News

Fremtidens GRC

September 25, 2018

GRC skaper trygghet og muligheter for virksomheter ved å støtte oppunder ledelse og styring av virksomheten på en god måte. For å kunne leve med et akseptabelt risikonivå sørger GRC for at det identifiseres, vurderes og håndteres risiko. I tillegg skaper GRC et miljø hvor ulike regelverk, både eksterne eller interne, kan følges og etterleves.

For mange virksomheter legger digitalisering til rette for økt verdiskaping og innovasjon i tillegg til fornyet, forenklet og automatiserte forretningsprosesser. GRC er en viktig byggestein for å lykkes med digitalisering, men i mange tilfeller blir GRC ikke alltid med på digitaliseringsreisen. Hvorfor ikke? For mange virksomheter er GRC sett på som en treghet som sakker ned og forhindre de nye smidige arbeidsmetoder som støtter oppunder og muliggjør digitalisering. Dette kan føre til utvikling og kontinuerlig forbedring av digitale produkter og tjenester som er sårbare for nye risiko og trusler, er eksponert for kvalitetsproblemer samt ikke etterlever nye og eksisterende myndighetskrav (for eksempel PSD2, IDD, GDPR, Sikkerhetsloven, IKT-forskriften, med flere).

For å kunne realisere sine digitale ambisjoner og digitale gevinster bør virksomhetens styringsprosesser, risikoprosesser og etterlevelse digitaliseres. Dessuten bør GRC spille en sentral rolle i digitaliseringsarbeidet. Dette kan nås gjennom en tilnærming som TG kaller for fremtidens GRC.

Fremtidens GRC – trygghet og muligheter i den digitale verden

Fremtidens GRC bringer en digital tilnærming til GRC-arbeidet ved å skape trygghet og muligheter for organisasjoner i den digitale verden. Det finnes to forskjellige måte å digitalisere GRC på og tilnærmingen som er mest aktuell avhenger av virksomhetens digitale ambisjoner.

Den første tilnærmingen handler om å digitalisere en eller flere av GRC-prosessene. Dette handler om bruk av analytisk/LEAN-tenkning og digitale teknologier (for eksempel robotisering) for å effektivisere og automatisere styringsprosesser, risikoprosesser og etterlevelse. Digitalisering av GRC-prosesser fremmer innovasjon, kvalitet og andre digitale gevinster med å gjøre GRC-prosessene raskere, smidig og dynamisk.

For å lykkes med digitalisering bør GRC være en del av digitaliseringsreisen og en annen måte å digitalisere GRC på er å bruke det som et virkemiddel for digitaliseringsarbeidet. Denne tilnærmingen gjelder for digitalisering av hele virksomheten eller deler av den, og tar utgangspunktet i en helhetlig tilnærming til GRC som går på tvers av hele virksomhetens organisasjon, prosesser, applikasjoner, data og teknologier. Tilnærmingen øker betydelig sannsynligheten for å lykkes med digitalisering og kan sikre gevinstene som forventes av digitaliseringen.

6 prinsipper for fremtidens GRC som støtter oppunder digitaliseringsreisen

Fremtidens GRC krever at det etableres og innføres flere grunnleggende prinsipper for GRC som gjøre GRC raskt, smidig og dynamisk i den digitale konteksten. Prinsippene er beskrevet under:

1.GRC er integrert i digitaliseringsstrategien og virksomhetens målbilder. 

Dette prinsippet krever at GRC er en integrert del av digitaliseringsstrategien og målbilder og er innebygd i virksomhetens prosesser for digital governance. Viktige fokusområder inkluderer strategi og innovasjon, styring og ledelse, kundefokus, organisasjon og kultur, teknologi og informasjon samt driftsmodell og prosesser.

2.Forbrukere, kunder og ansatte settes alltid i fokus. 

