.png){kind=small}
GRC-functies een integrale samenwerking
- Ferocia
- 13 mei
- 7 minuten om te lezen
Bijgewerkt op: 22 aug
Elke organisatie streeft naar grip. Grip op processen, risico’s en op prestaties. Maar grip ontstaat niet vanzelf. Een effectieve inrichting van je audit-, control- of risicomanagement functie is daarvoor essentieel. Niet als doel op zich, maar als fundament voor een effectieve en efficiënte beheersing, het versterken van het lerende vermogen, goede besluitvorming, strategische wendbaarheid en vertrouwen richting toezichthouders, bestuur en samenleving.
Toch worstelen veel organisaties met de inrichting van deze functies. Ze zijn historisch gegroeid, versnipperd of ingegeven door externe druk. Er wordt gecontroleerd, er worden risico’s geïdentificeerd en audits uitgevoerd, maar vaak ontbreekt hierin de samenhang. Het gevolg? Onduidelijke verantwoordelijkheden, inefficiënte processen en onvoldoende aansluiting op de doelen van de organisatie.
Van compliance naar strategisch kompas
De inrichting van audit, control en risicomanagement is de laatste jaren sterk in beweging. Niet alleen vanwege toenemende wet- en regelgeving, denk aan ESG-verplichtingen, DORA, GIAS-richtlijnen en nieuwe EU-verordeningen, maar vooral omdat organisaties zich realiseren dat deze functies niet alleen ‘moeten’, maar ook waarde kunnen toevoegen.
Dat vraagt om een volwassen benadering van GRC (Governance, Risk en Compliance). GRC staat voor de samenhangende manier waarop organisaties hun doelen realiseren, risico’s beheersen en voldoen aan interne en externe eisen. Wanneer governance, risicomanagement en compliance in samenhang worden georganiseerd, ontstaat er een fundament voor betrouwbare besluitvorming en duurzame prestaties.
Waar audit en risicomanagement vroeger vooral reactieve functies waren, zien we een duidelijke verschuiving richting proactiviteit en strategische ondersteuning. Denk aan:
Het vroegtijdig signaleren van opkomende risico’s.
Het bevorderen van een cultuur van transparantie en lerend vermogen.
Het versterken van interne beheersing op alle niveaus van de organisatie.
Maar om die rol te kunnen vervullen, moeten deze GRC-functies stevig, slim en gedragen zijn ingericht.
Herkenbare signalen dat je GRC-inrichting tekortschiet
Veel organisaties die Ferocia inschakelen, kampen met vergelijkbare knelpunten. Sommige zijn duidelijk zichtbaar, andere sluimeren op de achtergrond en ondermijnen ongemerkt de effectiviteit van GRC. Herken je (één van) de volgende situaties?
1. De lijnen lopen door elkaar of praten niet met elkaar
De eerste, tweede en derde lijn opereren naast elkaar zonder duidelijke afstemming. De control-afdeling voert analyses uit, risk officers identificeren risico’s en de internal auditafdeling doet onderzoek. Maar niemand voelt zich eigenaar van het geheel. Gevolg: overlap, blinde vlekken en frustratie.
Voorbeeld: In een gemeente bleek dat risico’s rond subsidieverstrekking in drie verschillende rapporten stonden, één rapport vanuit internal audit, één van risk de andere vanuit compliance. Niemand trok integrale conclusies of ondernam actie.
2. Rollen en mandaten zijn onduidelijk
Wie is waarvoor verantwoordelijk? Waar ligt de besluitvorming? En wie houdt wie scherp? Als dit niet scherp is belegd, ontstaat ruis. Taken blijven liggen of worden dubbel gedaan. Of er worden rapporten geschreven waar niemand op zit te wachten, laat staan iets mee doet.
Voorbeeld: In een zorginstelling voelden de teamleiders zich verantwoordelijk voor risicobeheersing, maar wisten ze niet wat er van hen werd verwacht. Control dacht dat risk het oppakte. Risk dacht: “Dat is voor audit.” En audit concludeerde: “Er gebeurt niets.”
3. Risicomanagement blijft hangen in spreadsheets
Veel risicoregisters zijn keurig gevuld. Maar hoe vaak worden ze bijgewerkt? En belangrijker: leidt het tot ander gedrag of betere besluiten? Zonder link naar strategische doelen, operationele plannen en de dagelijkse praktijk blijft risicomanagement een papieren tijger.
