Governance, Risk en Compliance, afgekort GRC, is een thema dat velen van ons nog steeds bezighoudt. Nog altijd worstelen veel organisaties ermee hoe GRC nou daadwerkelijk te implementeren op een effectieve, efficiënte en ‘sustainable’ manier. Veelal is GRC helaas nog geïmplementeerd als een ” papieren tijger’ en wordt het als een ‘check boxing exercise” met bijbehorende verrassingen ervaren. GRC kent in de praktijk vele, uiteenlopende verschijningsvormen en aspecten. Denk bijvoorbeeld aan het integreren van interne controls-aspecten binnen het herontwerpen van bedrijfsprocessen, aan het implementeren van ERP-systemen (helemaal aan de voorkant), en aan het gebruikmaken van digitale gegevens en informatie bij een fraudeonderzoek (helemaal aan de achterkant). Ook speelt GRC een rol bij de vraag hoe men de governance en de verantwoordelijkheden heeft belegd binnen de organisatie (de hardere kant), of hoe men een en ander heeft meegenomen binnen de waarden c.q. cultuur van de organisatie (de zachtere kant).
In deze Compact wordt een aantal aspecten rondom GRC nader toegelicht. Brigitte Beugelaar en Willem van Loon presenteren een geïntegreerd framework als handreiking voor een effectieve en efficiënte GRC-implementatie binnen organisaties zelf. Eén van de aspecten die hierin een rol spelen, is de inrichting van Identity & Access Management, een aspect dat in deze tijd over de grenzen van de organisatie dient te worden ingevuld, ofwel Federated Identity Management (FIM). Daarnaast wordt in het artikel over trends in IT internal audit een samenvatting gegeven van een EMA-breed onderzoek naar ontwikkelingen op dit terrein. Nieuwe ontwikkelingen op het gebied van external audit worden toegelicht in het artikel over AudIT Innovation, dat ook een terugkoppeling bevat naar een recente ronde tafel over dit onderwerp. Jaap van Beek en Marco Francken belichten in hun bijdrage de toekomst van de SAS 70-verklaring. Deze Compact-editie wordt aan kop en staart gecompleteerd door twee artikelen die ingaan op achtereenvolgens het belang van preventieve (Facts to Value) en van detectieve (digitaal sporen) data-analyse.
Al met al biedt deze Compact rond het thema GRC een mooi breed spectrum van artikelen, die na ze te hebben gelezen hoogstwaarschijnlijk zullen leiden tot de constatering dat we met z’n allen nog geruime tijd nodig zullen hebben om het thema helemaal te doorgronden en te implementeren.
Ik wens u allen veel leesplezier.
Peter Paul Brouwers
Voorzitter IT Advisory Nederland