GRC baseren op werkprocessen en betrokkenheid medewerkers?

In dit artikel geven we 3 redenen waarom het verstandig is de GRC-verantwoording op de werkprocessen en de betrokkenheid van de uitvoerende teams te baseren; de essentie van uitzonderingen, bewustzijn van GRC eisen op het juiste moment en tenslotte het conflict tussen dynamiek en compliance.

Governance, Risk en Compliance (GRC) wordt steeds belangrijker voor overheidsorganisaties bijvoorbeeld als gevolg van de AVG, de WOO en de Rechtmatigheidsverantwoording. In hoeverre kan deze eindverantwoordelijkheid genomen worden door een stafafdeling met een eigen applicatie? Of is het verstandiger, misschien zelfs een randvoorwaarde, om GRC vanuit de werkprocessen en met grote betrokkenheid van medewerkers in te regelen? Wij geven drie belangrijke redenen waarom dat inderdaad verstandiger is.

3 Redenen

Ten eerste, om de GRC-verantwoording te kunnen nemen is vergaande kennis van de uitzonderingen nodig. In veel werkprocessen komen relevante uitzonderingen voor om de dienstverlening in goede banen te leiden. Een uitzondering is een situatie waarin anders gehandeld wordt dan in de meeste gevallen. Klanten of burgers die in hun situatie een andere behandeling nodig hebben dan in de meeste situaties of anders dan dat er in de -vaak verouderd- handleidingen staat. Dus daar geldt een andere aanpak, werkt men met andere data, andere systemen, andere risico’s en/of andere budgetten. Deze uitzonderingen moeten absoluut meegenomen worden in de GRC-inventarisaties, overzichten en rapportages om volledig te zijn. Eventuele onwetendheid van uitzonderingen is op zichzelf al een risico. De uitzonderingen moeten meegenomen worden en dit vraagt om een voldoende gedetailleerde procesmanagement aanpak en het voldoende betrekken van de medewerkers. Want de medewerkers kennen de uitzonderingen; zij weten wanneer en waarom ze op een andere manier te werk gaan.

Ten tweede, procesmanagement kan ervoor zorgen dat essentiële GRC aspecten op het juiste moment bekend zijn bij uitvoerend personeel. Wanneer medewerkers een zaak anders moeten behandelen dan “normaliter”, dan is het belangrijk om juist op dat moment extra bewust te zijn dat er andere data gebruikt wordt die wellicht gevoelig is, andere risico’s gelden, andere budgetten aangesproken moeten worden of andere beheersmaatregelen beschikbaar zijn. Het team de juiste informatie op de juiste plek aanbieden is essentieel. Een aparte GRC-applicatie of rapportage geeft doorgaans deze details niet en is niet inzichtelijk op het juiste moment. Een goed en voldoende gedetailleerd procesmodel met bijbehorende werkinstructies per proces stap, geeft de medewerkers inzicht in het totale proces, laat zien waar relevante uitzonderingen zitten en geeft precies op dat moment inzicht in bijzondere zaken.

Ten derde noemen we het steeds verder toenemende spanningsveld tussen compliance en dynamiek. Veranderingen en dynamiek zijn aan de orde van de dag voor iedere organisatie. Er wordt van onze teams steeds weer gevraagd in te springen op nieuwe situaties. Maar wanneer bij het bedenken en inrichten van een nieuwe situatie, wellicht een nieuwe uitzondering, GRC niet of niet voldoende wordt meegenomen, dan is de organisatie direct weer non-compliant. In-control vraagt daarom om een geïntegreerde aanpak van GRC en verandermanagement. Dat is precies waar een goede procesmanagement aanpak voor kan zorgen.

Tenslotte nog een extra voordeel. Wanneer je door de inzet van procesmanagement de basis op orde hebt en voldoende “in control” bent, dan kost het relatief weinig moeite om van daaruit de GRC-verantwoording in te vullen. De basis is er al!

Wil je meer weten?

Ben je benieuwd hoe de Twentse Kabel Fabriek (TKF) Engage Process heeft ingericht om met risico management om te gaan? Kijk dan het webinar terug dat Sjoerd Klijsterlee, QHSA Officer bij TKF daarover eerder gaf.