Reflektioner efter IIA GRC Conference

Som ett av Sveriges ledande konsultbolag inom GRC är det en självklarhet för oss att engagera oss i branschorganisationer så som IIA och ISACA. Både genom såväl styrelseåtaganden som utskottsarbete, men också genom deltagande vid större event och arrangemang på de arenor vi verkar. I egenskap av Platinum partner (huvudsponsor) till IIA GRC Conference som gick av stapeln den 18–19 oktober i Stockholm fick vi möjlighet att interagera med 514 deltagare från 198 bolag, myndigheter och andra organisationer. Bra omfattning också med knappt 30 % från offentlig sektor, 48 % från privat sektor och ca 20 % från olika konsultbolag. Stort tack IIA för ett väl planerat och genomfört arrangemang!

Interaction for Greater Value

Temat för årets konferens var ”Interaction for Greater Value”, ett tema inom GRC som ligger mig särskilt varmt om hjärtat. Jag är nämligen övertygad om att det riktiga värdet av GRC uppstår först när G:et, R:et och C:et interagerar och tillsammans strävar i harmoni mot de övergripande affärsmålen. Vi har under en tid arbetat med att etablera respektive kontrollfunktion och hitta formerna för hur till exempel Compliancefunktionen ska arbeta, Compliance rollen i förhållande till risk och internrevision, ansvar för informations- och cybersäkerhet, men också arbetssätt för övergripande bolagsstyrning. Att vi arbetar med de här frågeställningarna idag är helt naturligt, vi ska komma ihåg att akronymen GRC inte har alltför många år på nacken och att arbetet med formaliserat och strukturerat GRC-arbete har genomgått en fantastisk mognadsresa. Det gläder mig att tiden nu är mogen för att vi på allvar ska kunna ta nästa steg och börjar fokusera på samverkan, utan att för den sakens skull äventyra respektive funktions oberoende.

Det här är viktigt i synnerhet i ljuset av det fokus som konferensens talare hade på penningtvätt, terrorismfinansiering, korruption och vikten av att beakta etik och moral inom ramen för diskussioner som rör riskaptit och risktolerans. Vad som är rätt enligt lagens mening är i de flesta fall tydligt och ett rättesnöre för de allra flesta verksamheter, men vad som är att anse som etiskt rätt är inte alltid lika självklart. Därtill har vi en tydlig glidning inom området, vad som är etiskt rätt idag, behöver inte vara det om 10 år. Frågor vi bör ställa oss är;

• Kan vi stå för tillexempel de investeringsbeslut vi fattar idag som vi kan komma att behöva leva med i decennier?
• Hur ska vi som medarbetare, konsumenter, medborgare och GRC-representanter tänka och agera i dessa frågor?
• Vilken är vår roll och vilket ansvar har vi?

Svaren kanske inte är givna, men för mig är det åtminstone självklart att de här är ytterligare exempel på områden som kräver samverkan och samarbete.

Ansvarslinjer

Slutligen så deltog jag i flera spännande samtal rörande ”de tre försvarslinjerna”, huruvida det är ett effektivt sätt att anamma GRC och om det möjligen motverkar eller rentutav förhindrar samverkan. Själv tror jag att principen i grunden är klok, men talar hellre i termer av ”ansvarslinjer”, då risk enligt mig inte är något vi ska försvara oss emot samt att själva termen ”försvar” för mig förespeglar en viss grad av passivitet. Jag uppmuntrar till diskussion kring hur roller utrustas med olika typer av ansvar för att i slutändan säkra organisationens ansvarstagande utifrån ägare och styrelsens övergripande mål, därav följer jag utvecklingen med entusiasm vad gäller ”combined assurance” – där kontrollfunktioner på olika sätt interagerar och samverkar för att ge styrelse, ledning och utskott en rättvisande bild av aktuella risker och risknivåer.

Om inte förr, så ses vi på ISACA-dagen den 8 november som vi naturligtvis sponsrar!

Martin Bohlin, VD Transcendent Group Stockholm!