GRC Nulmeting

Deze nulmeting geeft in 10 minuten een eerste beeld van de volwassenheid van jouw organisatie op het gebied van Governance, Risk en Compliance (GRC).

De stellingen zijn breed en generiek geformuleerd zodat ze toepasbaar zijn voor zowel publieke als private organisatie, ongeacht sector of omvang.

Doel van de nulmeting:

Snel inzicht in sterke en zwakke punten
Een basis voor gesprek over prioriteiten en vervolgstappen
Een startpunt om te groeien naar een geïntegreerde en waardevolle aanpak van GRC

Hoe werkt het?

Beoordeel per stelling in welke mate dit herkenbaar is binnen jouw organisatie. Gebruik de aangegeven voorbeelden per niveau.

Weet je het niet? Vul dan “1” in van de antwoordkeuzes.

Doe zelf de GRC nulmeting!

Stap 1 van 5

Governance

1. Rollen en verantwoordelijkheden voor governance, risk en compliance zijn duidelijk belegd.(Vereist)

1. Geen formele rollen, ad hoc opgepakt.

2. Enkele rollen benoemd, maar vaak onduidelijk of overlappend.

3. Rollen en verantwoordelijkheden zijn formeel vastgelegd.

4. Rollen worden actief toegepast en periodiek geëvalueerd.

5. Rollen zijn volledig ingebed in de organisatiecultuur en breed bekend.

2. Het management is actief betrokken bij besluitvorming over governance, risk en compliance.(Vereist)

1. Geen betrokkenheid, alleen bij incidenten.

2. Betrokkenheid beperkt tot verplichte overleggen.

3. Management beoordeelt periodiek rapportages.

4. Management stuurt actief op GRC-informatie.

5. Management ziet GRC als integraal onderdeel van strategie en besluitvorming.

3. Er zijn beleid en procedures vastgelegd die actueel zijn en worden toegepast.(Vereist)

1. Geen beleid of procedures aanwezig.

2. Enkele documenten bestaan, vaak verouderd.

3. Beleidsdocumenten en procedures zijn formeel vastgelegd en berekend.

4. Procedures worden actief gevolgd en getoetst.

5. Beleid en procedures zijn actueel, geïntegreerd en onderdeel van continue verbetering.

4. De organisatie houdt rekening met interne en externe context, zoals stakeholders, regelgeving en ontwikkelingen.(Vereist)

