Inschrijven voor onze nieuwsbrief
Artikel

Van Excel naar GRC-tool: De digitalisering van Governance, Risk en Compliance

18 april 2024
Bob van Essen Risk Consultant Connect on Linkedin
Ivar Gruwel Expert Manager Connect on Linkedin

Door de constant veranderende omgeving en toename van regelgeving moeten organisaties hun governance, risicomanagement en compliance effectief beheersen. Het gebruik van een goed geïmplementeerde GRC tool is hier essentieel voor. Een GRC tool kan door elke organisatie worden geïmplementeerd, ongeacht de sector of grootte. In dit artikel leggen we uit wat een GRC tool is, wat de belangrijkste voordelen zijn en hoe de implementatie in zijn werk gaat.

De overstap van Excel naar GRC-tool

Vroeger leunden organisaties op uitgebreide Excelsheets, dit was het uitgangspunt voor de administratie van de risico’s en controles van organisaties. Naast dat Excel veel manuele acties vergt, en dus foutgevoelig is, zijn er nog veel andere redenen te noemen waarom Excel niet de meest ideale ‘tool’ is voor integraal risicomanagement. Binnen Excel is het mogelijk om een eigen werkwijze te gebruiken, iets wat voor het opzetten van integraal risicomanagement niet werkbaar is. Ook is het vanuit Excel niet mogelijk om een automatische workflow met mail ondersteuning in te richten. Tot slot biedt het beperkte mogelijkheden voor opschaling en het is moeilijk om geavanceerde rapportages te genereren die voldoen aan de specifieke behoeften voor alle lagen binnen en buiten de organisatie.

Risicomanagement kan alleen slagen als het binnen alle lagen van de organisatie, zowel strategisch als operationeel, de juiste aandacht krijgt.

Risicomanagement houdt natuurlijk niet op bij het identificeren van risico's en controles. Effectief integraal risicomanagement vraagt om een goede beheersing van deze risico’s en controles, maar ook het creëren van de juiste inzichten op basis van deze gegevens. Risicomanagement kan alleen slagen als het binnen alle lagen van de organisatie, zowel strategisch als operationeel, de juiste aandacht krijgt. Een volwassen werking van risicomanagement binnen de organisatie vraagt om één centrale plek in de kern van de organisatie. Het gebruik van een GRC-tool zorgt ervoor dat het gehele risicomanagement proces wordt gewaarborgd. Het helpt de organisatie om aantoonbaar in control te zijn.

Wat is een GRC-tool?

De naam zegt het al, een Governance Risk Compliance tool is een softwareoplossing die organisaties helpt om hun governance, risico’s en compliance op één centrale plek te beheren. In de tool worden diverse functionaliteiten samengebracht, waaronder:

  • Vastleggen en beheren van beleidsregels en procedures, dit is de basis voor een effectief governance beheer;
  • Identificeren, beoordelen en beheersen van risico's die van invloed kunnen zijn op de organisatie; (strategische, operationele, financiële en compliance-risico's)
  • Genereren van rapporten en analyses voor betere besluitvorming op alle niveaus.

Voordelen van een GRC-tool

  • Gestandaardiseerde manier van werken: Door het gebruik van de GRC-tool werkt de organisatie op één gestandaardiseerde manier voor zowel de eerste, tweede als derde lijn.
  • Automatisering van risicomanagement: GRC-tools zorgen voor geautomatiseerde processen rondom risicomanagement. Zo krijgen medewerkers bijvoorbeeld automatische e-mailnotificaties wanneer er acties van ze verwacht worden en worden de risicomanagers automatisch op de hoogte gehouden van nieuwe incidenten.
  • Inzicht voor alle stakeholders: De GRC-tool genereert eenvoudig overzichten en dashboards voor alle stakeholders van de organisatie. Zo kan er op organisatie-, businessunit- en afdelingsniveau geëvalueerd worden hoe ‘in control’ ze zijn.
  • Samenwerking binnen de organisatie: Een gevolg van bovenstaande punten is dat afdelingen op een gestructureerde manier kunnen samenwerken en het risicobewustzijn in de organisatie verhoogd wordt.

Implementeren van een GRC-tool

Eenmaal besloten dat er een (nieuwe) GRC-tool moet komen, komt de organisatie voor een grote uitdaging te staan; Het implementeren ervan.

De implementatie van een GRC-tool is uitdagend en afhankelijk van de complexiteit en het huidige niveau van risicomanagement en compliance van de organisatie. Hoe complexer de organisatie, hoe complexer de implementatie. Daarnaast is het huidige volwassenheidsniveau van risicomanagement en compliance binnen de organisatie cruciaal voor een succesvolle implementatie.

Er zijn twee benaderingen voor de implementatie:

1. ‘As-is’ over: Indien het volwassenheidsniveau van risicomanagement en compliance binnen de organisatie al goed op niveau is, kan de organisatie ‘as-is’ over gaan. Alle bestaande risico’s en controles worden direct overgezet en aangescherpt voor de nieuwe GRC-tool.

2. Algehele werking naar een hoger niveau tillen: De implementatie van een GRC tool is ook regelmatig onderdeel van een groter geheel; de werking van risicomanagement en compliance binnen de organisatie naar een hoger volwassenheidsniveau tillen. De processen binnen de organisatie worden herzien en doorontwikkeld, zodat de juiste risico’s en controles geïdentificeerd kunnen worden. Vervolgens wordt dit overgezet naar de GRC-tool. Twee vliegen in één klap dus!

Maar misschien wel de belangrijkste succesfactor bij het implementeren van de GRC-tool: gedegen change management.

Change Management

Maar misschien wel de belangrijkste succesfactor bij het implementeren van de GRC-tool: gedegen change management. Een succesvolle implementatie vereist betrokkenheid van alle stakeholders. Het doel van de implementatie en de ‘what’s in it for me’ moeten duidelijk gecommuniceerd worden. Verandering brengt weerstand, maar door ondersteuning, training en adequate communicatie worden medewerkers meegenomen in dit proces. Uiteindelijk zijn de medewerkers het belangrijkste focuspunt in dit traject. Een mooie tool die neergezet is, zonder dat de mensen zijn meegenomen, werkt niet!

Heeft u vragen over de mogelijkheden van een implementatie, of wilt u gewoon eens bespreken wat er bij komt kijken?, TriFinance denkt graag met u mee.

Related content