Eén van de vele interessante presentaties op het Gartner Risk & Security Summit in Londen op 18 en 19 september ging over het opzetten van succesvolle GRC-programma’s. Paul Proctor zette zijn ideeën over dit onderwerp uiteen in een heldere presentatie.
GRC is een waardeloze term
Alvorens in te gaan op de inhoud van GRC-programma’s, gaat Proctor in op de term ‘GRC’. Proctor was bijzonder uitgesproken over het feit dat GRC een term is die dusdanig veel wordt misbruikt, in zo veel verschillende contexten, dat het in feite alles kan betekenen en daarmee dus eigenlijk helemaal niets betekent! “GRC is een waardeloze term. Leveranciers gebruiken hem om te beschrijven wat ze ook maar willen verkopen en klanten gebruiken hem om te omschrijven wat ook maar hun probleem is”, aldus Proctor.
Ik sluit me hier volledig bij aan. GRC gaat over het koppelen van besluitvorming (Governance) aan risicomanagement en tegelijkertijd zekerstellen dat wordt gedaan wat vereist is (Compliance). Het viel me op dat opvallend veel leveranciers op het Summit gericht zijn op het leveren van diensten en oplossingen voor IT en security operations. Is dit GRC? Wordt deze informatie daadwerkelijk gebruikt voor het nemen van beslissingen door business- en/of procesverantwoordelijken? Een volwaardig GRC programma gaat in mijn ogen niet alleen over IT maar omvat ook Operations, Finance en Legal. Het vraagt om een business (process) gedreven aanpak die het mogelijk maakt om beslissingen te maken waarbij zowel het business performance- als het risico- en compliance-aspect zorgvuldig zijn afgewogen.
Hoe zet je een succesvol GRC-programma op?
Bepaal en prioriteer GRC use cases
Welke use cases dienen het GRC-programma te ondersteunen? Gaat het om risk assessments, control assessments of juist om use cases met betrekking tot policy management, issue tracking of (regulatory) change management? Maak een overzicht van de toepassingen die je wilt implementeren/ondersteunen. Zet deze in volgorde van prioriteit en richt je in eerste instantie op de eerste twee of drie. Slechts weinig organisaties zijn succesvol in het implementeren van alle use cases tegelijkertijd. Wat zijn de meest urgente use cases op korte termijn en welke use cases kunnen aansluitend worden geïmplementeerd? Hoe zit het met het volwassenheidsniveau van deze onderwerpen en wat zijn de doelstellingen voor de toekomst? Op basis hiervan kun je een roadmap definiëren die je stapsgewijs naar het gewenste volwassenheidsniveau brengt.
Processen eerst!
Span het paard niet achter de wagen! Software kan goede processen automatiseren maar goede software leidt niet automatisch tot goede processen. Het ontwerpen van goede processen, inclusief rollen en verantwoordelijkheden die door alle stakeholders worden begrepen en omarmd, is een belangrijke randvoorwaarde voor een succesvolle implementatie. Ik heb in de afgelopen jaren (te) veel voorbeelden gezien van trajecten waarbij het implementatiebudget werd overschreden of zelfs het hele traject strandde omdat de processen met bijbehorende rollen en verantwoordelijkheden onvoldoende duidelijk waren.
Koppel use cases aan tool functionaliteit en wees realistisch over de implementatie inspanning
Welke tooling is het meest geschikt om de geselecteerde use cases en processen te ondersteunen? Is de tooling toekomstbestendig? Selecteer je een van de vele niche tools om een klein aantal specifieke use cases te ondersteunen, of maak je van het selecteren van de juiste tooling een strategische beslissing die past in de vastgestelde roadmap? Wij spreken in toenemende mate met cliënten en prospects die terugkomen op eerdere besluitvorming op dit gebied en op zoek zijn naar volledig geïntegreerde procesgedreven oplossingen.
Realistisch
Tot slot, wees realistisch over de inspanning die een implementatie vergt. Onderzoek door Gartner wijst uit dat de meeste organisatie slechts twee use cases implementeren in de eerste 18 maanden! Organisaties die meer use cases tegelijkertijd implementeren falen hier doorgaans in. Onze eigen ervaring is gelukkig iets maar het is absoluut waar dat dit soort implementaties niet onderschat moeten worden. Technologie is daarbij zelden het probleem. Dat is juist het ontbreken van een of meerdere van eerder genoemde elementen. Succesvolle GRC-programma´s vereisen een sterke visie met bijbehorende roadmap, goed ontworpen en breed gedragen end-to-end bedrijfsprocessen en een geïntegreerd softwareplatform dat zowel business performance als risk performance samenbrengt.
Het bericht Het opzetten van succesvolle GRC-programma’s verscheen eerst op Software AG Blog.
