De grote GRC

We zijn weer een acroniem rijker: GRC. Het staat voor Governance, Risk en Compliance, maar de pretenties reiken verder dan deze optelsom. Bij GRC denkt men aan een nieuwe bedrijfsgovernance voorbij de Sarbanes-Oxley wetgeving, aan bedrijfsbreed risicobeheer en aan organisaties waar ook topmanagement betrokken is bij de thematiek van goed bestuur, deugdelijke verantwoording en risicomanagement.
Er is ook een heuse vereniging op dit gebied: de OCEG (www.oceg.org). Ze leveren nuttige documentatie en meetsystemen voor de verschillende GRC-domeinen. Dan gaat het over onderwerpen als het beheer van financiële, operationele, it-gerelateerde en strategische risico's, over het respecteren van corporate governance, over verantwoordelijk personeelsbeheer en over privacy-bescherming, en tenslotte natuurlijk ook over goede it-governance.
Geen fijne onderwerpen voor de snelle ondernemer. Maar de kans dat managers die zich niet met dit soort zaken willen inlaten,  eens vastlopen wordt steeds hoger. En als het mis gaat, moet er een hoge prijs betaald. Toch worden GRC-zaken veelal aangepakt op operationeel en zelden op strategisch niveau. Weinig operationele managers houden bovendien hun directeuren op de hoogte over de actuele risico' waaraan ze blootstaan. En weinig bedrijfsleiders maken extra middelen vrij om bepaalde risico's aan te pakken, tenzij die risico's een onhoudbaar niveau bereiken.
Cio's hebben de neiging te wennen aan wat in feite onaanvaardbare risico's zijn. Te weinigen van hen zetten de algemene directie voor het blok om de noodzakelijke middelen vrij te maken om daar een eind aan te maken.
Risicobeheer overstijgt vaak het afdelings- of vestigingsniveau niet. Maar als er wel een ernstig incident of zelfs een catastrofe plaatsvindt, dan is het toch de algemeen directeur die verantwoording moet afleggen tegenover de raad van bestuur, tegenover de autoriteiten en eventueel tegenover echte of potentiële slachtoffers.
Er is voor de directie dus alle reden om beschuldigingen van slecht bestuur feitelijk te kunnen weerleggen. En dan komt je toch bij de grote GRC-thema's die bij 'de transparante onderneming' horen. Ik denk dan ook dat de we daar de komende jaren nog veel zullen horen praten over GRC, of hoe we deze praktijk ook maar willen noemen. Niet alleen om onze inspanningen op het vlak van governance, risicobeheer en compliance op elkaar af te stemmen maar, een stap verder, ook om de maatregelen op ethisch vlak te nemen die verder gaan dan de wettelijke verplichtingen.

Georges Ataya