model. Det betyder, at du måske kan løse den aktuelle opgave, du har på hånden. Men for yderligere vækst kan du risikere at skulle skifte system for at imødekomme dine nye behov eller integrere til andre systemer, hvilket kan skabe et vivar af løsninger. Det kan skabe systemoverload og skabe dobbeltarbejde.
Hvad er en GRC-platform?
Hvor punktløsninger er bygget til at løse enkeltstående problemer, favner en GRC-platform langt bredere. Her får du fleksible værktøjer, der kan bruges til at konstruere brugerdefinerede arbejdsgange og automatiserede systemer, der minimerer dobbeltarbejde og strømliner processer på tværs af organisationen.
Den helt store fordel ved en samlet GRC-platform er, at den kan anvendes til flere forskellige opgaver på tværs af afdelinger og lande, og dermed ensrettes processer og arbejdsgange. Samtidig tilfredsstiller en platform ikke bare nutidens behov – den gør det muligt at skalere til fremtidens behov. En samlet platform er ganske enkelt designet på nogle andre principper end point solutions, og det betyder, at løsningen kan vokse med dig.
Derudover kan en GRC-platform oftest skræddersyes til at imødekomme forskellige branchekrav, regler og udstyr, så hele organisationen kan operere i et enkelt softwaresystem. Det øger gennemsigtigheden samt styrker effektiviteten og kommunikationen mellem afdelinger.
LÆS OGSÅ: Compliancesoftware skaber værdi på flere fronter
De vigtigste forskelle på point solutions og platforme
Point solutions – fordele:
- Et begrænset anvendelsesområde kan gøre det lettere at komme i gang med en punktløsning.
- Point solutions er som regel billigere og mindre komplekse end platformsystemer.
- En punktløsning giver specifik ekspertise på ét område.
Point solutions – udfordringer:
- De begrænsede muligheder gør det svært at skalere.
- Håndtering af flere punktløsning kan være omfattende for IT og resultere i opdelte siloer og manglende kommunikation mellem afdelinger.
GRC-platform – fordele:
- Platformen kan skræddersyes til den specifikke branche.
- En GRC-platform kan skalere med organisationen, udfylde nye behov og løse nye problemer med fleksible og strømlinet procedurer og arbejdsgange.
- Hele organisationen kan anvende samme system til alle GRC-relaterede opgaver.
- Skaber ensformig dokumentation og rapportering på tværs af organisationen.
GRC-platform – udfordringer:
- Et omfattende platformsystem medfører en højere førstegangsinvestering sammenlignet med en point solution.
- Implementering af en GRC-platform kræver ærlig intern evaluering og ressourcer.
Hvad skal du overveje, inden du vælger?
Der er mange gode punktløsninger, der gør et fremragende stykke arbejde med at tackle de problemer, de er designet til. Men behandling af et givent problem som en isoleret hændelse kan føre til komplekse udfordringer på den lange bane; når du lukker huller på tværs af organisationen med en samling af point solutions, risikerer du at opdage helt nye problemer, der dukker op, når de forskellige løsninger ikke kan samarbejde organisk.
Samtidig sker der hurtigt det, at en organisation får anskaffet sig for mange point solutions, og dermed begynder investerings- og administrationsomkostningerne at hobe sig op. På samme vis vil du opleve, at efterhånden som organisationen ændrer sig, skal de enkelte løsninger tilpasses individuelt for at leve op til skiftende behov – og det giver sjældent en effektiv arbejdsgang.
Hvis din organisation virkelig kun kæmper med én ting, kan en punktløsning måske være den bedste retning at bevæge sig i. En anden mulighed er at vælge et set up, der kan rumme flere løsninger på sigt – altså en platform. På den måde får du løst dit behov nu og her, mens du samtidig sikrer dig, at systemet kan vokse i takt med organisationen.
LÆS OGSÅ: Høj eller lav GRC-modenhed; hvor ligger din organisation?
