GRC er et paraplykonsept som dekker begrepene Governance, Risk og Compliance. Men hva betyr det egentlig, og hvorfor er det så viktig? GRC er langt mer enn et fengende akronym som teknologileverandører bruker for å markedsføre produktene sine. Det er en forretningstilnærming og en filosofi som gjennomsyrer hele organisasjonen.
En godt utformet GRC-strategi gir deg mange fordeler – inkludert:
- Bedre risikostyring
- Færre repetisjoner av oppgaver
- Mer effektiv arbeidsflyt
- Bedre informasjonsdeling
- Større sikkerhet
Fem trinn for å utvikle GRC-strategi
En vellykket GRC-strategi krever et felles rammeverk, integrerte prosesser og en plattform som spenner over hele organisasjonen og dens individuelle risiko- og compliance-utfordringer.
Her er trinnene som vil få deg i gang med å utvikle et bærekraftig GRC-program.
1) Identifiser det nåværende arbeidet med GRC
Hele arbeidet med å definere en GRC-strategi bør starte internt. Hvordan jobber organisasjonen og de enkelte avdelingene hver for seg med styring, risiko og compliance? I dette trinnet kartlegger du graden av prosesser, teknologier, metoder og rammeverk for bedre å forstå hvordan arbeidsflyten innad i organisasjonen fungerer.
2) Definer formålet med GRC-strategien
Når omfanget av de enkelte avdelingers arbeid med GRC er avklart, er neste steg å bestemme formålet med et GRC-program. Her må du svare på hvorfor det er viktig å starte programmet og hva du anser som suksesskriterier. Start med å definere en visjon og målsetning for å jobbe med GRC slik at alle forstår hva organisasjonen sikter mot og hva som måles.
3) Utvikle en kortsiktig plan for å skape synlige resultater
Med organisasjonens målsetting i tankene, må de raske gevinstene ved GRC synliggjøres. Hvilke fordeler gir en felles GRC-strategi, og hvordan kan hver avdeling føle dem?
Målet med dette trinnet er å møte de innvendingene som uunngåelig vil oppstå når prosesser og prosedyrer må endres hos den enkelte. Ved å synliggjøre resultatene oppnås større tiltro til strategien, og dette er nødvendig for at implementeringen skal bli vellykket.
Kortsiktig plan bør ikke strekke seg over mer enn 12 måneder.
4) Lag en helhetlig handlingsplan
Med kortsiktig plan på plass starter arbeidet med den langsiktige strategiske planen. Hvordan implementeres GRC-strategien slik at hele organisasjonen tar den i bruk og hvem har ansvar for hva? Samtidig må du finne ut hvordan du kan måle om investeringen er verdt innsatsen. Dette kan du blant annet gjøre ved å se på:
- Risikodekning
- Feilsjekking
- Effektivitet
- Utførelse
Langtidsplanen bør dekke en periode på 3-5 år og skal inneholde målene for GRC-innsatsen, slik at arbeidet fortløpende kan evalueres og tilpasses.
5) Finn riktig verktøy
Når arbeidet med å definere en GRC-strategi er unnagjort, er det nødvendig å finne det riktige verktøyet for å få selve implementeringen i gang. Det er viktig å finne en programvareløsning som matcher organisasjonens behov – både nåværende og fremtidige.
Her bør du vurdere følgende faktorer:
- Brukervennlighet – kan systemet brukes enkelt av ansatte på alle nivåer?
- Integrasjon – skal systemet integreres med andre nåværende systemer?
- Sikkerhet – kan tilgangskontroll settes opp slik at brukere kun har tilgang til data knyttet til deres spesifikke arbeid?
- Tilpasning – kan systemet tilpasses de eksakte behovene til organisasjonen, samt utvikles i tråd med organisasjonens vekst og fremtidige behov?
- Support - er det mulighet for rask og enkel support når tekniske problemer oppstår?
Arbeidet med risikostyring og kontroll forsvinner ikke. Myndighetene vil fortsette å påvirke kravene gjennom strammere regulering, og forretningspartnere vil kreve større kontroll innenfor sitt område. Derfor bør du definere og implementere en bærekraftig GRC-strategi i dag!