Voorbeeld: In een woningcorporatie stond ‘krapte op de arbeidsmarkt’ als risico geregistreerd, maar niemand had het vertaald naar HR-beleid of recruitmentstrategieën.
4. Audits leveren inzichten, maar geen impact
Een intern auditrapport is pas waardevol als het tot verbetering leidt. Toch zien we vaak dat aanbevelingen in een la verdwijnen. De oorzaak, gebrek aan eigenaarschap, urgentie of follow-up.
Voorbeeld: Bij een verzekeraar werden in 3 jaar tijd 41 auditrapporten opgesteld. Slechts 12% van de aanbevelingen werd binnen een jaar opgevolgd.
5. Control geeft signalen, maar geen handelingsperspectief
Controllers signaleren afwijkingen, maar missen de tools, tijd of ruimte om daar actiegerichte adviezen aan te koppelen. Rapportages belanden daardoor op een hoop, zonder effect.
Voorbeeld: Een controller meldde een forse stijging in personeelskosten, maar HR en het MT wisten niet hoe dit te duiden – laat staan er iets mee te doen.
6. Geen integraal antwoord op vragen van toezichthouders
Als de inspectie, accountant of raad van toezicht vraagt: “Hoe houden jullie integraal toezicht op risico’s?”, en je moet het antwoord bijeen sprokkelen uit losse documenten, rapporten en systemen, dan weet je: het zit niet goed.
De kracht van een integrale GRC-benadering
Een toekomstbestendige inrichting van je GRC-functies begint met het stellen van fundamentele vragen:
Wat zijn de strategische doelen van onze organisatie?
Welke risico’s bedreigen het realiseren van die doelen?
Hoe zorgen we dat beheersmaatregelen daadwerkelijk werken?
Wie doet wat, met welk mandaat?
Hoe bevorderen we een cultuur van leren en continu verbeteren?
Cruciaal is dat je GRC niet als drie aparte silo’s benadert, maar als één samenhangend geheel. Pas dan ontstaat er synergie tussen beleid, uitvoering en toetsing. Tussen risico’s identificeren, maatregelen treffen en toetsen of ze effectief zijn.
Dat is de essentie van volwassen GRC. En precies daar ligt de meerwaarde van Ferocia’s aanpak.
Ferocia’s aanpak: van structuur tot gedrag
Bij Ferocia helpen we organisaties bij het duurzaam inrichten of professionaliseren van hun GRC-functies. Niet met dikke rapporten die in de kast verdwijnen. Wel met aanpakken die werken. We combineren inhoudelijke expertise met verandervaardigheid. Onze aanpak is altijd:
Praktisch – wat werkt in jouw praktijk.
Strategisch – afgestemd op jouw doelen.
Gedragen – ontwikkeld met en vóór jouw mensen.
Onze ondersteuning kent doorgaans vier fasen:
1. Analyse van de huidige GRC-situatie
We starten met een scherpe diagnose: hoe is je GRC nu georganiseerd? Wat werkt goed, wat schuurt? Waar zit overlap of onduidelijkheid? Daarbij kijken we niet alleen naar structuren en processen, maar juist ook naar gedrag, samenwerking en cultuur.
Bijvoorbeeld: In een publieke organisatie bleek dat er wel GRC-rollen op papier stonden, maar dat niemand zich verantwoordelijk voelde. In gesprekken met medewerkers werd duidelijk waarom: “Er is geen ruimte om iets met risico’s te doen, dat is voor ‘de staf’.”
2. Ontwerp van de gewenste inrichting
Op basis van jouw doelen en context ontwerpen we een toekomstbestendige GRC-inrichting. We maken het concreet en werkbaar. Denk aan:
Heldere rolverdeling over de drie lijnen.
Slimme positionering in het organogram.
Duidelijke processen voor risicomanagement, auditing en planning & control.
Koppeling met beleidsvorming, besluitvorming en rapportage.
Een dashboard dat wel wordt gebruikt.
Bijvoorbeeld: Voor een zorginstelling ontwikkelden we een GRC-framework gekoppeld aan de PDCA-cyclus en het jaarplanproces, zodat strategie, risico en performance aan elkaar werden verbonden.
3. Implementatie en verankering
We zorgen dat het ontwerp niet in een rapport eindigt, maar in gedrag. Dat doen we via training, coaching-on-the-job, werkvormen en tools. Maar vooral door samen te bouwen met de mensen die ermee werken. Dat is waar verandering echt ontstaat.
