Governance, Risk & Compliance (GRC)

Home » Consultancy » Governance Risk & Compliance (GRC)

Hulp bij je Governance, Risk & Compliance beleid

Governance, Risk & Compliance (ook wel afgekort tot GRC) is een containerbegrip dat breed toepasbaar is. Het komt neer op de integrale verzameling van mogelijkheden die een organisatie in staat stellen om op betrouwbare en integere wijze doelen te behalen en onzekerheden te minimaliseren. Het strekt zich uit over veel deelgebieden binnen organisaties. Newmorn’ is gespecialiseerd in informatiebeveiliging dus wij benaderen exclusief de IT-kant van GRC. Maar wat houdt dit in?

Governance

Inderdaad, ook dit woord is weer een breed, Engelstalig begrip dat veelvuldig verkeerd wordt uitgelegd of geïnterpreteerd. Maar eigenlijk is het heel simpel: grof gezegd betekent Governance ‘de manier van besturen’. Met name wordt er nadruk gelegd op de lange termijn. ‘Doen we de goede dingen en doen we de dingen goed’, in plaats van ‘hebben we deze maand onze KPI’s gehaald’. Onder de vlag van Governance wordt er Informatiebeveiligingsbeleid ontwikkeld, waarin onder meer de IT-koers van de organisatie voor de lange termijn wordt vastgelegd.

Risk

Van allerlei kanten worden organisaties bedreigd door risico’s. Hoe groot de risico’s zijn, hangt af van het risicoprofiel. Sommigen lopen een inherent risico, bijvoorbeeld vanwege een politieke of religieuze aard, potentieel gevaarlijke processen of de aanwezigheid van waardevolle goederen.

Incidenten en calamiteiten kunnen flinke schade opleveren of zelfs het einde van de organisatie zijn, als er geen gedegen risicomanagement wordt toegepast. Maar vaak wordt risicomanagement bekritiseerd omdat het subjectief zou zijn. Hoe definieer je risico’s objectief en hoe borg je deze in een norm? Met een risicoanalyse!

Business Continuity

Governance, Risk & Compliance (GRC) is nauw verbonden met Business Continuity. Hier draait het om de capaciteit van een organisatie om haar essentiële processen en operaties te beschermen tegen ernstige schade of uitval bij calamiteiten en onverwachte incidenten.

Terwijl GRC zich richt op het voorkomen van incidenten, legt Business Continuity de nadruk op het minimaliseren van de impact en het snel herstellen van de dienstverlening na een voorval. Het gaat om het voortbestaan van de organisatie in de ruimste zin van het woord. Maar waar moet je beginnen? Wij staan voor je klaar om je te ondersteunen.

Compliance

Met compliance bedoelen we doorgaans het voldoen aan wet- en regelgeving, intern beleid/protocol en de verwachtingen van stakeholders. Compliance gaat een flinke stap verder dan ‘slechts’ certificering. Een organisatie die compliant is, heeft verbetering ingebed in het DNA. Zowel in processen als in mensen is een continu streven naar optimalisatie en verandering aanwezig. Hierdoor worden risico’s verminderd en wordt verspilling geminimaliseerd. Bij veel organisaties wordt er bij compliance gedacht aan regeldruk en een zware administratieve belasting. Maar in feite is het juist de drijvende kracht voor procesbewaking en -optimalisatie. Wij laten zien hoe dit laatste aspect juist druk vermindert en het werk leuker maakt.

Met een certificering toon je aan dat je aan de basisvoorwaarden voldoet om compliant te worden. Hiervoor zijn normen gesteld die worden beheerd in een ISMS (Information Security Management System). Dat kan bijvoorbeeld handig in jouw eigen Microsoft Teams of Google Workspace omgeving (of in een andere applicatie). Belangrijk is dat de tools zijn geïntegreerd in jouw bedrijfsvoering.

De bekendste certificeerbare normen zijn die van ISO en NEN, waarin veel aspecten van een goede bedrijfsvoering zijn gestandaardiseerd. Daarnaast zijn er normen voor Privacy (AVG) of bijvoorbeeld normen in specifieke branches, zoals de Zorg. Hierbij hoort ook het stelselmatig monitoren en rapporteren, in de vorm van Audits.

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van Governance, Risk & Compliance? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.