1. Context wordt niet meegenomen.

2. Ad hoc aandacht bij incidenten en projecten.

3. Structurele contextanalyse uitgevoerd.

4. Jaarlijkse contextanalyse gekoppeld aan strategie.

5. Doorlopende monitoring van context en stakeholders.

5. Governance, risk en compliance zijn aantoonbaar gekoppeld aan de bedrijfsstrategie.(Vereist)

1. Geen koppeling aanwezig.

2. Documenten bestaan, maar zonder verbinding.

3. Formele koppeling van strategie met GRC.

4. GRC wordt meegenomen in strategische evaluaties.

5. Volledig geïntegreerd en traceerbaar in doelen, risico's, KPI's en KRI's.

Risk

1. Risico's worden systematisch geïdentificeerd, beoordeeld en vastgelegd.(Vereist)

1. Alleen bij incidenten.

2. Basisinventarisatie per afdeling.

3. Gestandaardiseerd proces voor risicoanalyse.

4. Continue monitoring en periodieke herbeoordeling.

5. Geavanceerde methoden, zoals scenario-analyse en data-analyse.

2. Er is duidelijke risicobereidheid (risk appetite) die richting geeft aan besluitvorming.(Vereist)

1. Niet vastgesteld.

2. Conceptueel benoemd, maar niet toegepast.

3. Appetite per risicocategorie vastgelegd en gedeeld.

4. Appetite vertaald naar limieten en indicatoren, actief gemonitord.

5. Besluitvorming gestuurd door appetite en scenario's.

3. Risico's bij leveranciers en in de keten, inclusief ICT-risico's, worden meegenomen.(Vereist)

1. Geen aandacht voor leveranciers of keten.

2. Basis due dilligence bij inkoop.

3. Centraal leveranciersregister en classificatie.

4. Actieve monitoring en contractuele borging.

5. Ketenrisico's structureel gemonitord en getest.

4. Er wordt gebruik gemaakt van een risicoregister of tooling om risico's te beheren.(Vereist)

1. Geen register of tooling.

2. Excel-lijst of losse bestanden.

3. Centraal risicoregister beschikbaar.

4. Tooling actief gebruikt voor rapportages.

5. Geïntegreerde tooling met real-time dashboards.

5. Risico's worden periodiek geëvalueerd en besproken in de organisatie.(Vereist)

1. Geen evaluatie.

2. Evaluatie ad hoc, meestal na incidenten.

3. Jaarlijkse evaluatie gepland.

4. Kwartaalgewijze evaluatie en bespreking.

5. Doorlopende evaluatie gekoppeld aan strategie.

Compliance

1. De organisatie heeft inzicht in relevante wet- en regelgeving en voldoet aantoonbaar hieraan.(Vereist)

1. Geen inzicht of naleving.

2. Alleen kernregels bekend.

3. Gestandaardiseerd complianceprogramma.

4. Compliance actief geborgd en gemonitord.

5. Near real-time monitoring en aantoonbare naleving.

2. De organisatie heeft een proces om veranderingen in wet- en regelgeving tijdig te signaleren en door te voeren.(Vereist)

1. Geen proces aanwezig.

2. Ad hoc signalering.

3. Formeel change-proces ingericht.

4. Impactanalyse en implementatie-tracking aanwezig.

5. Real-time signalering en borging over meerdere rechtsgebieden.

3. Compliance is onderdeel van de cultuur de medewerkers zijn zich bewust van hun verantwoordelijkheden.(Vereist)

1. Geen bewustzijn.

2. Alleen ad hoc trainingen.

3. Jaarlijkse training organisatiebreed.

4. Doorlopende bewustwordingsprogramma's.

5. Compliance verankerd in cultuur en beloningsstructuren.

4. Compliance afspraken met leveranciers en ketenpartners zijn geborgd en worden bewaakt.(Vereist)

1. Geen afspraken.

2. Alleen basisclausules in contracten.

3. Structurele afspraken en toetsingen.

4. Actieve monitoring van leveranciers.

5. Integrale compliance-afspraken, periodiek getest en gerapporteerd.

5. Voor audits en toezicht is bewijsvoering beschikbaar en betrouwbaar.(Vereist)

1. Geen bewijs beschikbaar.

2. Bewijs ad hoc verzameld.

3. Centraal compliance-dossier aanwezig.

4. Bewijsvoering grotendeels geautomatiseerd.

5. Continuous Control Monitoring met alerts en SLA's.

Integraal totaalbeeld

1. Governance, risk en compliance zijn geïntegreerd in één samenhangend raamewerk.(Vereist)

1. Volledig losstaand.

2. Incidentele samenwerking.

3. Gestandaardiseerde afstemming.

4. Actieve samenwerking en gezamenlijke rapportages.

5. Volledig geïntegreerd raamwerk.

2. De organisatie beschikt over betrouwbare managementinformatie en rapportages.(Vereist)

1. Geen structurele rapportages.

2. Basisrapportages, versnipperd.

3. Centrale rapportages beschikbaar.

4. Geautomatiseerde rapportages.

5. Near real-time dashboards met stuurinformatie.

3. Verbeteringen en evaluaties vinden regelmatig plaats volgens een cyclische aanpak.(Vereist)

1. Geen evaluaties.

2. Evaluaties alleen na incidenten.

3. Jaarlijkse evaluaties.

4. Kwartaalgewijze verbeterloops.

5. Continue verbeteren via PDCA en benchmarking.

Vul hieronder je contactgegevens in zodat we de uitkomsten naar je kunnen mailen.

Naam(Vereist)

Voornaam Achternaam

E-mailadres(Vereist)

Bedrijf(Vereist)

ESG & Duurzaamheid

Klanten

Diversiteit en Inclusie

Nieuws

GRC Nulmeting

Hoe werkt het?

Doe zelf de GRC nulmeting!

Over IMPROVEN

Volg ons

Certificaten en keurmerk

(Werving & Selectie)

GRC Nulmeting

Hoe werkt het?

Doe zelf de GRC nulmeting!