Voor het eerst in lange tijd moeten we overschakelen van het beheersen van lokale risico's tegen een landschap van economische groei naar het beheersen van die problemen onder veel minder bepaalde omstandigheden.
Volgens Google Trends schoot het aantal zoekopdrachten naar 'planning voor bedrijfscontinuïteit' omhoog op 12 maart, rond dezelfde tijd dat de VS een nationale noodtoestand afkondigde als reactie op de uitbraak van het coronavirus. De pandemie dwong deze vaak over het hoofd geziene backofficefunctie in de schijnwerpers, wat economische onrust met zich meebracht.
Voor het eerst in lange tijd moeten we verschuiven van het beheer van lokale risico's binnen toeleveringsketens van derden, infosec en operaties tegen een landschap van economische groei naar het beheer van die problemen onder veel minder bepaalde omstandigheden. Als je dat nog niet hebt gedaan, is dit het moment om je noodplan op te stellen.
Bedrijfscontinuïteitsplannen (BCP) — en een solide governance-, risico- en compliancebeleid (GRC) in het algemeen — kunnen bedrijven helpen zich voor te bereiden op en omgaan met vele ontwrichtende gebeurtenissen, waaronder natuurrampen, inbreuken op de cyberbeveiliging, terroristische aanslagen, fraude en verduistering.
Wij geloven in de voordelen van het implementeren van technologie om beleid te stroomlijnen, processen te automatiseren en herhaalbare workflows te creëren, zodat organisaties risico's kunnen kwantificeren in verteerbare dashboards om een unieke bron van waarheid te verkrijgen. We hebben ontdekt dat de meeste bedrijven dezelfde vragen hebben over het implementeren van technologie om hun GRC-programma's te versterken. Dus vroegen we het aan ons klantensuccesteam, die allemaal uit GRC komen consulting achtergronden, wat hen doorgaans wordt gevraagd.
Dit is wat ze ons vertelden.
Waar moet ik aan denken voordat ik een GRC-tool implementeer?
Voordat ze geld uitgeven aan een tool die bedoeld is om een lopend probleem op te lossen, willen de meeste bedrijven weten wat ze als organisatie nodig hebben om de implementatie succesvol te laten zijn. Voordat GRC-technologie wordt geïmplementeerd, is het belangrijk dat organisaties mensen en teams afstemmen op een gemeenschappelijk doel en de bestaande processen rondom GRC definiëren. Een van de grootste fouten die GRC-leiders tijdens een implementatie zien maken, is het te ingewikkeld maken van een proces dat eenvoudig zou moeten zijn. Laat je niet afleiden door glimmende toeters en bellen bij de eerste go-live. Leg in plaats daarvan uw must-haves vast, bouw daar omheen en blijf flexibel innoveren in uw processen terwijl het regelgevingslandschap evolueert.
Hoe verhoudt mijn GRC-proces zich tot andere?
Zelfs de meest geavanceerde organisaties, met de mooist gedefinieerde processen, willen weten hoe ze zich verhouden tot wat hun collega's doen. In een ruimte als GRC, die met de minuut verandert om de eisen van de industrie en de zorgen van de overheid en de consument weer te geven (meest recentelijk met betrekking tot gegevensprivacy), wil geen enkele onderneming achterblijven. Om flexibel te blijven in reactie op opkomende bedreigingen en proactief om nieuwe te voorkomen, moet u op zoek gaan naar technologie waarmee u eenvoudig beleid en procedures in uw workflow kunt wijzigen zonder dat u enorme consultkosten hoeft te betalen. Vertrouw daarnaast op uw partners om sjablonen en best practices te bieden voor veelgebruikte regelgevings- of nalevingsworkflows in uw branche.
Hoe kan mijn organisatie crossfunctioneel werken om risico's te beheersen?
Het opbouwen van partnerschappen tussen organisatorische silo's is de sleutel tot het creëren van een risicocultuur binnen uw bedrijf. Een sterke risicocultuur, van hoog tot laag, is essentieel voor het algehele succes van elk risicobeheerprogramma - en het bouwt zichzelf niet op. Begin met het identificeren van hiaten in de bestaande risicocultuur. Betrek de belangrijkste belanghebbenden en formuleer enkele kernuitspraken over de gewenste cultuur, waarbij u wijst op groeigebieden. Zet u in voor die veranderingen en stel beleid en procedures op die een sterke risicocultuur weerspiegelen.
Het belangrijkste is dat u vaak over risico's communiceert. Breng iedereen in de organisatie op de hoogte van hun individuele rollen en verantwoordelijkheden als het gaat om risicobeheer. Je weet dat je een sterke risicocultuur hebt als alle beslissingen in overeenstemming zijn met ethische principes en er duidelijke en consistente aansprakelijkheid is voor risico's in de hele organisatie.
Wat moet ik doen in termen van risicoscoringsmethodiek?
Omdat elke organisatie zijn eigen risicobereidheid heeft, zal elke organisatie voor zichzelf een methodologie moeten definiëren. Er zijn veel bronnen beschikbaar over hoe te scoren en wat voor soort berekeningen te gebruiken. Een gebruikelijke eenvoudige berekening voor risico is kans op gebeurtenis x grootte van verlies, waarbij een hoge waarschijnlijkheid tussen 80% en 100% ligt en een lage waarschijnlijkheid kleiner is dan 30%. Uiteindelijk is het aan elke individuele organisatie om zelf te bepalen hoe ze risico's scoren.
Hoe kan ik adoptie aanmoedigen en iedereen helpen risico's te overwegen bij alles wat ze doen?
Het bedrijf zover krijgen dat hij zich inschrijft voor de GRC-processen waar het leiderschap het over eens is, kan de grootste hindernis zijn, met het potentieel om een implementatie die maanden in de maak is volledig te ruïneren. Daarom is het zo belangrijk om eindgebruikers vroeg in de bouw te betrekken. Vraag hun feedback over de selectie en aanpassing van tools en moedig ze aan om de status-quo in GRC uit te dagen. Stel vragen als "Waarom moeten we risico's centraliseren?" onderweg om ervoor te zorgen dat geen steen onbeproefd blijft.
Feedback mag ook niet stoppen als de tool 'live' is, aangezien de veranderende aard van risico's niet stopt met evolueren alleen omdat er een tool is. GRC-leiders kunnen ook wat gamification overwegen. Door gebruikers inzicht te geven in de verzamelde gegevens, kunnen ze toegang krijgen tot het grotere geheel en vragen beantwoorden als: "Welke afdeling ruimt het meeste risicokapitaal op?"
Nu de nalevingskosten stijgen, kan het lastig lijken om risico's aan te pakken. Maar in plaats van er bang voor te zijn, accepteert u het als onvermijdelijk en verandert u uw gezichtspunt om naar risico's te kijken door de lens van groei. Als u 20% van het risico van het runnen van uw bedrijf zou kunnen kwantificeren en beperken, welke extra risico's zou u dan kunnen nemen om uw bedrijf te laten groeien?
Ontdek hoe we uw bedrijf kunnen helpen
