Zo versterk je de samenwerking tussen audit, risk en compliance in de praktijk

De risico’s waar organisaties vandaag de dag mee te maken hebben zijn complexer, sneller veranderend en vaak grensoverschrijdend. Denk aan datalekken, ethische dilemma’s, cyberdreigingen, veranderende wet- en regelgeving of het niet behalen van strategische doelstellingen. Stuk voor stuk onderwerpen die raken aan meerdere disciplines tegelijk. Toch zien we in de praktijk dat audit, risk en compliance nog te vaak in afzondering opereren. Als drie losse eilanden, terwijl juist de kracht zit in verbinding.

Want alleen door samen te werken ontstaat het geheel: een goed functionerend GRC-ecosysteem (governance, risk & compliance) dat bijdraagt aan beheersing en waardecreatie. Maar hoe organiseer je dat in de praktijk?

De theorie is helder en de praktijk weerbarstig

In theorie zijn de rollen duidelijk afgebakend. Risk identificeert risico’s en helpt de business met het implementeren van beheersmaatregelen. Compliance toetst op naleving van wet- en regelgeving. Audit toets de (samen)werking van de 1^ste en 2^de lijn. Maar in de praktijk lopen verantwoordelijkheden en werkgebieden geregeld door elkaar.

Wie is er bijvoorbeeld verantwoordelijk voor de borging van gedragscodes? Wie signaleert dat een beheersmaatregel niet alleen niet werkt, maar ook geen draagvlak heeft in de praktijk? En wat gebeurt er als risk en audit verschillende conclusies trekken over een specifiek risico?

Zonder goede afstemming ontstaat ruis. Belangrijke risico’s kunnen over het hoofd worden gezien, of juist dubbel worden beoordeeld. De eerste lijn ervaart het als belastend, verwarrend of zelfs tegenstrijdig. De geloofwaardigheid van de hele GRC-functie komt daarmee onder druk te staan.

Stap 1: Werk vanuit gedeelde doelstellingen

De eerste stap naar betere samenwerking is het formuleren van een gedeelde ambitie. Dus niet: “Audit doet haar werk, compliance doet haar werk en risk ook.” Maar: “Samen zorgen we dat de organisatie aantoonbaar in control is en blijft.”

Dat klinkt vanzelfsprekend, maar is in veel organisaties nog niet of onvoldoende belegd. Vaak omdat iedere functie haar eigen jaarplan heeft, eigen KPI’s en eigen managementrapportages. Het gevolg: versnippering.

Een gedeeld doel helpt om prioriteiten op elkaar af te stemmen, consistent te rapporteren en gezamenlijk richting te geven aan risicobeheersing. Zet dit doel op papier en koppel er concrete indicatoren aan. Denk bijvoorbeeld aan:

·       De mate van integratie van het GRC-instrumentarium

·       Het aantal gezamenlijke risicodialogen met de business

·       De dekking van risico’s over de drie lijnen heen

·       De consistentie en eenduidigheid in rapportages aan bestuur en toezichthouders

Let op: het gaat hierbij niet om nieuwe KPI’s erbij, maar om gezamenlijke KPI’s in plaats van individuele. Zodat alle inspanningen in het teken staan van hetzelfde einddoel: waarde toevoegen aan de organisatie via goede beheersing.

Stap 2: Stem methodieken en taalgebruik op elkaar af

Een tweede struikelblok in de samenwerking zit in de taal en methodiek. Risk gebruikt vaak risk registers of heatmaps. Compliance werkt met normenkaders. Audit gebruikt audituniversums, control frameworks en assurance-matrices. En dat allemaal met hun eigen definities, formats en rapportagestijlen.

Gevolg: begripsverwarring, onvergelijkbare data en lastige afstemming met de business.

Wil je echt als eenheid opereren, dan moet je dezelfde taal spreken. Investeer daarom in gezamenlijke uitgangspunten, bijvoorbeeld:

• Eén risicotaal: maak afspraken over definities en risicocategorieën.

• Gedeelde definities van risico’s, beheersmaatregelen, findings en aanbevelingen.

• Een afgestemde kalender met geplande audits, risk assessments, compliance reviews.

• Eenduidige formats voor rapportages, inclusief visualisaties, risicowaarderingen en aanbevelingen.

Door methodieken op elkaar af te stemmen, verminder je frictie. Bovendien maak je het bestuur, de toezichthouder en de eerste lijn het leven een stuk makkelijker: zij hoeven minder moeite te doen om jouw boodschap te begrijpen.

Stap 3: Faciliteer structureel overleg

Samenwerking ontstaat niet vanzelf. Je moet het organiseren. Toch zien we dat het structureel afstemmen tussen de drie functies vaak nog vrijblijvend is. Of afhankelijk van de goede wil van een paar trekkers.

Zorg daarom voor vaste overlegstructuren. Denk bijvoorbeeld aan:

• Een maandelijks GRC-overleg waarin actuele risico’s, incidenten, signalen uit de business en nieuwe wet- en regelgeving besproken worden.

• Gezamenlijke kwartaalreviews met het lijnmanagement, waarin ook lessons learned uit audits en risk assessments worden gedeeld.

