Zo versterk je de samenwerking tussen audit, risk en compliance

In veel organisaties opereren de functies audit, risk en compliance nog te veel als losse eilanden. Terwijl de risico’s waarvoor zij gezamenlijk verantwoordelijk zijn; denk aan datalekken, integriteitskwesties of het missen van strategische doelstellingen, juist vragen om nauwe samenwerking.

Hoe zorg je ervoor dat deze driehoek meer wordt dan de som der delen?

In theorie zijn de taken helder: risk identificeert risico’s, compliance bewaakt de naleving en audit toetst de werking van beheersmaatregelen. Maar in de praktijk ontstaan er vaak grijze gebieden. Wie pakt wat op?

Zonder goede afstemming ontstaan blinde vlekken, dubbel werk en soms zelfs onderling wantrouwen. Het gevolg; in plaats van een geïntegreerd GRC-kader krijg je een versnipperd systeem van checks zonder balans.

1. Werk vanuit gedeelde doelstellingen

De eerste stap naar samenwerking is het formuleren van een gemeenschappelijke ambitie. Niet: “Iedere functie doet zijn werk goed”, maar: “Samen zorgen we dat de organisatie in control is en blijft.”

Zet hiervoor een gezamenlijk GRC-doel op papier, gekoppeld aan concrete KPI’s zoals:

• mate van integratie van ons GRC-instrumentarium;

• dekking van risico’s over de drie lijnen heen;

• mate van consistentie in rapportages; en

• aantal gezamenlijke risicodialogen met de business.

Zo voorkom je dat elke functie zijn eigen kant op beweegt wat verwarrend voor de 1^ste lijn is.

2. Stem werkwijzen op elkaar af

Audit gebruikt audituniversums. Risk werkt met risk registers. Compliance hanteert normenkaders. Iedereen zijn eigen vocabulaire en methodiek.

Investeer daarom in gezamenlijke kaders en formats:

• Eén risicotaal (bijvoorbeeld op basis van COSO ERM of ISO 31000)

• Gedeelde definities van risico’s, controls en findings

• Een afgestemd planningsoverzicht van reviews, audits en assessments

Door eenduidig te werken, ontstaat ruimte voor vertrouwen en efficiency waardoor de impact op de 1^ste lijn wordt vergroot.

3. Faciliteer structureel overleg

Afstemming is geen kwestie van af en toe “even bellen”. Het vraagt om structuur. Denk aan:

• een maandelijks GRC-overleg waarin risico’s, incidenten en bevindingen worden gedeeld;

• gezamenlijke kwartaalreviews met de lijn; en

• één centraal GRC-dashboard voor bestuur en toezichthouder.

Deze overlegmomenten zijn niet alleen bedoeld voor informatie-uitwisseling, maar vooral voor het versterken van de gezamenlijke advieskracht.

4. Bouw bruggen in de cultuur

Misschien wel de belangrijkste factor: het onderlinge vertrouwen. Audit wordt soms als ‘politieagent’ gezien, compliance als ‘de regels’, risk als ‘de zeurpiet’. Dat beeld helpt niemand verder.

Organiseer daarom intervisie, gezamenlijke trainingen of zelfs een interne ‘GRC-carrousel’ waarin professionals tijdelijk meedraaien bij een andere discipline. Zo groeit wederzijds begrip, en dat vertaalt zich in soepelere samenwerking zodat de 1^ste lijn maximaal ondersteunt wordt.

Conclusie:

Sterke samenwerking tussen audit, risk en compliance is geen nice-to-have, maar een randvoorwaarde voor effectieve beheersing. Zeker in een tijd waarin risico’s complexer worden en de druk op verantwoording toeneemt. Durf dus kritisch te kijken naar de manier waarop de driehoek binnen jouw organisatie functioneert. Want pas als je samenwerkt aan het geheel, voorkom je dat je verdwaalt in de losse delen.

Wil je een concreet stappenplan om GRC-samenwerking te versterken? Of sparren over hoe jouw organisatie dit aanpakt? Laat het ons weten – we denken graag met je mee.