Vandaag de dag worden acroniemen en afkortingen te pas en te onpas gebruikt en weer vervangen, vaak nog voordat de betekenis ervan geheel duidelijk is geworden. Gedurende de afgelopen jaren is er een acroniem gemeengoed geworden die tegelijkertijd bevestiging en afwijzing, herkenning en verwarring teweeg heeft gebracht.

We spreken hier over Governance, Risk & Compliance, kortweg GRC. In het afgelopen jaar is de term GRC besproken tijdens diverse fora, inclusief bijeenkomsten van accountants, IT auditors, risicomanagers, IT professionals en door ethics en compliance officers.

Complete conferentieagenda’s werden en worden gewijd aan GRC. Over het onderwerp GRC zijn diverse artikelen verschenen en het staat ook hoog op de ranglijst van de internet-blogs. Maar wat is GRC eigenlijk? Waarom heeft juist dit onderwerp zoveel aandacht gekregen? Of is dit soms een van die afkortingen die geen lang leven beschoren is en snel weer verdwenen zal zijn? Is GRC daadwerkelijk een thema dat de bedrijfsvoering significant zal veranderen?

Wij zijn van mening dat GRC daadwerkelijk de bedrijfsvoering van veel ondernemingen wezenlijk zal veranderen. Het onderwerp GRC is ontstaan doordat gangbare en traditionele methoden voor risicomanagement en compliance ongeschikt blijken te zijn voor de snelheid en complexiteit van bedrijfsvoering.

GRC is een onderwerp dat wordt besproken in grote en complexe ondernemingen in alle branches en sectoren en het heeft een impact op alle bedrijfsonderdelen en bedrijfsprocessen in moderne ondernemingen. Bovenstaande is gemeengoed in de wereld van vandaag. Echter, deze omgevingsvraagstukken zijn slechts een klein deel van iedere discussie rondom GRC.

In de meeste organisaties is het thema Governance, Risk en Compliance belegd als een discrete activiteit die is losgekoppeld van de primaire bedrijfsprocessen en het besluitvormingsproces. GRC als proces heeft duidelijk minder aandacht gekregen vanuit performanceverbetering en proces-reengineering dan kernthema’s zoals supply chain, customer centricity, HR en finance transformatie.

En, slechts recentelijk heeft GRC ook de nodige aandacht gekregen binnen de IT strategie, IT projecten en IT ondersteunende processen. Kortom: infrastructuur, processen en systemen voor GRC zijn onvoldoende ontwikkeld, met als gevolg dat de meeste ondernemingen risicomanagement en compliance gefragmenteerd hebben ingericht en vanuit een ‘silo-denken’ deze programma’s beheersen en daar tegen een aantal problemen aanlopen.

Kortom: wij zijn overtuigd dat een geïntegreerde aanpak van Governance, Risk en Compliance noodzakelijk is om het huidige silo-denken tussen business units, functionele processen, geografie en technologie te doorbreken. Geïntegreerde GRC zal de effectiviteit en efficiëntie verhogen.

Indien juist uitgevoerd, zal het proces van risicomanagement verbeteren en daardoor ook de performance. Een top-downaanpak is noodzakelijk om redundantie tussen bedrijfsonderdelen en functionele processen te verkleinen. Met als gevolg dat ‘operational effectiveness’ en een efficiënter gebruik van mensen en middelen kan worden bereikt.


Jacques Buith RE Partner, Dr. ing. Jürgen van Grinsven, Director

Beide auteurs zijn werkzaam bij Deloitte Accountants B.V. Enterprise Risk Services.