Med å aktivt engasjere virksomhetens forbrukere, kunder og ansatte i utvikling av produkter og tjenester kan virksomheten danne et nøyaktig bilde av deres forventinger og krav. Med å kartlegge kundereisen og kundeopplevelsen kan det forløpende identifiseres hva som fungere bra og mindre bra med produktet/tjenesten ut i fra brukerens ståsted samt sørge for kontinuerlig kommunikasjon med brukerne gjennom produktets livssyklus.

3.Tilnærmingen til GRC er helhetlig og koordinert på tvers av virksomheten. 

Dette prinsippet kreve en felles tilnærming til digital governance som implementeres på tvers av virksomhetens organisasjon, prosess, applikasjoner, data og teknologier, at gjennomføring av styringsprosesser, risikoprosesser og etterlevelse er koordinert slik at «GRC-siloer» kan unngås.

4.Raskt, smidig og dynamisk tilnærming til GRC. 

Digitaliseringsarbeid krever en raskt, smidig og dynamisk måte og jobbe på og det er viktig å bruke en slik tilnærming til GRC-arbeidet. Dette betyr at det må innebygges kontroller og tiltak i prosjektstyring og styring av drift/change på en sånn måte at styringen kan fortsatt gjennomføres på en smidig og iterativ måte. For eksempel, i tilfeller hvor det brukes Scrum/Kanban bør tiltak tilknyttet informasjonssikkerhet integreres med disse metodene slik at tiltakene også gjennomføres på en smidig og iterativ måte.

5.GRC-prosessene er digitalisert. 

Med dette prinsippet er målet å effektivisere og automatisere en eller flere av virksomhetens GRC-prosesser med bruk av LEAN-tenking, «reg-tech», robotiseringsteknologi og andre digitale teknologier. Dette inkluderer prosessene for overvåking av kontrollmiljøet («compliance dashboard»), etablering av målsetninger og måleparameter for implementerte tiltak, hendelseshåndtering, risikovurdering, håndtering av avvik, innsamling og behandling av compliance-data, gjennomføring av internkontroller og tiltak samt måling av effekten av tiltakene (f.eks. måling av adferd og andre kontrolltester). Hvilke prosesser som bør digitaliseres avhenger av virksomhetens digitale ambisjoner.

6.Nye digitale risiko og muligheter håndteres proaktiv for å støtte oppunder strategiske mål. 

Digitalisering låser opp nye muligheter men kan også medfører nye trusler og risikoer. Det er derfor viktig å etablere en helhetlig tilnærming til risikostyring som tar hensyn til dagens og morgendagens trussel- og risikobildet. Denne tilnærmingen bør ta hensyn til virksomhetens arbeidsmetoder, for eksempel med å integrere risikovurdering- og behandling med smidige metoder for prosjektstyring og drift/change. Når det gjelder mulighetsbildet kan «new startup»-tekning brukes for å raskt teste og pilotere nye ideer, muligheter og produkter/tjenester.

Oppsummering

GRC er en viktig forutsetning for å lykkes med digitalisering, men er ikke alltid med på digitaliseringsreisen. For å kunne realisere sine digitale ambisjoner bør virksomhetens GRC-prosesser digitaliseres og GRC bør spille en sentral rolle i digitaliseringsarbeidet. Dette kan nås gjennom en tilnærming som TG kaller for fremtidens GRC. Avhengig av virksomhetens digitale ambisjoner bør en eller flere av virksomhetens GRC-prosesser digitaliseres. Fremtidens GRC kan også brukes som et virkemiddel for å lykkes med digitalisering hvor hele virksomheten eller deler av virksomheten kan digitaliseres. Seks grunnleggende prinsipper for fremtidens GRC sørger for at virksomheten kan lykkes med GRC i en digital konktekts. Prinsippene inkluderer integrering av GRC i digitaliseringsstrategien, setting av at forbrukere, kunder og ansatte i fokus, en helhetlig og koordinert tilnærmingen til GRC, bruk av en rask, smidig og dynamisk tilnærming til GRC, digitalisering av GRC-prosessene samt fortløpende identifisering og håndtering av nye digitale risikoer og muligheter.

Forfatter: Martin Guy Williams 

Related news