Cyber: GRC-teknologi kan gi bedre risikostyring

De siste årene har det vært mange flere som leverer teknologi for integrert risikostyring og compliance. Digitale GRC (Governance, Risk, and Compliance)- verktøy kan hjelpe bedrifter med å effektivt administrere styringsdokumentasjon og prosesser, og sårbarhets- og risikoinformasjon innen cyber.

– Et godt integrert og effektivt verktøy kan være et konkurransefortrinn for virksomheter, sier Røed. 

Les også: Fem cybertrender

Økende risikolandskap og regulatorisk press

– Bedrifter som bruker digitale verktøy har lettere for å ta gode beslutninger og de er mer effektive, sier Røed. Næringslivet er preget av uoversiktlige risikoer, forretningstransformasjoner, høyere trusselnivå (artikkel i DN 28.oktober 2022) og økende regulatorisk press fra myndigheter. Mange som gjør denne jobben manuelt sliter med dobbeltarbeid, mangel på strømlinjeformet rapportering og ineffektive prosesser. 

Trend: Bedrifter bruker digitale GRC-verktøy for å bli bedre på styring av risiko

Sammen med økte muligheter innen verktøy og et sammensatt risikobilde, ser vi en økende investeringsvilje hos virksomheter innen digitale GRC verktøy. – Det kan ha en sammenheng med økt modenhet innen informasjonssikkerhet og personvern hos virksomheter. De har også flere muligheter for vurdering av risiko og etterlevelse da de jobber mer databasert, sier Røed. 

Noen av fordelene et digitalt GRC-verktøy kan gi: 

• Reduserte kostnader

• Økt effektivitet gjennom automatisering

• Effektive styringsprosesser

• Integrert og helhetlig internkontroll og risikostyring 

• Korrekt og fullstendig informasjon om risiko og etterlevelse i virksomheten som gir bedre informasjonsgrunnlag for beslutningstaking

• Oversikt over trussel-, risiko- og sårbarhetsbilde

• Monitorering ved at ulike deler av virksomheten kobles sammen. Dermed bedre rustet mot fremtidens utfordringer.

Bruk tid på å velge riktig verktøy. Slik gjør du det.

• Kartlegg! For å høste gevinster av GRC verktøy, er det viktig å bruke god tid på å velge riktig verktøy tilpasset virksomheten. Man bør kartlegge behov, ambisjoner og nåsituasjonen. 
• Finn hva som skal med! Virksomheten bør finne ut hvilke prosesser og fagområder som skal inngå i verktøyet. Det kan være helhetlig risikostyring og internkontroll, cyberrisiko, leverandørstyring, finansiell rapportering, IT risiko, hendelseshåndtering, internrevisjon, eller en kombinasjon av disse. 
• Forstå markedet! En vellykket prosess for valg av verktøy krever god kjennskap til hva de ulike leverer. Og innsikt i hvilke verktøy som kan tilpasses virksomhetens behov, størrelse, kontekst, og muligheter for integrering i eksisterende forretningsprosesser.

– Valg av riktig verktøy vil gjøre det lettere med god oppfølging av IT leverandører, internkontroll på personvern og informasjonssikkerhet og gode risikovurderinger, sier Røed.

Les også: Seks av ti cyberangrep er rettet mot underleverandører.

God implementeringsplan er nøkkelen til suksess

Endringsledelse er ofte nøkkelen til god innføring av ny teknologi i en virksomhet. For en vellykket implementering av GRC-verktøy er det viktig å forstå interessentgruppene som blir berørt tidlig i prosessen og involvere ansatte i implementeringen på en god måte. 

En vellykket implementering fordrer en god implementeringsplan. Planen må ta utgangspunkt i formålet med systemet og må forankres på riktig nivå i virksomheten. Det bør utarbeides en tidslinje for hensiktsmessig utrulling, som inkluderer kommunikasjon og trening av ansatte. I tillegg er det viktig å bestemme seg for hvordan gevinstrealisering skal måles og synliggjøres -og tilpasse planen underveis gjennom en fasetilnærmet implementering.

Tre tips for å lykkes med valg av GRC-teknologi: 

• Velg et GRC verktøy tilpasset ditt behov
• Definerer forretningens krav og forutsetninger for å lykkes
• Involvér de riktige interessentgruppene tidlig i utvelgelse og implementeringen