Een paar jaar geleden was ESG een hot topic. Elke organisatie werkte steeds meer aan duurzaamheidsdoelstellingen, Ecovadis-scores werden graag (of met tegenzin als ze minder positief waren) gedeeld en er waren talloze berichten over zonne-energie, elektrificatie van het wagenpark en maatschappelijke verantwoordelijkheid.
Nu zien we dat de aandacht voor ESG afneemt. Minder media-aandacht, minder hype. Komt dat omdat er geen behoefte meer is aan ESG-gerelateerde activiteiten? Absoluut niet. Maar, en dit is een belangrijke observatie, er vindt een verschuiving plaats in de geopolitieke aandacht, wat niet echt helpt. De ESG-drijfveren zijn er nog steeds, maar zijn nu meer gebaseerd op directe financiële voordelen en duurzaamheid voor de organisatie zelf, in plaats van de noodzaak om een extern punt te maken. En eerlijk gezegd is dat niet helemaal een slechte ontwikkeling.
Tegelijkertijd zien we dat GRC (Governance Risk Compliance) verschuift van een saaie, oninteressante hoek waar eigenlijk niemand wilde zijn, naar een hot topic. De drijfveren hiervoor zijn een grotere focus op naleving van regelgeving als gevolg van een toename van het aantal
Een historisch perspectief
In het begin behandelden bedrijven Governance, Risk en Compliance als aparte werelden: de juridische afdeling hield zich bezig met regelgeving en vertelde andere afdelingen wat ze wel en niet mochten doen, de financiële afdeling hield toezicht op de controls en financiele KPI’s en de beveiligingsafdeling probeerde stilletjes bedreigingen buiten de deur te houden. Elke functie schreef zijn eigen regels, gebruikte zijn eigen tools en rapporteerde in zijn eigen taal. Dit betekende dat het management slechts fragmenten van het werkelijke risicobeeld zag.
Naarmate de regelgeving toenam en de globalisering vorderde, begonnen deze silo’s te barsten; schandalen, boetes en reputatieschade toonden aan dat geïsoleerde inspanningen geen partij waren voor complexe, onderling verbonden risico’s.
Als reactie hierop begonnen organisaties deze onderdelen te verweven tot één enkel kader: governance om de richting en verantwoordelijkheid vast te stellen, risicobeheer om onzekerheden te identificeren en aan te pakken, en compliance om ervoor te zorgen dat het gedrag binnen de wettelijke en ethische grenzen bleef. Dit geïntegreerde GRC-verhaal beloofde een aantal dingen die leidinggevenden wilden: minder onaangename verrassingen, betere beslissingen en een sterkere basis voor langetermijn groei en vertrouwen.
Leveranciers en consultants zetten dit idee om in platforms en methodologieën, en de markt voor GRC-oplossingen begon te groeien, met prognoses die nu veel waarde en een jaarlijkse groei met dubbele cijfers voorspellen.
IT komt in beeld
Vervolgens herschreef de digitale transformatie het script: datavolumes explodeerden, processen verplaatsten zich naar online en zelfs traditionele industrieën werden softwaregestuurd. Risico’s die zich vroeger langzaam ontwikkelden, zoals fraude, operationele storingen of inbreuken op de privacy, begonnen zich met netwerksnelheid te verspreiden, waardoor organisaties gedwongen werden om op technologie, analytics en automatisering te vertrouwen om bij te blijven.
Deze golf maakte van GRC meer dan een controlefunctie; het werd een manier om door disruptieve veranderingen te navigeren, met geavanceerde tools die gebruikmaken van analytics en, in toenemende mate, AI om opkomende risico’s te scannen, compliance-taken te stroomlijnen en snellere, datagestuurde beslissingen te ondersteunen.
Binnen dit bredere verhaal evolueert IT van ondersteunende rol naar hoofdrol: elk strategisch initiatief – cloudmigraties, werken op afstand, SaaS-implementatie, AI – draait op technologie en brengt dus technologische risico’s met zich mee. GRC komt naar voren als de discipline die cyberbeveiliging, gegevensbescherming en technologische operaties terugkoppelt naar het bestuur, de risicobereidheid en de complianceverplichtingen van de organisatie. Bedrijfscontinuïteit is essentieel, zoals we hebben gezien bij een aantal grootschalige storingen in de afgelopen 12 maanden.
Frameworks, controles en beleidsregels die vroeger alleen in beveiligings- of infrastructuurteams werden besproken, werden onderwerpen voor de directie, omdat leidinggevenden de zekerheid wilden hebben dat digitale projecten voldeden aan regelgeving zoals de AVG of NIS2 en dat de risico’s binnen aanvaardbare grenzen bleven.
Is GRC een blijvertje?
Gartner publiceerde eind vorig jaar een artikel over de bredere voorspellingen voor GRC-functies. In deze voorspelling zien we een overzicht van verschillende GRC-aspecten en -functies op hun eigen Hype Cycle. Interessant is dat Gartner van mening is dat veel van de initiatieven zich al in de neerwaartse fase bevinden, door de teleurstelling heen, en dat ze de komende jaren het plateau van productiviteit zullen bereiken. In Europa wordt dit waarschijnlijk versneld door een aantal regelgevingen die van kracht worden, zoals de Digital Services Act en NIS2. Een veel voorkomende misvatting is dat een groot aantal organisaties niet door deze ontwikkelingen wordt beïnvloed omdat ze niet op hen van toepassing zijn. De realiteit is dat grotere organisaties, bijvoorbeeld vanwege het supply chain-principe, nog steeds naleving eisen van kleinere spelers. Hierdoor wordt GRC plotseling een aandachtspunt voor het management van elke organisatie.
Marcel Lücht heeft 30 jaar professionele ervaring in ICT/Telecom en cyberbeveiliging. Hij is principal consultant bij Kazarma Consulting
