Artikkel

Svært få bruker GRC-verktøy på tvers av fagområder

Hvor god kontroll har vi på risikoen vi er eksponert for? Undersøkelsen Technical solutions for GRC and internal audit survey – how mature are Norwegian organisations?, utført av Deloitte Norge våren 2019, gir innsikt i hvor modent det norske markedet er for bruk av GRC-verktøy.

En lengre versjon av artikkelen ble først publisert i magasinet SIRK nr1 - 2019

Med økende krav til etterlevelse, søker organisasjoner å redusere kostnadene og øke verdiskapingen fra investeringene i kontrollprosesser, mennesker og teknologi. GRC-verktøy tilbyr betydelige fordeler i form av reduserte kostnader, økt effektivitet gjennom automatisering og minimering av feil som resulterer i økt etterlevelse.

Resultatene av studien viser at en del norske selskaper har gjort et godt stykke arbeid med å innføre GRC-verktøy, men at flere fortsatt henger etter i forhold til sine globale partnere og konkurrenter. GRC-verktøy bidrar til en ‘single source of the truth’ og gir styring og kontroll i sanntid. Vi ser at en del selskaper bruker GRC-verktøy, og at det er en fremgang i brukervennlighet og funksjonalitet. Like fullt er det liten tvil om at det finnes et uutnyttet potensial for mer effektiv bruk av verktøyene.

GRC-verktøy - hva er det egentlig?

GRC i seg selv er et helhetlig konsept om et integrert og helhetlig styringssystem som omfatter eierstyring og selskapsledelse, risikostyring og internkontroll, samt etterlevelse av lover og regler, både gjennom compliance-arbeid i andre linje og internrevisjon. Et helhetlig styring- og kontrollsystem bidrar til at selskaper opptrer etisk korrekt og i samsvar med selskapets risikoappetitt, eksterne lover og reguleringer, samt interne policy-er og prosedyrer. I tillegg vil et slikt system bidra til at dette gjøres samlet gjennom strategi, prosesser, medarbeidere og økende bruk av teknologi.

GRC-verktøy håndtere alle eller deler av områdene nevnt over og ved å skaffe seg en helhetlig oversikt over styring og kontroll i eget selskap – et integrert perspektiv som dekker hele økosystemet for styring og kontroll – vil styret og ledelsen få bedre forståelse for hele risikolandskapet, hvilken innvirkning dette potensielt kan ha på organisasjonen og hvordan risiko er håndtert.

Nøkkelfunksjonene til GRC-verktøy

Nøkkelfunksjonene til et GRC-verktøy dekker flere områder og behov innen styring og kontroll og kan omfatte flere brukere og sluttbrukere:

  • Dokumentasjonshåndtering av styringspolicyer muliggjør en livssyklus for policy og prosedyrer, fra etablering til gjennomgang, endring, vedlikehold og arkivering av styrende dokumenter.
  • Risikostyring som en støtte til både første og andre linje med dokumentasjon for vurdering og håndtering av risiko, samt automatisering av arbeidsflyt og rapportering. Dette inkluderer aggregering og visualisering av risiko.
  • Compliance og kontroll som støtter både første og andre linje med dokumentasjon, arbeidsflyt, rapportering og visualisering av kontrollmål, kontroller og tilknyttede risikoer, undersøkelser, egenvurderinger og testing og utbedringer.
  • Revisjonsegenskaper som støtter andre linje og tredjelinjes internrevisjon i utarbeidelse av revisjonsplan og program, håndtere arbeidspapirer og revisjonsrapport, håndtere funn og jobbe aktiv med oppfølging av aksjoner.

 

Over 65 prosent bruker GRC-verktøy

Av disse selskapene oppgir 90,9 prosent av respondentene at de bruker et GRC-verktøy, inkludert Excel, for å ivareta prosessen med styring, risiko, kontroll, compliance og internrevisjon.

  • De fleste selskaper (90,9 prosent) oppgir at de bruker verktøyet til fagområdet risikostyring
  • 81,1 prosent bruker det til fagområdet internkontroll

 

For hendelsesstyring og compliance er det 63,6 prosent av respondentene som benytter verktøyet. Flere selskaper har investert i et GRC-verktøy, men svært få har valgt et verktøy på tvers av fagområdene.
– Kine Kjærnet, Director i Risk Advisory i Deloitte Norge
 

Hvorfor er det slik at ikke alle fagområder dekkes for å skaffe et helhetlig bilde av styring og kontroll?

Les artikkelen i SIRK

Klikk her

GRC-verktøy gir økt oppgave-, risiko-, og kontrolleierskap

Når det kommer til fordeler med GRC-verktøy, finner studien følgende;

  • Flest respondenter, 63,6 prosent, opplyser at verktøyet har gitt dem økt oppgave-, risiko, og kontrolleierskap, og at verktøyet har gjort det lettere å administrere sentralt (for andre linje).
  • 54,4 prosent svarer også at verktøyet gir bedre rapporteringkvalitet og kontinuitet.
  • I den andre enden av skalaen observerer vi at det ikke er noen som svarer at det fører til færre menneskelige feil.

Sistnevnte kan tyde på at menneskelige feil ikke skjer i prosessene som GRC-verktøy dekker, eller at nye menneskelige feil oppstår som en følge av feil input i systemet, for eksempel på grunn av dårlig brukervennlighet i verktøyet.


GRC-verktøy kan tilpasses selskapers behov

Utviklingen innenfor GRC-verktøy er at de i større grad skal kunne justeres og tilpasses til selskapers behov, størrelse, bruksområde og samhandle bedre med andre IT-systemer. Dette har resultert i forbedrede API-løsninger (Application Programming Interface) som tillater GRC-verktøyene å koble seg til andre IT-systemer, eksempelvis for å feede inn regulatoriske databaser eller overvåke automatiske kontroller.

Det er også en utvikling i integrering av GRC-løsningene blant leverandørene, noe som er en konsekvens av behovet for større investeringer i komplekse risikoanalyser for å møte ulike problemstillinger relatert til stordata. Denne integreringen fører til at selskapet kan få bedre kontroll og et mer presist beslutningsgrunnlag.


Konklusjon

En beslutning om å automatisere og samle selskapets arbeid med styring og kontroll kan være nødvendig - og skulle kanskje til og med vært tatt for en stund siden. Det kan tross alt være virksomhetens stabilitet, omdømme og verdier som står på spill.

Var denne siden nyttig?