Overslaan en naar de inhoud gaan
Achtergrond PRO
20 juni 2008 leestijd 7 minuten 0 reacties

Governance, riskmanagement en compliance zijn niet te vangen in één verzamelbegrip

Op dit moment wordt de markt bestookt met het grootste verzamelbegrip uit de geschiedenis van de hypevorming: GRC (governance, riskmanagement en compliance). Zonder dat precies bekend is wie begonnen is met het in een strik verpakken en rondstrooien van de term GRC, is het wel duidelijk dat het voornamelijk de leveranciers zijn die garen spinnen bij de in verwarring gebrachte bedrijven, organisaties en instellingen.
Redactie AG Connect
Redactie AG ConnectMeer van deze auteur
Business
Shutterstock
Shutterstock

Die vragen zich intussen vertwijfeld af welke oplossingen zij uit de GRC-doos tevoorschijn moeten halen. Ook analystenbureaus als Gartner, Forrester en Burton Group voelen zich met de hype opgescheept, gezien de hoeveelheid researchrapporten waarin gepoogd wordt om GRC te beschrijven en toe te lichten.Door governance, riskmanagement en compliance als één pakket te presenteren, terwijl het in werkelijkheid opzichzelfstaande concepten zijn, ontstaat een nog mistiger beeld van deze begrippen dan men er al van had.Governance, riskmanagement en compliance vormen niet een zodanig samenhangend geheel dat het gerechtvaardigd is ze als één marketingterm te presenteren. Het zijn stuk voor stuk aparte terreinen die afzonderlijk beschouwd zouden moeten worden, al bestaat er wel degelijk onderlinge samenhang (zie kader). Die samenhang blijkt uit de actuele ontwikkelingen, gebeurtenissen en vraagstukken die gerelateerd zijn aan GRC. We lichten er enkele uit om te illustreren dat de GRC-deelgebieden aparte terreinen zijn, maar tegelijkertijd niet altijd even gemakkelijk van elkaar te scheiden zijn. Tevens zullen we aan de hand van de scenario’s een aantal oplossingsrichtingen bekijken, waarmee GRC-problemen kunnen worden aangepakt.Een eerste ontwikkeling die in het oog springt, is dat organisaties steeds minder zelfstandige en onafhankelijke eenheden vormen. Vanuit het oogpunt van kostenbesparing en efficiency worden productie- en bedrijfsprocessen steeds vaker, via outsourcing en offshoring, elders ondergebracht. Ook wordt, om dezelfde redenen, steeds meer samengewerkt met partnerorganisaties.Maar bij partners en externe omgevingen is veel minder zicht op hoe omgegaan wordt met security en privacy, wat meer risico’s met zich meebrengt. Tegelijkertijd komt er steeds meer wet- en regelgeving die juist meer transparantie en zorgvuldigheid rondom deze aspecten vereist. Hier zijn het dus vooral de R en de C van GRC die een rol spelen.Oplossingen voor dit vraagstuk concentreren zich rond het delen van – overigens minimaal benodigde – account- en identiteitsinformatie (federated identity), het coördineren en implementeren van securitymaatregelen (security-configurationmanagement), het plannen en uitvoeren van auditgerelateerde taken (auditmanagement) en het geautomatiseerd rapporteren over relevante informatie zoals statusoverzichten en evidence (reporting).Door die toename van wet- en regelgeving worden organisaties gedwongen om hun complianceprogramma’s en de gerelateerde processen en controls zo effectief mogelijk in te richten om kostenoverschrijdingen en de schijn van het niet transparant zijn te vermijden. Het wel of niet centraliseren van de relevante processen en in hoeverre deze te stroomlijnen, zijn hierbij belangrijke kwesties. Daarnaast speelt de vraag hoe rapportagelijnen ingericht kunnen worden. Hier zijn het voornamelijk de G en de C van GRC die in het spel komen.Ook hier moet de oplossing onder meer gezocht worden in de richting van