Belgium
Denmark
Finland
Lithuania
Som ett av Sveriges ledande konsultbolag inom GRC är det en självklarhet för oss att engagera oss i branschorganisationer såsom IIA och ISACA. Både genom såväl styrelseåtaganden som utskottsarbete, men också genom deltagande vid större event och arrangemang på de arenor vi verkar. I egenskap av Platinum partner (huvudsponsor) till IIA GRC Conference som gick av stapeln den 24–25 september i Stockholm fick vi möjlighet att interagera med 393 deltagare från 153 bolag, myndigheter och andra organisationer. Bra fördelning också med cirka 30 % representation från offentlig sektor, 25 % från finansiell sektor och 40 % från övrig privat sektor. Stort tack IIA Sweden, ISACA, SWERMA och Compliance Forum för ett väl planerat och genomfört arrangemang!
Temat för årets konferens var precis som förra året ”Interaction for Greater Value”, ett tema inom GRC som ligger mig särskilt varmt om hjärtat. Det faktum att vi har samma tema som föregående år på Sveriges i särklass största GRC-event säger väl också att det fortfarande finns mycket kvar att göra vad gäller samverkan för att åstadkomma större nytta och värde inom detta ämbete.
För ett år sedan när jag reflekterade över GRC konferensen skrev jag just att jag är övertygad om att det riktiga värdet av GRC uppstår först när G:et, R:et och C:et interagerar och tillsammans strävar i harmoni mot de övergripande affärsmålen. Vi har alltjämt fortsatt arbetet med att etablera respektive kontrollfunktion och hitta formerna för hur till exempel Compliancefunktionen ska arbeta, Compliancerollen i förhållande till risk och internrevision, ansvar för informations- och cybersäkerhet, men också arbetssätt för övergripande bolagsstyrning.
Jag konstaterar dock efter årets evenemang och spännande samtal med framförallt personer inom GRC-skråt utanför Norden, att tiden kanske är mogen för att göra en distinktion mellan akronymen ”GRC” och begreppet ”GRC”.
Vad menar jag då med detta? Jo, jag tänker att i Norden har vi i mångt och mycket format GRC-arbetet genom de tre försvarslinjerna (eller ansvarslinjer för den läsare som föredrar den benämningen). Bara det faktum att vi organiserar oss utifrån att G:et ska ansvara för vissa saker, R:et ska ansvara för andra saker och C:et ska i sin tur ansvara för ytterligare ett antal saker innebär sannolikt att vi byggt in ett visst silotänk i hur vi arbetar. Skälet till denna struktur är naturligtvis rättesnöret och kravet inom vissa branscher på oberoende mellan våra kontrollfunktioner, där R och C så tydligt i många organisationer är just fristående andralinjehantering av R- och C snarare än en del av GRC. Ur ett organisationsteoretiskt perspektiv är det naturligtvis inte helt fel, då rapporteringsvägar, vem som är lönesättande chef och rentutav vilket våningsplan man sitter på i en byggnad på olika sätt kan främja oberoende och tydlighet i vem som ansvarar för vad. Här vill jag dock hävda att det naturligtvis samtidigt kan hämma samverkan och den gemensamma blicken mot de övergripande affärsmålen.
Om vi fick möjlighet att tänka helt nytt i ljuset av ökad och mer komplex finansiell brottslighet, dagliga upplysningar om cyberrisker och cyberincidenter som kostar både organisationer och samhället miljarder, vikten av att fatta rätt beslut baserat på rätt underlag snabbare, ökad digitalisering, AI, Blockchain etc. etc. – skulle vi då fortsätta att cementera de tre försvarslinjerna och separera G, R och C från varandra? Och skulle vi även nästa år prata om ”Interaction for Greater Value”, dvs hur vi kan skapa bättre samverkan för ökad nytta och värde?
I Norden är antalet bolag/organisationer med GRC-funktioner (dvs inte akronym av Governance, Risk and Compliance) förhållandevis få, men utanför Norden ser vi det i större utsträckning. Jag kan se vissa poänger i hur en funktion arbetar sömlöst mellan områdena och hur detta faktiskt skapar både värde och nytta, utan att för den sakens skull äventyra oberoendet. Här skulle jag vilja göra en liknelse med hur vi historiskt har arbetat med systemutveckling enligt klassisk vattenfallsmodell, där roller och IT-miljöer tydligt separerats med målet att utveckla pålitlig mjukvara. Problemet har dock varit väldigt långa utvecklingscykler (ineffektivitet) och i många fall bristfällig mjukvara dels utifrån förändrad behovsbild (pga lång ledtid från beställning till färdig kod), men också för att kontrollerna i utvecklingsprocessen har varit bristfälliga och därtill bristande samordning mellan de team som ska samverka. Tittar vi istället på mer modern utvecklingsmetodik (agil utveckling) och i synnerhet enligt DevOps så samverkar de tidigare separerade rollerna nu i kompakta team i kortare och ofta snabba iterationer. Varje team ska ha förmåga och kapacitet att hantera alla stadier från utveckling till förvaltning av mjukvara. Teamen arbetar sömlöst och effektivt mot det gemensamma målet där kontrollerna inkorporerats i själva processen snarare än mellan rollerna eller genom separation av IT-miljöer.
Slutsats
Jag uppmuntrar till fortsatt diskussion kring hur roller utrustas med olika typer av ansvar för att i slutändan säkra organisationens ansvarstagande utifrån ägare och styrelsens övergripande mål. Därav följer jag utvecklingen med entusiasm vad gäller till exempel ”combined assurance” – där kontrollfunktioner på olika sätt interagerar och samverkar för att ge styrelse, ledning och utskott en rättvisande bild av aktuella risker och risknivåer. Ibland behöver vi dock tänka helt nytt och våga utmana ”gamla” sanningar. Sedan är vi många som har olika regelverk och förordningar att följa, vilket i vissa avseenden inte möjliggör att vi helt kliver utanför boxen, men reflektion och nytänkande gynnar oss alla.
Om inte förr, så ses vi på ISACA-dagen den 7 november som vi naturligtvis sponsrar!
Martin Bohlin, VD Transcendent Group Sverige