GRC uden bureaukrati: Sådan undgår du at sande til i et inferno af papir

Her er vores bud på et svar.

Men først: GRC, databeskyttelse og informationssikkerhed handler i høj grad om at dokumentere sine risici og compliance-initiativer, samtidig med, at man håndterer dem. 

Vi taler nogle gange om, at GRC bliver en papir-tiger, fordi arbejdet med dokumentation fylder for meget i forhold til det rent faktisk at forbedre sikkerheden og databeskyttelsen.

Dokumentationen er vigtig - men sikkerheden og databeskyttelsen er mindst lige så væsentlig.

Her er 4 områder, hvor du kan sætte ind for at sikre, at bureaukratiet og papirtigeren ikke får overtaget.

Råd 1: Få styr på KPI’er og roller - især samarbejdet med ledelsen

Mange af os bruger oceaner af tid på at håndtere samarbejdet med ledelsen om informationssikkerhed og databeskyttelse.

Først forsøger vi at afkode, hvordan vi kan bidrage til virksomhedens eller organisationens strategi. Læs mere om det i artiklen: 3 skridt til at gøre GRC strategisk.

Dernæst knokler vi for at holde ledelsen opdateret og informeret, så de kender risikobilledet (og kan tilføre de nødvendige ressourcer). Du kan lære mere om at rapportere til ledelsen her.

Få styr på, hvad ledelsen præcist forventer af dig og din organisation - så sparer du mange fortvivlede timer, hvor du forsøger at gætte dig frem.

Råd 2: Få et system - som kan erstatte Excel og mail

Full disclosure. Wired Relations er en GRC-løsning til håndtering af informationssikkerhed og databeskyttelse. 

Vi har lavet det, fordi vi selv sandede til i Excel-ark, e-mails og kalender-invitationer.

Hvis du skal undgå at sande til, har du brug for to ting:

1. Et samlet overblik over dine compliance-initiativer og status: Det vil sige systemer, leverandører, processer, risikobillede og kontroller, og
2. En god struktur, der sikrer, at du får løst alle de store og små opgaver på en struktureret måde.

Det er vores erfaring, at det ikke kan lade sig gøre uden et dedikeret system (og ja, vi er selvfølgelig farvede)

Læs mere i vores e-bog om at gøre compliance enkel:

Råd 3: Automatisering af dokumentationen - der ligger en gigantisk besparelse og venter

Dokumentation fylder meget i compliance- og risikostyringen. Det er også helt essentielt, at du dokumenterer.

Det er der flere grunde til:

• Myndighederne forlanger det,
• Det er grundlaget for at du kan holde din ledelse up-to-date og
• Hvis du ikke dokumenterer dine indsatser, kan de ikke overleveres til en ny medarbejder, hvis det bliver nødvendigt.

Det er altid nemmest at dokumentere risikovurderinger, leverandørtilsyn og kontroller, når man laver dem. De fleste GRC-systemer sikrer, at det sker helt automatisk, og det sparer uendelig megen tid.

Råd 4: Brug en god task manager - meget bureaukrati ligger i hovedet

Der er rigtigt mange opgaver i en afdeling, der håndterer databeskyttelse og informationssikkerhed. Blot for at nævne nogle:

• Risikovurderinger skal genbesøges,
• Der skal føres tilsyn med leverandørerne,
• Kontroller skal gennemføres og dokumenteres.

Hvis du skal holde styr på dem alle sammen i hovedet, sker der to ting. Du glemmer halvdelen, og du bliver stresset.

En god Task Manager kan sikre, at du får gjort alt det, der skal gøre - og samtidig slipper for stress.