I dagens komplekse forretningsverden er det tre sentrale begreper som spiller en avgjørende rolle for organisasjoners suksess og integritet. Disse begrepene samles ofte under akronymet GRC. Til tross for sin tilsynelatende enkle forkortelse skjuler GRC en dypere betydning og en integrert tilnærming til hvordan organisasjoner skal ledes og styres.
Hva står GRC for?
GRC er en forkortelse for governance, risk og compliance, og disse tre sentrale begrepene utgjør hjørnesteinene innenfor virksomhetsledelse og styring:
- Governance handler om ledelse, retningslinjer og ansvar for å forme organisasjonens strategi og beslutningsprosesser.
- Risk, eller risikostyring, innebærer identifikasjon og håndtering av trusler og usikkerheter, inkludert økonomiske og operasjonelle aspekter.
- Compliance betyr å følge og overholde lover og standarder for å unngå juridiske problemer og opprettholde et godt omdømme.
Når vi samler disse under paraplybetegnelsen GRC, oppstår det ofte forvirring rundt hva dette komplekse akronymet egentlig innebærer, og hvorfor det er relevant å forholde seg til det.
GRC-strategi: effektiv risikostyring og sammenheng
GRC er langt mer enn et fengende akronym som teknologileverandører bruker for å markedsføre sine produkter. Det er en forretningstilnærming og en filosofi som gjennomsyrer hele organisasjonen.
En godt tilrettelagt GRC-strategi gir deg mange fordeler – blant annet:
- Bedre risikostyring
- Færre repetisjoner av oppgaver
- Mer effektiv arbeidsflyt
- Bedre informasjonsdeling
- Større sikkerhet
Utfordringen med GRC – i tilfeller der organisasjonen ikke har en GRC-strategi – er at de enkelte begrepene har forskjellige betydninger på tvers av organisasjonens avdelinger. Ofte er de også preget av å være isolerte siloer som jobber uavhengig av hverandre.
Målet med en samlet GRC-strategi er å skape harmoni med et verktøy som gir komplett oversikt over beslutninger, risikoer og kontroll. Det handler om samarbeid og deling av informasjon. Om vurderinger, målinger, risikoer, undersøkelser og tap på tvers av alle avdelinger.
Spørsmålet er, hvordan kommer du i gang med å legge en GRC-strategi for din organisasjon?
Fem trinn for å utvikle GRC-strategi
Organisasjoner som forsøker å bygge en GRC-strategi med hjemmesnekrede løsninger som regneark og dokumentdeling på ulike drivere, kommer raskt til kort.
En vellykket GRC-strategi krever felles rammeverk, integrerte prosesser og en plattform som dekker hele organisasjonen og dens individuelle risiko- og complianceutfordringer.
Din strategi for GRC starter med en enkel femtrinnsplan.
Her er trinnene som vil få deg i gang med å utvikle et bærekraftig GRC-program.
1) Identifiser det nåværende arbeidet med GRC
Hele arbeidet med å definere en GRC-strategi bør starte internt. Hvordan jobber organisasjonen og de enkelte avdelingene hver for seg med styring, risiko og compliance?
Start med en undersøkelse som har som mål å:
- identifisere og katalogisere antall prosesser, teknologier, metoder og rammeverk
- skape en bedre forståelse av både fordeler og ulemper ved de ulike arbeidsprosessene.
2) Definer formålet med GRC-strategien
Når omfanget av de enkelte avdelingers arbeid med GRC er avklart, er neste steg å bestemme formålet med et GRC-program. Her må du svare på hvorfor det er viktig å starte programmet og hva du anser som suksesskriterier.
I tillegg må dere definere målet for den felles innsatsen samt hvilke resultater GRC-strategien skal føre med seg. Start med å definere en visjon og målsetning for å jobbe med GRC slik at alle forstår hva organisasjonen sikter mot og hva som måles.
Det kan for eksempel formuleres slik:
”Visjonen er målrettet å forbedre organisasjonens forretningsprestasjoner ved å levere styringsprosesser og risikointelligens som proaktivt reduserer risikoer og samtidig øker effektiviteten.
Misjonen er å levere rådgivende, innovative og pålitelige tjenester som muliggjør og støtter integrerte og gjennomgripende styrings-, risiko- og kontrollprosesser for hver enkelt interessentgruppe.”
3) Utvikle en kortsiktig plan for å skape synlige resultater
Med organisasjonens målsetting i tankene, må de raske gevinstene ved GRC synliggjøres. Hvilke fordeler gir en felles GRC-strategi, og hvordan kan hver avdeling føle dem?
Målet med dette trinnet er å møte de innvendingene som uunngåelig vil oppstå når prosesser og prosedyrer må endres hos den enkelte. Ved å synliggjøre resultatene oppnås større tiltro til strategien, og dette er nødvendig for at implementeringen skal bli vellykket.
Kortsiktig plan bør ikke strekke seg over mer enn 12 måneder.
4) Lag en helhetlig handlingsplan
Med kortsiktig plan på plass starter arbeidet med den langsiktige strategiske planen. Hvordan implementeres GRC-strategien slik at hele organisasjonen tar den i bruk og hvem har ansvar for hva?
Samtidig må du – med GRC-programmets suksesskriterier i bakhodet – finne ut hvordan du kan måle om investeringen er verdt innsatsen. Dette kan du blant annet gjøre ved å se på:
- Risikodekning
- Feilsjekking
- Effektivitet
- Utførelse
Langtidsplanen bør dekke en periode på 3-5 år og skal inneholde målene for GRC-innsatsen, slik at arbeidet fortløpende kan evalueres og tilpasses.
5) Finn riktig verktøy
Én ting er selve arbeidet med å definere en GRC-strategi og implementere den på tvers av en stor organisasjon. Noe annet er å finne det rette verktøyet for å utføre arbeidet.
Konsistent og relevant bruk av teknologi er umulig å komme utenom. Her handler det i stor grad om å finne en programvareløsning som matcher organisasjonens behov – både de nåværende og fremtidige.
Her bør du vurdere følgende faktorer:
- Brukervennlighet – kan systemet brukes enkelt av ansatte på alle nivåer?
- Integrasjon – skal systemet integreres med andre nåværende systemer?
- Sikkerhet – kan tilgangskontroll settes opp slik at brukere kun har tilgang til data knyttet til deres spesifikke arbeid?
- Tilpasning – kan systemet tilpasses de eksakte behovene til organisasjonen, samt utvikles i tråd med organisasjonens vekst og fremtidige behov?
- Support - er det mulighet for rask og enkel support når tekniske problemer oppstår?
Én ting er i hvert fall sikkert; arbeidet med risikostyring og kontroll forsvinner ikke. Myndighetene vil fortsatt påvirke kravene gjennom strengere regulering, og forretningspartnere vil kreve sterkere kontroll innenfor sitt område – og dette vil bare bli mer komplisert i fremtiden.
Netopp derfor er tiden inne for å definere og implementere en bærekraftig GRC-strategi. Det handler om å fremtidssikre innsatsen og være på forkant med endringer.
Ved å sette opp felles prosesser og informasjon kan din organisasjon sikre større effektivitet og synergi mellom de ulike GRC-områdene, noe som gjør det mulig for ledelsen å prioritere og jobbe strategisk med innsatsene. Dette vil gi organisasjonen et solid grunnlag for å håndtere fremtidige endringer og sette inn tiltak der de har størst effekt.
Hos RISMA Systems jobber vi målrettet med å skape løsninger som kan hjelpe organisasjoner med dette. Les mer om vår GRC-plattform – og hvordan den kan bidra til å fremtidssikre din GRC-innsats.