Bijvoorbeeld: In een overheidsorganisatie trainden we teamleiders om risicomanagement in hun kwartaalgesprekken te integreren. Onder andere daardoor kreeg risicobewustzijn een plek in de lijn.
4. Cultuur en gedrag als kritieke succesfactor
Een GRC-model op papier is mooi, maar gedrag bepaalt of het werkt. Daarom besteden we expliciet aandacht aan:
Samenwerking tussen de lijnen
Psychologische veiligheid: mag je fouten bespreken?
Eigenaarschap: voelen mensen zich verantwoordelijk?
Leiderschap: wordt goed voorbeeldgedrag getoond?
Bijvoorbeeld: In een woningcorporatie werkten we met teamleiders aan het bespreekbaar maken van ‘ongemakkelijke risico’s’, zoals grensoverschrijdend gedrag. Dat vergrootte het vertrouwen en effectiviteit van beheersmaatregelen.
Meer weten hoe je de GRC-functies in de praktijk versterkt? Lees hier onze verdiepende blog.
Wat levert het op?
Een goede GRC-inrichting is geen papieren exercitie. Het levert direct en indirect tastbare resultaten op:
Meer grip op risico’s dankzij samenhangende processen en eenduidige verantwoordelijkheden.
Betere besluitvorming omdat informatie sneller, betrouwbaarder en relevanter is.
Hogere effectiviteit van beheersmaatregelen omdat je weet wat werkt, en wat niet.
Meer rust in de organisatie door duidelijkheid over wie waarvoor verantwoordelijk is.
Grotere wendbaarheid door een lerende organisatie die proactief kan inspelen op veranderingen.
Ook relevant voor jouw sector
Onze ervaring strekt zich uit over zorginstellingen, overheidsorganisaties, woningcorporaties, financiële instellingen en commerciële bedrijven. Elk met hun eigen dynamiek, maar vaak met vergelijkbare uitdagingen.
Zo hielpen we een zorginstelling met het ontwerpen van een integrale GRC-structuur gekoppeld aan de PDCA-cyclus. En ondersteunden we een overheidsorganisatie bij het positioneren van hun auditfunctie volgens de GIAS-richtlijn. Ook in commerciële organisaties begeleiden we regelmatig het versterken van de tweedelijnsfunctie en het verbinden van strategie, risico en performance.
Samen aan de slag met jouw GRC functies?
Bij Ferocia combineren we inhoudelijke expertise met veranderkracht. We begrijpen governance, risicobeheersing en compliance, maar weten ook hoe je mensen meekrijgt. We zijn niet alleen adviseur, maar ook opleider, coach en implementatiepartner. En we werken altijd in co-creatie: samen met jouw mensen, voor jouw organisatie.
Wat je van ons mag verwachten:
· Een scherpe analyse en een werkbaar ontwerp.
· Draagvlak door samenwerking en betrokkenheid.
· Oplossingen die echt passen bij jouw organisatie.
· Betrokken professionals met jarenlange ervaring.
· Scherp tarief.
Wij ondersteunen organisaties op vier manieren rondom GRC vraagstukken:
We leiden GRC professionals op tot echte professionals die zelfstandig en met impact kun werkzaamheden kunnen uitvoeren. Denk aan onze postbacheloropleiding Operational Auditing en de cursus IT voor auditors. Theorie en praktijk, met aandacht voor zowel hard controls als soft controls.
Heb je tijdelijk capaciteit nodig voor een specifiek project? Wij leveren ervaren auditors, riskmanagers en compliance professionals die direct inzetbaar zijn.
Wij adviseren over de inrichting van je audit-, risk- en compliance-functie, inclusief tooling, competenties en positionering.
Op zoek naar een nieuwe internal auditor, riskmanager of compliance professional? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur.
Neem contact met ons op!
Sta je voor de (her)inrichting van je GRC-functies? Of wil je weten of jouw huidige inrichting nog toekomstbestendig is? Wij denken graag met je mee over de beste aanpak voor jouw organisatie. Neem eenvoudig contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder.
 | |
 |
De kracht van complete dienstverlening
Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Of je nu tijdelijke capaciteit of expertise zoekt, je team wilt ontwikkelen of een nieuwe collega nodig hebt, wij denken graag met je mee.
