Snel naar content

Wat is Governance, Risk & Compliance (GRC)?

GRC is een strategie voor het beheren van de algehele Governance van een organisatie (Governance), het beheer van risico’s (Risk) en het naleven van regelgeving (Compliance). Beschouw GRC als een gestructureerde benadering om te voldoen aan regelgeving, terwijl je tegelijkertijd risico’s effectief beheert en voldoet aan de nalevingsvereisten. Het is niet altijd even specifiek belegd en ingericht, maar in de een of andere vorm is GRC aanwezig.

Wat organisaties misschien niet beseffen, is dat alle drie de pijlers van GRC met elkaar samenwerken in relatie tot de bedrijfsdoelstellingen:

Governance

Governance gaat over de managementbenadering die wordt gebruikt om de organisatie te leiden naar de succesvolle voltooiing van haar doelstellingen. Het gaat hierbij om de sturing, beheersing, verantwoording en monitoring van beleid, procedures en maatregelen om de organisatie te kunnen laten functioneren in overeenstemming met haar doelstellingen. De aanpak omvat regels, beleid en interne procedures.

Risc (risicobeheer)

Risicobeheer helpt bij het identificeren, beheersen en beperken van de risico’s die de organisatie ervan kunnen weerhouden haar doelstellingen te bereiken.

De methoden, procedures en maatregelen zijn gericht op:
• het identificeren van risico’s
• het nemen van beheersingsmaatregelen
• het rapporteren over en monitoren van de risico’s
• maatregelen die het bereiken van de organisatiedoelstellingen in de weg staan.

Compliance

Compliance gaat over het succesvol aanpakken van de vereisten uit wetten, voorschriften, beleid, interne procedures, contracten, etc. Met compliance neem je een significant obstakel voor het succesvol behalen van doelstellingen uit de weg. Compliance wordt ondersteund door bijvoorbeeld registratie, voortgang en rapportage van verbeteracties. Het inzichtelijk maken van risico’s, in de vorm van identificatie, weging en opvolging van risico’s of het tonen van de normenkaders in relatie tot de noodzakelijke maatregelen. Het helpt bij het opzetten, monitoren en aansturen van gericht risicomanagement.

GRC-tool

De constante interactie tussen governance, risicomanagement en compliance is de belangrijkste reden dat de drie onderdelen samenwerken. Veel organisaties oriënteren zich op of gebruiken tools om GRC geautomatiseerd en gecentraliseerd te beheren in de hele organisatie. Meer volwassen organisaties hebben een andere reden om te investeren in een GRC-tool. Zij beseffen dat GRC niet alleen de risico’s te vermindert, maar ook zorgt dat doelstellingen worden bereikt.

Organisaties moeten (aantoonbaar) aan steeds meer normen voldoen op het gebied van informatieveiligheid en privacy. Een Governance, Risk en Compliance tool (GRC) tool helpt organisaties met het beheersen van processen en beleid. GRC kan worden geïmplementeerd door elke organisatie die haar IT-activiteiten wil afstemmen op de bedrijfsdoelen, risico’s effectief wil beheren en op de hoogte wil blijven van compliance.

Hoe ondersteunt een GRC-tool in de informatiebeveiliging en privacy?

GRC functionaliteit geeft inzicht in de mate van beheersing van processen, verwerkingen en risico’s. De dashboards van een GRC-tool geven organisaties inzicht in de huidige status, waardoor zij beter en aantoonbaar ‘in control’ zijn. Afhankelijk van de tool biedt deze een compliance gebaseerde of een risico gebaseerde benadering óf beide. Deze vullen elkaar aan. Soms zijn in de tool de bedreigingen al gekoppeld aan maatregelen waardoor een organisatie niet zelf hoeft te bedenken welke maatregelen zij kan nemen om het risico te verkleinen.

Welke functionaliteiten heeft een GRC-tool?

Inzicht en grip op normenkaders

Een collectieve aanpak is de beste keuze voor elke organisatie die grip wil krijgen op het steeds veranderende landschap van wet- en regelgeving. Een GRC-tool biedt de relevante normenkaders (bijvoorbeeld de BIO, het Privacy Control Framework, DigiD en Suwinet). Soms is het ook mogelijk om een ander gewenst normenkader toe te voegen en in te richten. Bij het normenkader leg je niet alleen de status, maar ook de verantwoordelijke en eindverantwoordelijke vast. Op deze manier krijgt de organisatie inzicht en grip op het normenkader. Met behulp van taken is het vervolgens mogelijk opdrachten uit te zetten om maatregelen te nemen en de status up-to-date te houden. Het dashboard van de GRC-tool toont vervolgens de voortgang.

Risicoanalyse met maatregelen

Een GRC-tool biedt een risicoanalyse die de organisatie op weg helpt met het inventariseren, analyseren en beoordelen van risico’s. Dit kan bijvoorbeeld door een quickscan AVG of de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) die bestaan uit vragenlijst. Door antwoorden te geven op de vragen doorloopt de organisatie de risicoanalyse. Afhankelijk van de tool geeft deze soms naast inzicht in de bedreigingen en risico’s ook overzicht van mogelijke maatregelen. Op deze manier kan het risico goed beoordeeld worden en kunnen openstaande bedreigingen worden beheerst.