auditmanagement en reporting, maar daarnaast komt een aantal andere hulpmiddelen en disciplines om de hoek kijken. Zo zal een overzicht nodig zijn, waarin controldoelstellingen en -omschrijvingen en de hieraan gerelateerde risico’s zijn ondergebracht (zoals COSO en/of COBIT). Bovendien moeten processen worden ingericht, die borgen dat de verantwoordelijkheid voor het oplossen van defecten aan de juiste personen toegewezen wordt en de status van de correctieve acties bijgehouden wordt (remediationmanagement). Zeer efficiënt is ook de zogenaamde soll-ist-vergelijking: het op frequente basis vergelijken van de situatie zoals die zou moeten zijn (bijvoorbeeld autorisatiematrices) met de werkelijke situatie (bijvoorbeeld geïmplementeerde toegangsrechten) om zodoende tijdig afwijkingen te kunnen detecteren.Nog heel vers in het geheugen ligt het beleggingsschandaal bij de Franse bank Société Générale. Daarbij nam effectenhandelaar Jérôme Kerviel veel te hoge risico’s bij het innemen van posities op de financiële markten, wat de bank op een verlies van bijna vijf miljard euro kwam te staan. In de pers en de vakliteratuur hebben we inmiddels kennis kunnen nemen van een reeks van oorzaken die hieraan ten grondslag zouden liggen. Die variëren van te veel autorisaties en het omzeilen van audit- en risicomonitoringmechanismen tot het ontbreken van toezicht door superieuren en het te laat nemen van mitigerende maatregelen. Hier zijn het de G en de R van GRC die op de voorgrond staan, maar ook de C speelt een deuntje mee: door het schandaal heeft de bank niet voldaan aan eigen interne policies en evenmin aan de verwachtingen van haar relaties en de publieke opinie.Dit voorbeeld illustreert ook dat er niet altijd wordt geleerd van fouten van anderen, want in de jaren negentig van de vorige eeuw gebeurde in feite precies hetzelfde toen Nick Leeson van de Barings Bank eveneens een miljardenverlies veroorzaakte door het nemen van te hoge en ongeautoriseerde beleggingsrisico’s.Maatregelen die dit hadden kunnen voorkomen, omvatten weer auditmanagement en reporting, maar vooral autorisatiemaatregelen als role-based access control en functiescheiding. Bovendien ontbrak het in deze gevallen kennelijk aan een mechanisme om bedrijfspolicies af te dwingen (policymanagement).Ten slotte kan de spectaculaire toename van onlinefraude en identiteitsfraude worden genoemd als voorbeeld van een issue dat een sterke relatie heeft met GRC. Zowel particulieren als organisaties hebben steeds meer te lijden van criminelen die de mogelijkheden van het internet uitbuiten om hun doelen te bereiken. Vooral voor organisaties die voor hun bedrijfsvoering afhankelijk zijn van onlinediensten en -transacties is het belangrijk om – op basis van een risicoanalyse – gepaste maatregelen te treffen om onlinefraude te voorkomen en te detecteren. Hier is het vooral de R van GRC die de eerste viool speelt.Maatregelen bestaan hier onder meer uit het realtime monitoren en analyseren van transacties en het toepassen van een risicogebaseerd authenticatiemechanisme.Is het al niet eenvoudig om de GRC-deelgebieden van elkaar te scheiden, nog minder gemakkelijk blijkt het om oplossingsrichtingen aan te geven. De voorbeelden laten zien dat het in de eerste plaats processen, controls en mensen zijn die de belangrijkste elementen vormen bij het aanpakken van GRC-gerelateerde vraagstukken, al is technologie evenzeer nodig.Doordat governance, riskmanagement en compliance ieder afzonderlijk al zeer inhoudsrijke terreinen vormen, zal het geen verwondering wekken dat er geen kant-en-klaar-GRC-pakket (in de literatuur dikwijls GRC-platform geheten) verkrijgbaar is, waarmee alle ermee in verband