Als het management ergens een hekel aan heeft dan wel aan blijvende verschillende vragen met grote overlap. Kwaliteit, Risicomanagement, Datasecurity, etc. hebben veel raakvlak met elkaar. Samenwerking tussen deze staffunctionarissen is nodig. Bedenk met elkaar, aan de hand van de RiskAppetite van de organisatie, wat nodig is om het management te ondersteunen. Let er op dat je een aanpak en tooling kiest die dit eenvoudig maakt en waaruit zowel management als staf kan rapporteren.
De taak van een GRC framework
Één van de belangrijkste taken van een goed GRC framework is het efficiënt en effectief informeren van het bestuur. Het framework moet laten zien op welke wijze de belangrijkste risico's van de organisatie worden beheerst. Daarnaast geeft het vertrouwen in de opvolging van de afgesproken beheersmaatregelen, zorgt dat incidenten kunnen worden geregistreerd en geeft snel zicht op waar je wel of niet voldoet aan wet- en regelgeving.
Strategie is de basis
Zonder een lijn vanuit de strategische en operationele doelen is het onmogelijk de belangrijkste activiteiten van de organisatie te kennen. Deze zijn nodig om de belangrijkste risico's te filteren en te bepalen waar in de organisatie de meeste impact zit. Hierdoor wordt de informatie uit het framework pas écht relevant voor bestuur en stakeholders.
Risicoanalyse een voorwaarde
Wil je RiskBased kunnen prioriteren, dan is een goede risicoanalyse een voorwaarde. Zonder een goed risicoprofi el, gerelateerd aan de doelen van de organisatie, wordt GRC een administratieve bezigheid.
Incidentenmanagement
Van incidenten kunnen we leren. Ze zeggen ons hoe goed de machinekamer daadwerkelijk functioneert. Incidenten hoeven niet altijd veel geld te kosten maar hebben vaak wel direct invloed op ons imago. Snelle informatie hierover zegt veel over de prestaties van je bedrijf.
Comply or explain
Durf keuzes te maken. Het is zo goed als onmogelijk om op ieder moment aan alle gestelde wetten, normen en regelgeving te voldoen. Laat zien dat je keuzes maakt op basis van je risk appetite, je risicoprofiel en gestelde doelen. Daarmee wordt het voor de organisatie duidelijk waarom er wel of niet voldaan wordt aan bepaalde normen en regels.
Audit maakt de cirkel rond
Zoals ook de Commissie Van Maanen aangeeft kan audit steeds meer impact krijgen. Audit moet er dan wel in slagen om hun auditplan RiskBased op te zetten zodat de aanbevelingen rechtstreeks slaan op de succesfactoren en top risico’s van de organisatie. Iedere bestuurder is toch geïnteresseerd in het feit of de organisatie werkelijk zo goed presteert als door iedereen wordt gezegd?
Bron: CorporatieGids 2017
Klik hier om de bedrijfsprofielpagina van Naris de CorporatieGids 2017 te bekijken
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.