Platformen er vores klar anbefaling
Det skal ikke være en hemmelighed, at vi hos RISMA er klare tilhængere af at vælge en samlet GRC-platform. Faktisk uanset størrelsen på din organisation. Det er nemlig ikke nødvendigt at investere i hele paletten af løsninger på én gang – du kan starte der, hvor du oplever et behov.
En GRC-platform er et uvurderligt aktiv for hele organisationen, der blandt andet gør det muligt at strømline processer, overvåge brugeradgang og privilegier, føre handlingslog, udarbejde risikoanalyser og ikke mindst rapportere og dokumentere, når det er nødvendigt. Samtidig øges effektiviteten, og som tidligere nævnt vokser platformen i takt med organisationen, så der ikke skal integreres og implementeres nye systemer.
#1 Strømlining af processer
Med en samlet GRC-platform bliver det muligt at nedbryde siloer på tværs af afdelinger. Der skabes konsistente metoder til indsamling og behandling af data, og på den måde muliggøres deling af best pratices, ligesom effektiviteten øges, når processerne automatiseres og ensrettes.
#2 Øget effektivitet
Med klare retningslinjer og veldefinerede arbejdsgange er det ikke bare effektiviteten, der sikres. Du skaber samtidig grobund for kontinuerlig GRC-optimering, fordi der opstår synergi mellem de forskellige GRC-områder. Organisationen vil derfor i større grad være i stand til at prioritere og i fællesskab arbejde strategisk med de forskellige indsatser – på tværs af afdelinger.
# 3 Bedre rapportering og dokumentation
Resultatet af strømlinede processer og ensrettet indsamling og behandling af data er et bedre overblik – og med overblik bliver rapporteringen mere indsigtsfuld og on-demand.
Bedre rapportering giver mulighed for et mere holistisk blik på den samlede GRC-indsats, og samtidig sikres, at ledelsen træffer beslutninger på et oplyst og veldokumenteret grundlag.
# 4 Skalerbarhed og proaktiv tilgang til fremtiden
Med en GRC-platform får du en løsning, der vokser med organisationen og det stigende antal krav, der stilles i forbindelse med vækst og nye markeder.
Samtidig får du et system, der hjælper dig med at være på forkant med nye standarder, lovgivninger og andre forhold, organisationen skal være opmærksom på for fortsat at være konkurrencedygtig – både nu og i fremtiden.
Succesfuld implementering af GRC-software kræver forberedelse
Der er en årsag til, at mange organisationer går med point solutions i første omgang. Nemlig at komplekse platforme er ressourcekrævende at implementere, og der går et stykke tid, før organisationen kan høste udbyttet.
Men det behøver ikke at være så svært, hvis bare du gør dig de rette overvejelser forud for valget. Det handler nemlig om langt mere end bare software – det handler om organisationens readiness:
- Har organisationen afsat de rette mængder af ressourcer til opgaven (tid og engagement)?
- Er der en eksisterende struktur, der understøtter arbejdet (fx rapporteringsveje)?
- Er der udarbejdet politikker, der beskriver arbejdet med GRC?
- Er der afsat tid til, at medarbejderne både kan løse nuværende opgaver samt bruge den nødvendige tid på implementering og læring?
- Stemmer budgettet for software og implementering overens med det ønskede resultat?
Der er ingen nem vej, når ovenstående spørgsmål skal besvares, men hvis I som organisation og ledelse dykker grundigt ned i dem og svarer ærligt, så er der grobund for en succesfuld implementering, der lever op til organisationens forventninger.
Det er essentielt at have in mente, at alle organisationer er forskellige. For nogle er det kun nødvendigt at forstå og integrere det mest basale, mens det for andre er vigtigt at være blandt de bedste på området. Uanset hvad er det vigtigt at forstå, at organisationen kan integrere funktionerne trinvist og forstå kompleksiteten et skridt ad gangen.
Implementering behøver ikke at foregå henover natten (hvilket næppe heller er muligt) – se i stedet den store fleksibilitet i implementeringen som en unik mulighed for yderligere optimering over tid.