staande problemen en issues opgelost kunnen worden. Een dergelijk softwarepakket zou een zo onvoorstelbare hoeveelheid features en code moeten bevatten dat zelfs Windows erbij zou verbleken. Toch is het verbazingwekkend hoeveel leveranciers zich inmiddels als GRC-leverancier presenteren, leveranciers die vaak gewoon dezelfde producten leveren als voor de GRC-hype.Die producten vullen met gemak alle schappen in een supermarkt. Ze variëren van high-levelproducten, zoals businessrapportageproducten, tot IT-infrastructuurproducten, zoals eventmonitoringtools. Door zoveel producten met een zo gevarieerde functionaliteit allemaal te presenteren als GRC-producten, wordt het er niet duidelijker op welk product nu precies welke functionaliteit levert.Omdat governance, riskmanagement en compliance een zeer breed terrein bestrijken met een veelheid aan factoren, stakeholders, processen, controls en technologieën, is het van groot belang om overzicht te creëren. Dat kan bijvoorbeeld door het hanteren van een GRC-raamwerk, waarin alle hiervoor genoemde entiteiten gecategoriseerd en hun onderlinge relaties gevisualiseerd worden (zie figuur). Op die manier kunnen op veel gerichtere wijze de juiste oplossingsrichtingen voor de talrijke GRC-gerelateerde kwesties geïdentificeerd en gedefinieerd worden.Uit alle eerdergenoemde scenario’s blijkt verder dat GRC-vraagstukken zich altijd uitstrekken van business- en procesniveau enerzijds tot IT-infrastructuurniveau anderzijds. Inzicht in beide domeinen is dan ook absoluut een vereiste om die vraagstukken op effectieve wijze te kunnen aanpakken.Dr. Rob van der Staaij is principal consultant bij Everett (rstaaij@everett.nl) en competence leader van het Governance, Riskmanagement & Compliance Competence Center.BegrippenGovernanceGovernance (hier: ordelijk bestuur, goed rentmeesterschap) is het op effectieve en transparante wijze inrichten van policies, (bedrijfs)processen en controls, onder supervisie van het management, auditors, compliance officers en andere stakeholders.Indien op de juiste wijze uitgevoerd, zoekt ordelijk bestuur de juiste balans tussen efficiency, kostenbesparingen en time-to-market aan de ene kant en risicomanagement en compliance aan de andere kant.RiskmanagementRiskmanagement (risicomanagement) is het reduceren van de kans op bedreigingen, kwetsbaarheden en onzekerheden, die het vermogen van de organisatie om haar doelen te bereiken negatief kunnen beïnvloeden.Goed risicomanagement probeert echter niet alleen risico’s te vermijden, maar ook de bereidheid te tonen risico’s op gedoseerde en verantwoorde wijze op te zoeken en te accepteren (‘risk appetite’).ComplianceCompliance (voldoen aan wet- en regelgeving) omvat het nemen van maatregelen die door wet- en regelgeving worden opgelegd en het creëren van het bewijs waarmee aangetoond kan worden dat de maatregelen zijn ingevoerd.Naast externe wet- en regelgeving moeten organisaties ook voldoen aan interne policies en aan de verwachtingen van aandeelhouders, businesspartners, klanten en de publieke opinie.GRC-raamwerkTe zien is dat governance het overkoepelende geheel vormt, ook voor riskmanagement en compliance. De sturing vindt plaats door middel van processen en controls, met de diverse disciplines en technologieën als ondersteunende middelen.In de linkerkolom zijn de belangrijkste interne stakeholdergroepen vermeld. Hun positie moet ruwweg worden beschouwd in relatie tot de componenten in het middengedeelte. Rechts toont de neergaande pijl hun doelen en de opgaande pijl de benodigde input. Hoe hoger de positie van de stakeholdergroep, hoe groter hun belang hierin.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in