Creetion helpt SAP-klanten hun GRC-effectiviteit te verbeteren met behulp van het three lines of defence-model:
GRC is meer dan een pakkende afkorting die door technologie leveranciers en consultants wordt gebruikt om hun oplossingen op de markt te brengen – het is een bedrijfsfilosofie. Deze filosofie doordringt de organisatie: haar toezicht, haar processen, haar cultuur. Uiteindelijk gaat GRC over de integriteit van de organisatie:
De uitdaging van GRC is dat elke afzonderlijke term – governance, risico en compliance – verschillende betekenissen hebben binnen de organisatie. Er is corporate governance, IT-governance, financieel risico, strategisch risico, operationeel risico, IT-risico, bedrijfscompliance, Sarbanes-Oxley (SOX) -compliance, arbeids- / arbeidscompliance, privacy-compliance … de lijst met mandaten en initiatieven gaat maar door en door.
Het is gemakkelijker om te definiëren wat GRC NIET is. GRC gaat niet over silo’s van risico en compliance die onafhankelijk van elkaar werken. GRC gaat niet alleen over technologie – hoewel technologie een cruciale rol speelt. GRC is niet alleen een label van services die consultants bieden. GRC gaat niet alleen over de naleving van Sarbanes-Oxley. GRC is geen ander label voor enterprise risk management (ERM), hoewel GRC ERM omvat. Bovendien gaat GRC niet over één persoon die alle aspecten van governance, risico en compliance bepaalt.
GRC IS een bedrijfsfilosofie. Het gaat om individuele GRC-rollen in de hele organisatie die in harmonie werken om een compleet beeld te geven van governance, risico en compliance. Het gaat om samenwerking en het delen van informatie, beoordelingen, statistieken, risico’s, onderzoeken en verliezen in deze professionele rollen. Het doel is om een volledig beeld te geven van risico’s en compliance en om onderlinge relaties te identificeren in de complexe zakelijke omgeving van vandaag. GRC is een federatie van professionele rollen – de bedrijfssecretaris, de rechtskundige, het risico management team, audit, compliance, IT, ethiek, financiën en overigen – die samenwerken om duurzaamheid, consistentie, efficiëntie en transparantie in de hele organisatie te creeren en te behouden.
De volgende definities zijn er om de componenten van GRC te definiëren:
Governance is de cultuur, het beleid, de processen, de wetten en de instellingen die de structuur bepalen waarmee bedrijven worden bestuurd en beheerd.
Risico is het effect van onzekerheid op bedrijfsdoelstellingen.
Risicobeheer zijn de gecoördineerde activiteiten om een organisatie te sturen en te controleren. Dit om de bedrijfsvoering te verbeteren en negatieve gebeurtenissen te beheren.
Compliance is het naleven en aantonen van externe wet- en regelgeving evenals bedrijfsbeleid en -procedures.
GRC bestaat uit drie componenten: governance, risico en compliance zijn allemaal nodig om de organisatie effectief te beheren en te sturen. Samenvattend – goed bestuur kan alleen worden bereikt door zorgvuldig risico- en nalevingsbeheer. In de zakelijke omgeving van vandaag resulteert het negeren van van GRC in een gebrek aan overzicht en controle in bedrijfsprocessen, relaties met partners, acties van werknemers, de IT systemen en processen etc. GRC lijnt deze uit om als organisatie efficiënter en beter beheersbaar te zijn. Inefficiënties, fouten en potentiële risico’s kunnen worden geïdentificeerd, afgewend of beperkt, waardoor de blootstelling van de organisatie wordt verminderd en uiteindelijk betere bedrijfsprestaties worden gecreëerd.