Governance, Risk & Compliance

Governance, Risk & Compliance

Governance, Risk & Compliance (ook wel afgekort tot GRC) is een containerbegrip dat breed toepasbaar is. Het komt neer op de integrale verzameling van mogelijkheden die een organisatie in staat stellen om op betrouwbare en integere wijze doelen te behalen en onzekerheden te minimaliseren. Het strekt zich uit over veel deelgebieden in organisaties, zoals Financiën, Gezondheid en Veiligheid, Juridisch en IT. Newmorn’ is gespecialiseerd in Informatiebeveiliging dus wij benaderen exclusief de IT-kant van GRC. Maar wat houdt dit in?

Governance

Inderdaad, ook dit woord is weer een breed, Engelstalig begrip dat veelvuldig verkeerd wordt uitgelegd of geïnterpreteerd. Maar eigenlijk is het heel simpel: grof gezegd betekent Governance ‘de manier van besturen’. Met name wordt er nadruk gelegd op de lange termijn. ‘Doen we de goede dingen en doen we de dingen goed’, in plaats van ‘hebben we deze maand onze KPI’s gehaald’. Onder de vlag van Governance wordt er Informatiebeveiligingsbeleid ontwikkeld, waarin onder meer de IT-koers van de organisatie voor de lange termijn wordt vastgelegd.

Risk

Van allerlei kanten worden organisaties bedreigd door risico’s. Hoe groot de risico’s zijn, hangt af van het risicoprofiel. Sommigen lopen een inherent risico, bijvoorbeeld vanwege een politieke of religieuze aard, potentieel gevaarlijke processen of de aanwezigheid van waardevolle goederen. Incidenten en calamiteiten kunnen flinke schade opleveren of zelfs het einde van de organisatie zijn, als er geen gedegen risicomanagement wordt toegepast. Maar vaak wordt risicomanagement bekritiseerd omdat het subjectief zou zijn. Hoe definieer je risico’s objectief en hoe borg je deze in een norm?

Business Continuity

Governance, Risk & Compliance heeft een directe relatie met Business Continuity. Hierbij hebben we het over het vermogen van een organisatie om de kernprocessen en operatie te beschermen tegen ernstige schade en/of uitval van processen in geval van een calamiteit of onverwacht incident. Waar GRC focust op het voorkomen van een incident, focust Business Continuity zich op het minimaliseren van de impact en het snel herstellen van de dienstverlening na een incident. Het voortbestaan van de organisatie in de breedste zin des woords.

Compliance

Met compliance bedoelen we doorgaans het voldoen aan wet- en regelgeving, intern beleid/protocol en de verwachtingen van stakeholders. Compliance gaat een flinke stap verder dan ‘slechts’ certificering. Een organisatie die compliant is, heeft verbetering ingebed in het DNA. Zowel in processen als in mensen is een continu streven naar optimalisatie en verandering aanwezig. Hierdoor worden risico’s verminderd en wordt verspilling geminimaliseerd. Bij veel organisaties wordt er bij compliance gedacht aan regeldruk en een zware administratieve belasting. Maar in feite is het juist de drijvende kracht voor procesbewaking en -optimalisatie. Wij laten zien hoe dit laatste aspect juist druk vermindert en het werk leuker maakt.

Met een certificering toon je aan dat je aan de basisvoorwaarden voldoet om compliant te worden. Hiervoor zijn normen gesteld die worden beheerd in een ISMS (Information Security Management System. Dat kan bijvoorbeeld handig in jouw eigen Microsoft Teams omgeving (of in een andere applicatie). Belangrijk is dat de tools zijn geïntegreerd in jouw bedrijfsvoering.

De bekendste certificeerbare normen zijn die van ISO en NEN, waarin veel aspecten van een goede bedrijfsvoering zijn gestandaardiseerd. Daarnaast zijn er normen voor Privacy (AVG) of bijvoorbeeld normen in specifieke branches, zoals de Zorg. Hierbij hoort ook het stelselmatig monitoren en rapporteren, in de vorm van Audits.

Newmorn consultant Jodi van Duyne

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van Governance, Risk & Compliance? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.