Sådan måler du effektivitet i GRC

Folk søger på underlige ting på internettet. Én af de søgninger, der dukkede op i vores analyser for nylig, er: “Er GRC gratis?”

Publiseringsdato: 
4/3/25
Jacob Høedt Larsen
PR & PA

Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.

Læs mere fra forfatteren

Det korte svar er: “Nej, GRC, databeskyttelse og informationssikkerhed er ikke gratis.”

Det lidt længere svar er, at mange organisationer og virksomheder kunne bruge ressourcerne på informationssikkerhed og databeskyttelse bedre. Det kræver blot en ny måde at tænke på: I stedet for at fokusere på input i GRC-organisationen, skal man være optaget af output.

Mange kigger på input

Desværre ser mange organisationer primært på input - altså de ressourcer, der bliver brugt i GRC-funktionerne. Det skyldes nok, at både databeskyttelse og informationssikkerhed bliver set som et cost-center.

Derfor er fokus på at reducere omkostninger mest muligt på:

  • Lønninger
  • Efteruddannelse
  • De systemer og teknologier, som understøtter arbejdet
  • Eksterne rådgivere
  • Træning af medarbejdere

Vi støder ofte ind i virksomheder, hvor ledelsen siger til medarbejderne: “I kan godt klare jer med Excel. Det er gået fint indtil nu.”

Og sådan sparer de tilsyneladende penge på teknologi og bruger dem i stedet på lønninger til en masse unødvendig administration i tunge Excel-ark.

Det svarer til at sige til en tømrer, at han jo har klaret sig fint med sin hammer, og at der ikke er grund til at købe en sømpistol.

Fokus på output

Tømrermesteren ved nemlig godt, at det vigtigste er hurtigt at få sømmet nogle gipsplader på vægge og lofter, så han kan fakturere opgaven og få nogle penge ind. Det vigtige er ikke at spare 4.000 kr. på en sømpistol.

Sådan er det desværre ikke altid, når ledelsen kigger på GRC-funktionen, og det er der en helt specifik grund til:

Ledelsen aner ofte ikke, hvad informationssikkerhedens eller databeskyttelsens version af en opsømmede gipsplader er.

Det skal du hjælpe dem med ved at gøre GRC forretningsnær. Du skal forstå forretningsstrategien, finde ud af, hvordan du kan understøtte den og kommunikere det til ledelsen.

De tre trin har vi heldigvis skrevet en artikel om. Du finder den lige her.

Effektivitet = output / input

Hvis du kan gøre det klart, hvad du leverer til forretningen (output), gerne i kroner og øre, så bliver det langt lettere at få fokus over på den generelle formel:

Effektivitet = output / input

Så slipper du for, at ledelsen hele tiden kigger på, hvordan omkostningerne i din afdeling kan reduceres.

I stedet bliver samtalen: Hvordan leverer vi det strategisk vigtige output mest effektivt?

📰 Bliv opdateret på GRC

Få historier som denne direkte i din indbakke. Fra GDPR til cybersikkerhed – vi holder dig opdateret på, hvad der former den digitale fremtid.

👉 Tilmeld dig nyhedsbrevet

Måske er dette også noget for dig

Hvad er et GRC-system? En enklere vej til compliance

Skal vi tjene penge på vores data? Og andre historier fra sommerlandet

GDPR har givet store økonomiske gevinster