• Een centraal GRC-dashboard waarin alle relevante informatie uit de driehoek samenkomt: risico’s, beheersmaatregelen, bevindingen, compliance-status en voortgang op acties.

Deze overleggen zijn meer dan een informatieronde. Ze zijn een moment om prioriteiten te herijken, dilemma’s te bespreken en gezamenlijk keuzes te maken. Het verhoogt de slagkracht van de hele driehoek en zorgt dat de organisatie beter wordt ondersteund.

Stap 4: Bouw aan onderling vertrouwen en wederzijds begrip

Samenwerking is mensenwerk. En mensen hebben beelden bij elkaars rol. De auditor als politieagent. De compliance officer als regeltjesridder. De risk manager als beroeps-zorgdrager.

Zolang deze stereotypen blijven bestaan, zit echte samenwerking in de weg. Professionals durven dan minder snel hun kwetsbaarheden te delen, signalen van elkaar aan te nemen of op elkaars analyses te bouwen. En dat terwijl juist dat vertrouwen nodig is om echt complementair te zijn.

Daarom is het cruciaal om te investeren in cultuur. Dat kan op allerlei manieren:

• Organiseer gezamenlijke intervisiesessies rondom integrale cases.

• Bied gezamenlijke trainingen of e-learnings aan over GRC-vaardigheden.

• Creëer een ‘GRC-carrousel’ waarbij medewerkers tijdelijk meedraaien in een andere discipline.

• Laat teams samen casussen oplossen tijdens offsites of kennissessies.

Door letterlijk samen op te trekken, ontstaat er meer wederzijds begrip. Professionals krijgen inzicht in elkaars werkwijze, prioriteiten en afwegingen. En dat leidt tot meer vertrouwen en soepelere samenwerking in de praktijk.

Stap 5: Maak het bestuur mede-eigenaar

De samenwerking tussen audit, risk en compliance is belangrijk, maar geen doel op zich. Uiteindelijk gaat het erom dat de 1^ste lijn; managers, directeuren en bestuurders op basis van GRC-informatie beter kunnen sturen. En dat zij vertrouwen hebben in de werking van het systeem.

Betrek het bestuur daarom actief bij de samenwerking:

• Vraag het management om gezamenlijke GRC-doelen goed te keuren.

• Laat het GRC-dashboard onderdeel zijn van de reguliere managementrapportages.

• Organiseer periodiek een gezamenlijke GRC-sessie met de RvC of auditcommissie.

• Bespreek dilemma’s openlijk, ook als audit, risk en compliance het onderling (nog) niet eens zijn.

Het management hoeft niet alles op detailniveau te weten. Maar ze moeten wel het vertrouwen hebben dat de driehoek effectief functioneert. Transparantie over samenwerking helpt daarbij.

Conclusie: samenwerken is een strategische keuze

Een goed functionerend GRC-ecosysteem is geen vanzelfsprekendheid. Het vereist een bewuste keuze om samen te werken, elkaars meerwaarde te benutten en de organisatie echt te ondersteunen bij beheersing en doelrealisatie.

In een wereld waarin risico’s steeds complexer en sneller opkomen, kan geen enkele functie het alleen. Alleen door echt samen te werken ontstaat overzicht, richting en impact. Audit, risk en compliance vormen samen het kompas van de organisatie, mits ze elkaar weten te vinden.

Durf jij kritisch te kijken naar hoe de driehoek in jouw organisatie functioneert? Of zoek je een aanpak die past bij jullie context? We denken graag met je mee.

Hoe Ferocia jouw GRC-functies versterkt

Bij Ferocia geloven we in een integrale samenhang tussen de GRC-functies als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken.

Daarom ondersteunen wij organisaties op vier manieren rondom GRC vraagstukken:

1. Opleidingen en trainingen

We leiden GRC professionals op tot echte professionals die zelfstandig en met impact kun werkzaamheden kunnen uitvoeren. Denk aan onze postbacheloropleiding Operational Auditing en de cursus IT voor auditors. Theorie en praktijk, met aandacht voor zowel hard controls als soft controls.

2. Tijdelijke inzet van auditors en risicoprofessionals 

Heb je tijdelijk capaciteit nodig voor een specifiek project? Wij leveren ervaren auditors, riskmanagers en compliance professionals die direct inzetbaar zijn.

3. Consultancy en inrichting van de auditfunctie

Wij adviseren over de inrichting van je audit-, risk- en compliance-functie, inclusief tooling, competenties en positionering.

4. Werving en selectie

Op zoek naar een nieuwe internal auditor, riskmanager of compliance professional? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur.

Neem contact met ons op!

Wil je direct weten hoe je jouw GRC-functies kunt verbeteren en toekomstbestendig maakt? Wij denken graag met je mee over de beste aanpak voor jouw organisatie. Neem eenvoudig contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder.

De kracht van complete dienstverlening

Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Of je nu tijdelijke capaciteit of expertise zoekt, je team wilt ontwikkelen of een nieuwe collega nodig hebt, wij denken graag met je mee.