Kom godt fra start med din GRC-strategi

7 minutters læsning
GRC
Skrevet af:

Governance, risk og compliance er begreber, der i sig selv kan være svære at få greb om. Det bliver ikke lettere, når de samles under paraplybetegnelsen GRC – for hvad er det, og hvorfor bør din organisation overhovedet overveje en GRC-strategi?

GRC er langt mere end et fængende akronym, teknologileverandører bruger til at markedsføre deres produkter. Det er en forretningstilgang og en filosofi, der gennemsyrer hele organisationen.

En veltilrettelagt GRC-strategi giver dig mange fordele – blandt andet:

  • Bedre risikostyring
  • Færre gentagelser af opgaver
  • Mere effektive arbejdsgange
  • Bedre informationsdeling
  • Større sikkerhed

Udfordringen ved GRC – i de tilfælde hvor organisationen ikke har en GRC-strategi – er, at de enkelte begreber har forskellige betydninger på tværs af organisationens afdelinger. Ofte er de også kendetegnet ved at være isolerede siloer, der arbejder uafhængigt af hinanden.

Målet med en samlet GRC-strategi er at skabe harmoni med et redskab, der giver komplet overblik over beslutninger, risici og kontrol. Det handler om samarbejde og deling af informationer. Om vurderinger, målinger, risici, undersøgelser og tab på tværs af alle afdelinger.

Spørgsmålet er, hvordan du kommer i gang med at lægge en GRC-strategi for din organisation?

Fem trin til udvikling af GRC-strategi

Organisationer, der forsøger at opbygge en GRC-strategi med hjemmelavede løsninger i form af regneark og dokumentdeling på diverse drev, kommer hurtigt til kort.

En vellykket GRC-strategi kræver fælles rammer, integrerede processer og en platform, der spænder over hele organisationen og dens individuelle risici- og complianceudfordringer.

Din strategi for GRC starter med en simpel fem-trins plan.

Her er trinene, der sætter dig i gang med at udvikle et bæredygtigt GRC-program.

1) Identificer det nuværende arbejde med GRC

Hele arbejdet med at definere en GRC-strategi bør starte internt. Hvordan arbejder organisationen og de enkelte afdelinger hver især med governance, risk og compliance?

Start med en undersøgelse, der sigter mod at:

  • identificere og katalogisere antallet af processer, teknologier, metoder og rammer
  • skabe en bedre forståelse af både fordele og ulemper ved de forskellige arbejdsgange.

2) Definer GRC-strategiens formål

Når omfanget af de enkelte afdelingers arbejde med GRC er klarlagt, er næste skridt at fastlægge formålet med et GRC-program.

Her skal I svare på, hvorfor det er vigtigt at igangsætte programmet, og hvad I betragter som succeskriterier.

Derudover skal I definere målet for den fælles indsats samt hvilke resultater, GRC-strategien skal føre med sig.

LÆS OGSÅ: 3 vigtige faktorer for dig der vil lykkes med GRC

Start med at definere en visions- og missionserklæring for arbejdet med GRC, så alle forstår, hvad organisationen sigter mod, og hvad der måles på.

Det kan eksempelvis lyde som følgende:

”Visionen er målbart at forbedre organisationens forretningspræstationer ved at levere styringsprocesser og risikointelligens, der proaktivt reducerer risici og samtidig øger effektiviteten.

Missionen er at levere rådgivende, innovative og pålidelige tjenester, der muliggør og understøtter integrerede og gennemgribende styrings-, risiko- og kontrolprocesser for hver enkelt interessentgruppe.”

3) Udarbejd en kortsigtet plan for at skabe synlige resultater

Med strategiens mål i tankerne skal de hurtige gevinster ved GRC synliggøres. Hvilke fordele følger i kølvandet på en fælles GRC-strategi, og hvordan kan den enkelte afdeling mærke dem?

Målet med dette skridt er at imødekomme de indvendinger, der uvægerligt vil komme, når processer og procedurer skal ændres hos den enkelte. Ved at synliggøre resultaterne opnås et større buy-in til strategien, og det er nødvendigt, hvis den skal implementeres med succes.

Den kortsigtede plan bør ikke strække sig over mere end 12 måneder.

4) Lav en omfattende handlingsplan

Med den kortsigtede plan på plads starter arbejdet med den langsigtede strategiske plan. Hvordan implementeres GRC-strategien, så hele organisationen tager den til sig, hvem påtager sig hvilke roller, og hvem har ansvaret for hvad?

Samtidig skal I – med GRC-programmets succeskriterier i baghovedet – finde ud af, hvordan I måler, om investeringen er indsatsen værd.

Det kan I blandt andet gøre ved at kigge på:

  • Risikodækning
  • Kontrolfejl
  • Effektivitet
  • Eksekvering

Den langsigtede plan bør dække en periode på 3-5 år og skal inkludere målene for GRC-indsatsen, så arbejdet løbende kan evalueres og tilpasses.

5) Find det rette værktøj

Ét er selve arbejdet med at definere en GRC-strategi og implementere den på tværs af en stor organisation. Noget andet er at finde det rette værktøj til at udføre arbejdet.

Konsekvent og relevant brug af teknologi er ikke til at komme udenom. Her handler det i høj grad om at finde en software-løsning, der matcher organisationens behov - både de nuværende og fremtidige.

I kan blandt andet overveje følgende faktorer:

  • Brugervenlighed – kan systemet anvendes let og intuitivt af medarbejdere på alle niveauer?
  • Integration – skal systemet integreres med andre nuværende systemer?
  • Sikkerhed – kan der oprettes adgangskontrol, så brugerne kun har adgang til data, der vedrører deres specifikke arbejde?
  • Skalerbarhed – kan systemet udvikles i takt med organisationens vækst og fremtidens behov?
  • Tilpasning – kan systemet tilpasses organisationens nøjagtige behov?
  • Support – er der mulighed for hurtig og nem support, hvis teknikken giver problemer?

Én ting er i hvert fald sikkert; arbejdet med risikostyring og kontrol forsvinder ikke. Myndighederne vil fortsat påvirke kravene gennem strammere regulering, og forretningspartnere vil kræve stærkere kontrol inden for deres område.

Netop derfor er tiden inde til at definere og implementere en bæredygtig GRC-strategi.

Download Nyhedsbrev fra Plesner

Kom godt fra start med din GRC-strategi

Udfyld formular for at downloade

Andre artikler

Få best practices og ekspertviden

Hold dig opdateret med best practices, nyheder og viden om governance, risikostyring og compliance og få invitationer til events og webinarer. Du kan til enhver tid afmelde dig.

Tilmeld nu