}

Blogginlägg

Specialverktyg eller GRC-plattform - så väljer ni rätt

woman-looking-at-ipad

När organisationer utvärderar GRC-verktyg hamnar diskussionen ofta på funktionalitet — antal moduler, dashboards och arbetsflöden. Det är en naturlig startpunkt. Men det är sällan där det avgörande valet ligger. Valet står mellan ett verktyg för specialisten eller för hela verksamheten. För många organisationer är det där som styrningen verkligen får genomslag.


Organisationer som ska välja GRC-verktyg ställs ofta inför samma dilemma. I den ena vågskålen: specialiserade verktyg som är snabba att komma igång med och relativt enkla att implementera. I den andra vågskålen: omfattande enterprise-plattformar som erbjuder djup funktionalitet, med avancerade arbetsflöden och stor möjlighet att konfigurera.

Det verkliga dilemmat

Många organisationer utvärderar GRC-verktyg utifrån kriterier som inte alltid fångar det som avgör om lösningen faktiskt fungerar i praktiken. Funktionalitet och dashboards är viktiga, men det avgörande är sällan hur många funktioner ett verktyg har. I samband med valet av GRC-verktyg är det viktigt att ta in hela styrningsperspektivet.

Här finns det utmaningar i båda ändarna av spektrumet. Många GRC-system på marknaden är optimerade för specialistfunktionen. De fungerar väl för ett mindre expertteam med tydligt avgränsade processer. Samtidigt riskerar omfattande GRC-plattformar att skapa ny administrativ komplexitet istället för bättre styrning.

Det verkliga dilemmat handlar med andra ord inte bara om enkelhet kontra funktionalitet, utan om vilken typ av styrning organisationen försöker möjliggöra med GRC-verktyget. 

Vilken typ av styrning behöver organisationen?

Olika organisationer med lika många anställda kan ha helt olika behov, beroende på hur styrningen fungerar idag. En organisation där arbetet fortfarande är utspritt på manuella processer och separata strukturer kan snabbt bli överväldigad av ett omfattande enterprise-system. Samtidigt kan en organisation med växande komplexitet växa ur enklare punktlösningar.

Fyra frågor hjälper er att förstå var ni befinner er - och vad ni faktiskt behöver:

  1. Hur mycket av arbetet sker fortfarande manuellt? Och hur tydligt är ansvar och uppföljning idag? Ju mer fragmenterat och personberoende arbetet är, desto viktigare är det att välja en lösning som skapar struktur utan att kräva för mycket av organisationen från start.

  2. Hur många domäner behöver samordnas? Om risk, informationssäkerhet och internkontroll hanteras i separata strukturer idag men ska hänga ihop imorgon, förändras kraven på lösningen. Det är ofta här punktlösningar börjar skapa manuella överlämningar och bristande överblick.

  3. Vad är tidshorisonten? Snabb lösning för ett specifikt regelverkskrav eller en struktur att växa i? Det avgör om enkelhet eller skalbarhet väger tyngst — och risken för att behöva byta system redan om ett par år.

  4. Hur ser styrningsstrukturen ut idag? Är ansvar tydligt fördelat, uppföljning systematisk och arbetet strukturerat — eller hanteras mycket fortfarande manuellt och personberoende? En organisation som börjar bygga struktur kan bli överväldigad av en stor plattform, samtidigt som den snabbt kan växa ur ett mindre verktyg.

Om svaren pekar mot att styrningen behöver nå bortom specialistfunktionen — till linjechefer, processägare och ledning — förändras också vad lösningen faktiskt måste klara av.

Styrning bortom specialistfunktionen

Många verktyg fungerar bra så länge arbetet stannar hos specialistfunktionen. Specialverktygen inom GRC är optimerade för experter med hög domänkunskap och relativt avgränsade arbetsflöden. Det fungerar ofta bra så länge arbetet drivs av ett mindre team.

I praktiken är styrning sällan en isolerad specialistfråga. Risker behöver ägas av verksamheten. Kontroller behöver följas upp i linjen. Åtgärder behöver prioriteras av chefer och processägare. Ledningen behöver kunna förstå vad som faktiskt kräver beslut och uppföljning. Organisationen behöver ett arbetssätt där styrningen fungerar även för personer som inte arbetar med GRC på heltid.
Det som binder ihop allt detta är risken. När risk får styra vad som prioriteras blir det tydligt vad som faktiskt kräver uppföljning och beslut — oavsett vilken funktion som äger frågan.

Det är här skillnaden mellan en GRC-plattform och ett specialverktyg blir tydlig. Det handlar om hur väl lösningen fungerar organisatoriskt, exempelvis genom att arbetet:

  • Fördelas ut till linjechefer och processägare.
  • Fungerar över flera funktioner samtidigt.
  • Påverkar prioriteringar och beslut i verksamheten.
  • Skapar gemensam uppföljning för ledning och styrelse.
  • Integreras i den löpande styrningen.

När styrningen fastnar i administration

Hittills har vi belyst vad som ofta faller utanför utvärderingen — vad lösningen faktiskt kommer att kräva organisatoriskt över tid. En alltför begränsad punktlösning kan skapa fragmenterade arbetssätt, manuell samordning och flera separata processer som blir svåra att hålla ihop. Samtidigt kan ett alltför tungt enterprise-system skapa andra problem.

Risken finns att lösningen blir så komplex att plattformen i sig börjar kräva omfattande administration, specialistkompetens och intern förvaltning.

I värsta fall riskerar organisationer att skapa ny administrativ komplexitet istället för bättre operativ styrning. Då riskerar styrningsarbetet att handla mer om att administrera plattformen än att driva verksamheten framåt. Det gäller särskilt när implementationen kräver:

  • Omfattande konsultinsatser.
  • Långa implementationsprojekt.
  • Avancerad teknisk konfiguration.
  • Stora specialistteam för förvaltning.
  • Omfattande manuellt arbete för att hålla strukturen uppdaterad.


matris


Rätt lösning för organisationen

Ett specialverktyg kan vara helt rätt val när behovet är tydligt avgränsat, arbetet drivs av ett litet expertteam och målet är att snabbt hantera ett specifikt regelverkskrav. Då är enkelhet och snabb implementering faktiska fördelar, inte kompromisser.

Behovet av en plattform uppstår när styrningen behöver fungera bortom den funktionen. När risker ska ägas av verksamheten, kontroller följas upp i linjen och ledningen behöver en samlad bild - då räcker inte ett verktyg optimerat för specialisten. Inte för att det saknar funktioner, utan för att det är byggt för fel användare.

Det viktigaste valet är därför inte mellan enkelt och avancerat. Det är mellan ett verktyg som löser ett avgränsat problem idag och en struktur som kan bära styrningsarbetet när organisationen växer. En struktur där risk binder samman ansvar, kontroll och uppföljning — och fungerar lika bra när fler delar av organisationen behöver vara med.

Vill du höra hur andra organisationer bygger styrning som håller när kraven ökar? Lyssna till vårt webinar Resilience Insights där experter i branschen delar med sig av sina insikter.

Studioevent: Resilience Insights - Riskhantering och styrning i en osäker värld.