GRC: ‘De toekomst is meer automatisatie’
Waar tien jaar geleden risico’s manueel opgevolgd werden, desnoods via een grote Excel, is vandaag doelgerichte riskmanagementsoftware aan een opmars bezig. Governance, Risk and Compliance (GRC)-software verandert zo de riskmanagementfunctie steeds meer.
GRC is een type software dat weinig bekend is bij het grote publiek, maar in heel wat organisaties vervult het een belangrijke rol. “Elke letter van GRC draagt bij aan het risicomanagement van je organisatie”, stelt Michael Nijs, oprichter en CEO van Maiky, een start-up die GRC-software maakt. “In Governance ga je bepalen wat je beleid is, hoe je te werk gaat. In het tweede luik, Risk, ga je onderzoeken welke risico’s dat oplevert. Ten slotte is er Compliance. Hier ga je de risico’s die je identificeerde op recurrente basis controleren en ervoor zorgen dat ze geen bedreiging vormen.”
Zo’n systeem kan een breed scala aan risico’s opvolgen. “Een risico dat vaak aanwezig is bij bedrijven is fraude”, stelt Wim Rymen, partner bij PwC Belgium en expert in governance, risk & controls. “Je wilt bijvoorbeeld niet dat er betalingen gemaakt worden aan ongeoorloofde partijen. GRC-software kan dat risico opvolgen. Als er een element optreedt in een betaling, denk maar aan een gebrek aan goedkeuring van de juiste mensen, dan zal het systeem dat signaleren en een alarm doorsturen.”
Blind spots
Dat soort software moet niet alleen het werk van riskmanagers makkelijker maken, het verandert ook hoe risico aangepakt wordt. “In een traditioneel scenario onderzoekt je riskmanagementteam één keer per jaar alle risico’s, en of ze aangepakt zijn”, stelt Nijs. “Het probleem met die aanpak is dat je maar één keer per jaar kijkt of je in orde bent, en dat terwijl sommige risico’s heel het jaar door gelden. Met nieuwe technologie, zoals automatisatie en artificiële intelligentie, volgen we nu risico’s het hele jaar op.”
“In het verleden zagen we vaak blind spots in het risk management van bedrijven”, vult Rymen aan. “Zonder GRC-technologie is het erg makkelijk om risico’s niet te behartigen. Aan andere risico’s werd dan weer te veel aandacht besteed. Dankzij deze technologie krijg je een beter overzicht van de risico’s en kun je efficiënter werken.”
Zonder GRC-technologie is het erg makkelijk om risico’s niet te behartigen.
Middenmoot
Ons land is natuurlijk niet altijd een voorloper wanneer het gaat over digitale transformatie. Hoe doen we het op het gebied van GRC-software? “Belgische bedrijven zitten in de middenmoot”, stelt Rymen. “Landen zoals de VS en het Verenigd Koninkrijk doen het beter, want regelgeving, zeker wanneer bedrijven op de beurs genoteerd staan, is daar veel strenger. Maar ook in België gaan we vooruit. Tien jaar geleden deden we hier een eerste survey rond GRC-software. Toen zagen we dat slechts een beperkt aantal bedrijven bezig was met de technologie. Het waren vooral veredelde Excelsheets die de dienst uitmaakten. Vandaag gebeuren er veel meer investeringen, en risico’s zoals cybersecurity zijn echt top-of-mind bij CEO’s.”
Dat software nu doordringt binnen het veld, maakt dat risk management ook verandert. “De toekomst van risk management is meer automatisatie”, stelt Nijs. “De basis van risk management verandert natuurlijk niet. Je bepaalt waarom je bepaalde risico’s neemt, en hoe je ze kunt vermijden of minimaliseren. Die kern blijft hetzelfde, met of zonder nieuwe technologie. Maar technologie laat je wel toe om constant risico’s in het oog te houden en ze op een dagelijkse basis op te volgen.”
En dat betekent ook een andere manier van werken voor riskmanagers. “Riskmanagers zullen steeds meer technologie moeten leren gebruiken”, stelt Rymen. “Vroeger ging risk management over data verzamelen en praten met mensen, om dan één keer per jaar het management over de risico’s in te lichten. Risk management is vandaag veel meer proactief en voorspellend. Het gaat over continue opvolging van risico’s via technologie.”