Managen van risico’s & voldoen aan regelgeving is een kans | Audittrail
Audittrail: Het managen van risico’s en voldoen aan regelgeving is een kans voor corporaties
20 juni 2018 
in Privacy

Audittrail: Het managen van risico’s en voldoen aan regelgeving is een kans voor corporaties

Woningcorporaties hebben de laatste jaren te maken gehad met een sterk wisselend speelveld. Nieuwe wet- en regelgeving en technologische ontwikkelingen zorgen voor nieuwe uitdagingen. Hoe kom je als woningcorporatie ‘in control’ over risico’s en interne en externe wet- en regelgeving? Een gesprek met Adviseur Informatiebeveiliging Robbert Zwanenburg, Adviseur Governance, Risk en Compliance Rick Bazuin en Adviseur Informatiebeveiliging, Privacy en GRC Johan Corveleijn van Audittrail: “Governance, Risk en Compliance (GRC) is de logische volgende stap voor woningcorporaties.”

“Net als voor alle andere organisaties is het voor woningcorporaties belangrijk om in control te zijn op het gebied van interne beheersing,” legt Rick uit. “Naast het feit dat de overheid hier wetten voor in het leven heeft geroepen – zoals de Woningwet en AVG – kan het niet in control zijn ook maatschappelijk ontwrichtende consequenties hebben. Zo kan mogelijk de continuïteit in gevaar komen en kunnen maatschappelijke doelstellingen niet worden behaald wanneer de reputatie, door toedoen van incidenten, beschadigd is. Door in control te zijn weet je als organisatie beter wat er op je afkomt, is het risicobewustzijn hoger en kan je hierdoor ook verantwoorde keuzes maken. Zo word je als organisatie flexibel en toekomstbestendig.”  

Dezelfde vragen beantwoorden

De werkvelden van Governance, Risk en Compliance zijn volgens Johan niet nieuw. “Bij onze opdrachten zien wij echter vaak dat de disciplines gescheiden van elkaar dezelfde vragen proberen te beantwoorden. Daarnaast groeit de complexiteit van het speelveld waarin corporaties opereren de laatste jaren snel, waardoor ook de noodzaak groet om die beheerprocessen te stroomlijnen en vanuit één multidisciplinair geheel naar die vraagstukken te kijken. Dit werkt zowel effectiever als efficiënter.” 

Bij het stroomlijnen van de beheerprocessen biedt GRC-structuur, zegt Robbert: “Daarnaast brengt het afhankelijkheden van de diverse afdelingen in kaart en – misschien nog wel belangrijker – belegt het de verantwoordelijkheden bij de juiste entiteiten. In de aanloop naar de AVG maakten wij bijvoorbeeld meermaals mee dat men op verschillende afdelingen al druk aan de slag was gegaan met het nadenken over dezelfde vraagstukken, zonder dat men dit van elkaar wist. Uiteraard was al die input hartstikke goed, maar wel ontzettend zonde van die tijd en middelen. Werken vanuit het GRC-perspectief kan dit voorkomen.”

Risicobewustzijn

Eén van de punten waar corporaties veelal winst kunnen boeken, is het risicobewustzijn. Rick: “Wij zijn de afgelopen periode actief geweest op de gebieden privacy en informatiebeveiliging, en hebben daarbij veel onderzoek gedaan naar de volwassenheid van corporaties op die gebieden. Het besef dat er verschillende risico’s zijn, lijkt bij de meeste medewerkers wel tussen de oren te zitten. Wat die risico’s echter inhouden, hoe groot ze zijn, wie verantwoordelijk is voor het treffen van maatregelen en of die daadwerkelijk worden nageleefd, is vaak minder duidelijk. Vaak krijgen wij dan te horen dat het ‘voor woningcorporaties wel niet zo spannend zal zijn’, maar ook voor corporaties verandert het dreigingsbeleid en is het zaak om daarop te anticiperen. Het belang van GRC zal daarom alleen maar toenemen.”  

Volgende stap

“Door het groeiende besef dat de organisatie vanuit bepaalde fronten risico’s loopt, kan de volgende stap gezet worden,” vertelt Robbert. “De volgende logische zet is om deze zaken te integreren en vanuit een meer multidisciplinair geheel naar deze risico’s en compliance-vraagstukken te kijken.”  

Inzicht verkrijgen

Bij GRC is het belangrijk dat een corporatie vanuit holistisch oogpunt naar de organisatie kijkt, legt Johan uit. “Corporaties zijn zelf expert op het gebied van de Woningwet en aanverwante onderwerpen. Het doel van GRC is om al deze onderwerpen te overstijgen en er vanuit een helicopterview samenhang in aan te brengen. Daar kan Audittrail bij helpen. Bij veel corporaties hebben we nulmetingen uitgevoerd, met name op het gebied van informatiebeveiliging en privacy. We kunnen uiteraard ook ondersteunen middels nulmetingen op het gebied van GRC. Hiermee geven we corporaties inzicht in Governance, Risk en Compliance- gerelateerde zaken en creëren we overzicht voor de organisatie. Vervolgens schrijven we een praktisch stappenplan zodat de corporatie zichzelf naar een hoger niveau kan tillen.” 

“Alleen door inzicht te verkrijgen kom je als organisatie in control,” vult Rick zijn collega aan. “Het overzicht en het actieplan stelt de corporatie in staat te groeien van onbewust onbekwaam op het gebied van GRC naar bewust bekwaam. Door het daarna adequaat door te blijven voeren, wordt de organisatie vanzelf onbewust bekwaam en is zij volledig in control. Om dat te bereiken raden wij een Compliance Officer aan, welke de GRC van de organisatie in de gaten houdt, blijft sturen en optimaliseren.”  

Kans

“Het managen van risico’s en het voldoen aan wet- en regelgeving worden vaak gezien als een noodzakelijk kwaad,” sluit Johan het gesprek af. “Binnen Audittrail zien wij dit echter als een kans. Het in kaart brengen van de organisatie en de compliance-risico’s die daarop van toepassing zijn, biedt ontzettend veel waardevolle inzichten voor een organisatie. Inzichten die vaak ook veel verder gaan dan ‘risk’ of ‘compliance’ alleen. Wij horen vaak ‘Ja, waarom doen wij dat eigenlijk nog zo?’, waarbij het antwoord is ‘Omdat ik niet beter weet dan dat wij het zo doen’. Mede daarom is het belangrijk om GRC vanuit multidisciplinaire gebieden aan te vliegen, om op die manier de organisatie volwassener te maken. En natuurlijk omdat dit veel effectiever en efficiënter is dan dat een aantal verschillende eilandjes met hetzelfde werk bezig zijn.”   

Bron: Johan van den Beld | CorporatieMedia – 15 juni 2018

Reactie plaatsen