Voor het eerst in lange tijd moeten we verschuiven van het beheersen van lokale risico's tegen een landschap van economische groei naar het beheren van die problemen onder veel minder bepaalde omstandigheden.
Volgens Google Trends schoten de zoekopdrachten naar 'business continuity planning' omhoog op 12 maart, rond dezelfde tijd dat de VS een nationale noodsituatie afkondigde als reactie op de uitbraak van het coronavirus. De pandemie zorgde ervoor dat deze vaak over het hoofd geziene backofficefunctie in de schijnwerpers kwam te staan, wat gepaard ging met economische onrust.
Voor het eerst sinds lange tijd moeten we overschakelen van het beheren van gelokaliseerde risico's binnen toeleveringsketens van derden, infosec en operaties in een landschap van economische groei, naar het beheren van die problemen onder veel minder bepaalde omstandigheden. Als u dat nog niet hebt gedaan, is dit het moment om uw noodplan op te stellen.
Bedrijfscontinuïteitsplannen (BCP) - en solide beleid voor governance, risico en compliance (GRC) in het algemeen - kunnen bedrijven helpen bij de voorbereiding op en het navigeren door veel verstorende gebeurtenissen, waaronder natuurrampen, inbreuken op de cyberveiligheid, terroristische aanslagen, fraude en verduistering.
Wij geloven in de voordelen van het implementeren van technologie om beleid te stroomlijnen, processen te automatiseren en herhaalbare workflows te creëren, zodat organisaties risico's kunnen kwantificeren in verteerbare dashboards om een unieke bron van waarheid te verkrijgen. We hebben geconstateerd dat de meeste bedrijven dezelfde vragen hebben over het implementeren van technologie om hun GRC-programma's te versterken. Dus vroegen we ons klantensuccesteam, die allemaal afkomstig zijn van GRC-consultingachtergronden, wat hen doorgaans wordt gevraagd.
Dit is wat ze ons vertelden.
Waar moet ik aan denken voordat ik een GRC-tool implementeer?
Voordat ze geld uitgeven aan een tool die bedoeld is om een lopend probleem op te lossen, willen de meeste bedrijven weten wat ze als organisatie nodig hebben om de implementatie succesvol te laten zijn. Voordat u ervoor kiest om een GRC-technologie te implementeren, is het belangrijk dat organisaties mensen en teams afstemmen op een gemeenschappelijk doel en de bestaande processen rondom GRC definiëren. Een van de grootste fouten die we GRC-leiders zien maken tijdens een implementatie, is het te ingewikkeld maken van een proces dat eenvoudig zou moeten zijn. Laat u niet afleiden door glimmende toeters en bellen bij de eerste ingebruikname. Bepaal in plaats daarvan uw must-haves, bouw daar omheen en blijf flexibel innoveren in uw processen naarmate het regelgevingslandschap evolueert.
Hoe verhoudt mijn GRC-proces zich tot dat van anderen?
Zelfs de meest geavanceerde organisaties, met de mooiste gedefinieerde processen, willen weten hoe wat ze doen zich verhoudt tot wat hun collega's hebben. In een ruimte als GRC, die met de minuut verandert om tegemoet te komen aan de eisen van de industrie en de bezorgdheid van de overheid en de consument (meest recentelijk met betrekking tot gegevensprivacy), wil geen enkele onderneming achterblijven. Om wendbaar te blijven in reactie op opkomende bedreigingen en proactief om nieuwe te voorkomen, moet u technologie zoeken waarmee u eenvoudig beleid en procedures in uw workflow kunt wijzigen zonder dat u hoge advieskosten hoeft te betalen. Vertrouw bovendien op uw partners om sjablonen en best practices te bieden voor veelvoorkomende regelgevings- of nalevingsworkflows in uw branche.
Hoe kan mijn organisatie multifunctioneel werken om risico's te beheersen?
Het opbouwen van partnerschappen tussen organisatorische silo's is de sleutel tot het creëren van een risicocultuur binnen uw bedrijf. Een sterke risicocultuur, van boven naar beneden, is essentieel voor het algehele succes van elk risicobeheerprogramma - en het bouwt zichzelf niet op. Begin met het identificeren van hiaten in de bestaande risicocultuur. Betrek de belangrijkste belanghebbenden en maak een paar kernuitspraken over de gewenste cultuur, waarbij u de groeigebieden aangeeft. Houd u aan die veranderingen en stel beleidsregels en procedures op die een sterke risicocultuur weerspiegelen.
Het belangrijkste is dat u vaak over risico's communiceert. Informeer iedereen in de organisatie over hun individuele rollen en verantwoordelijkheden als het gaat om risicobeheer. U weet dat u een sterke risicocultuur heeft wanneer alle beslissingen in overeenstemming zijn met ethische principes, en er is een duidelijke en consistente verantwoording van risico's in de hele organisatie.
Wat moet ik doen in termen van methodologie voor risicoscoring?
Omdat elke organisatie zijn eigen risicobereidheid heeft, zal elke organisatie zelf een methodologie moeten definiëren. Er zijn veel bronnen over hoe te scoren en wat voor soort berekeningen te gebruiken. Een veel voorkomende eenvoudige berekening voor risico is kans op gebeurtenis x omvang van verlies, waar een hoge waarschijnlijkheid tussen 80% en 100% ligt en een lage waarschijnlijkheid minder dan 30%. Aan het eind van de dag is het aan elke individuele organisatie om zelf te beslissen hoe ze risico scoren.
Hoe kan ik adoptie aanmoedigen en iedereen helpen bij het overwegen van risico's bij alles wat ze doen?
Het bedrijf laten inkopen in de GRC-processen die het leiderschap is overeengekomen, kan de grootste hindernis zijn, met het potentieel om een implementatiemaanden in de maak volledig te verpesten. Daarom is het belangrijk om eindgebruikers vroeg in de build te betrekken. Krijg hun feedback over gereedschapsselectie en aanpassing en moedig hen aan om de status quo in GRC uit te dagen. Stel vragen als "Waarom moeten we risico's centraliseren?" onderweg om ervoor te zorgen dat er geen steen onomgedraaid blijft
Feedback mag ook niet stoppen wanneer de tool 'live' is, omdat de veranderende aard van het risico niet stopt met evolueren, alleen omdat er een tool voorhanden is. GRC-leiders kunnen ook enige gamification overwegen. Door gebruikers inzicht te geven in de verzamelde gegevens, kan toegang worden verkregen tot het grotere geheel en kunnen vragen worden beantwoord als: "Welke afdeling maakt het meeste risicokapitaal vrij?"
Nu de nalevingskosten stijgen, kan het aanpakken van risico's een hele opgave lijken. Maar in plaats van er bang voor te zijn, accepteer het als onvermijdelijk en verander je standpunt om door de lens van groei naar risico's te kijken. Als u 20% van het risico in verband met het runnen van uw bedrijf zou kunnen kwantificeren en beperken, welke extra risico's zou u dan kunnen nemen om uw bedrijf te laten groeien?
Ontdek hoe we uw bedrijf kunnen helpen