OVER
GRC-BOXX
Governance
Governance verwijst naar het interne proces waarmee beleid wordt gemaakt en besluitvorming wordt uitgevoerd door de leidinggevenden en verschillende managementniveaus binnen een organisatie.
Governance als Proces
De GRC-Boxx faciliteert Raden van Commissarissen en hoger management om hun processen te structureren en te documenteren (agendapunten, besluiten, acties, risico’s). Dit geeft toezichthouders de mogelijkheid om zich beter te beschermen tegen aansprakelijkheid.Transparantie
De GRC-Boxx ondersteunt de dialoog tussen verschillende interne raden en stakeholders en eventueel ook externe toezichthouders en stakeholders. Het documenteren van deze besluitvormingsprocessen creëert een cultuur van transparantie en verantwoordelijkheid.Single Source of Truth
De GRC-Boxx bouwt een collectief geheugen op en wordt de enige bron van waarheid, over belangrijke zakelijke beslissingen, risico’s en acties.Contractbeheer
Contracten en overeenkomsten kunnen digitaal worden gearchiveerd in de GRC-Boxx. Een beoordelingsproces maakt het mogelijk deze tijdig te herevalueren of opnieuw te onderhandelen, waardoor de betrekkingen kunnen worden verbeterd/beheerd, de financiële voorwaarden van een contract kunnen worden verbeterd en contractuele risico’s worden geminimaliseerd.Inkoop
Organisaties zijn uniek en dat geldt ook voor hun inkoopproces. De GRC-Boxx omarmt dit door organisaties in staat te stellen hun inkoopprocessen te creëren en te optimaliseren. Op deze manier kunnen afzonderlijke maatwerkprocessen per inkoop-type worden toegepast en goed worden gedocumenteerd.Risicobeheer als proces
De GRC-Boxx bevat een hoogwaardig risicobeheer proces:- Iedereen binnen de organisatie kan een risico identificeren en melden
- Risicomanagers krijgen een melding om het risico te beoordelen, te classificeren en te beslissen over de vervolgstappen
- Relevante beheersmaatregelen kunnen worden gecreëerd en geïmplementeerd
- Taken en acties kunnen worden gekoppeld
- Risico’s blijven in zicht totdat ze zijn beoordeeld en gemarkeerd als “managed”.
Incidentbeheer
De GRC-Boxx faciliteert incidentregistratie en de uitstippeling van vervolgacties.- Iedereen binnen de organisatie kan een incident identificeren en melden
- Incidentmanagers krijgen een melding om het incident te beoordelen, te classificeren en te beslissen over de vervolgstappen.
- Incidentoplossing is maatwerkproces van de organisatie dat per type incident kan worden toegepast (datalek, beveiligingsincident, calamiteit/ramp)
- Taken en acties kunnen worden gekoppeld
Risicobeheer
Risicobeheer gaat over het vermogen om op effectieve en kostenefficiënte wijze risico’s te beperken die bedrijfsactiviteiten kunnen belemmeren of de concurrentiepositie van uw bedrijf kunnen bedreigen.
COMPLIANCE
Compliance verwijst naar het proces van naleving van vereisten die zijn afgeleid van interne richtlijnen, beleid, of externe wetten, voorschriften, normen en overeenkomsten.
Compliance als Proces
De GRC-Boxx stelt organisaties in staat om:- Compliance-documentatie (bijv. de beschrijving van uw informatiebeveiligingsbeheersysteem) en de volledige compliance (beheersmaatregelen, bewijsmateriaal, audits, enz.) te organiseren en bij te houden;
- Compliance-gerelateerde procedures te formaliseren en digitaliseren, die daarna herhaaldelijk kunnen worden uitgevoerd en gecontroleerd;
- Betrouwbaar bewijs te leveren; bijvoorbeeld, registraties met aanpasbare verzamelperiodes waarin belanghebbende en/of teams bewijsmateriaal en/of bevindingen kunnen uploaden.
Normenkaders
De GRC-Boxx is een “standard-agnostic” oplossing. Het ondersteunt alle wet- en regelgeving, voorschriften en normen (intern en extern, nationaal en internationaal, branchespecifiek of sectorgebonden) die kunnen worden teruggebracht tot eisen.
Eisen kunnen worden gemarkeerd als van toepassing /niet van toepassing en gekoppeld aan beheersmaatregelen, waarvoor bewijsmateriaal zal worden verzameld.
In een digitale ecosysteem kunnen eisen ook worden gedelegeerd aan andere delen van de organisatie (afdelingen, suborganisaties of dochterondernemingen).
Beschikbare Normenkaders
De GRC-Boxx bevat en ondersteunt een gestaag groeiend aantal normenkaders, zoals:
| AICPA – SOC2 | ISO 9001 | IATF 16949 | EU – GDPR |
| CIS – CSC | ISO 14001 | VDA ISA | EU – MDR |
| COBIT 5 | ISO 27001 | VDA TISAX | NL – BIO |
| NIST CSF | ISO 45001 | NL – NEN7510 | |
| NIST SP.800 | ISO 50001 | PCI DSS | NL – NEN7512 |
Continue Verbetering
De GRC-Boxx ondersteunt een Plan-Do-Check-Act cyclus voor continue verbetering van alle compliance-elementen (beheersmaatregelen & bewijs), maar ook een eenvoudigere terugkerende review-cyclus.
Andere verbeteringscycli kunnen en zullen worden toegevoegd wanneer dat nodig is.
Interne / Externe Audits
De GRC-Boxx architectuur maakt het mogelijk om eisen te koppelen aan besturingselementen die op hun beurt gekoppeld zijn aan bewijs. Dit maakt het uiterst nuttig voor interne of externe audits.
Een auditor beslist over de reikwijdte van de audit en kan vervolgens de links naar het geleverde bewijsmateriaal volgen.
GDPR DSGVO AVG
De GRC-Boxx wordt geleverd met ingebouwde ondersteuning voor de Algemene Verordening Gegevensbescherming (AVG), waaronder:
- AVG-Wizard om snel compliant te worden en te blijven
- Documentbeheer en bewijsverzameling
- Administratie van verwerkingsactiviteiten
- Verzoeken van betrokkenen met aanpasbare procedures
- (Contract- en) overeenkomstbeheer
- Archivering van toestemmingsformulieren.
PS. De AVG module kan, indien niet nodig, worden verborgen.
Normen in de Supply-Chain
GRC-Boxx can efficiently manage your compliance requests:- Select the recipients
- Ask questions or request a document to be returned
- Include a document template (optional)
- Send the request(s)
- Monitor the progress, possibly sending reminders
- Approve responses, or resend rejected ones
Audits als Proces
De GRC-Boxx ondersteunt zowel interne als externe audits.
Bevindingen, aanbevelingen en beoordelingen uit de audit kunnen worden geregistreerd. In het geval van een non-conformiteit, kunnen corrigerende maatregelen worden gestart en worden gemonitord tot de voltooiing, wanneer een heraudit kan worden uitgevoerd.
Interne Audits
Binnen een organisatie kunnen interne audits worden uitgevoerd om de efficiëntie van eigen procedures te verifiëren en te controleren op mogelijke tekortkomingen. Zodat er wordt gezorgd voor compliance met wet- en regelgeving en normen in een meer informele omgeving en met lagere belangen.
GRC-Boxx audits kunnen worden gemaakt voor:
- Eisen van een norm (in geheel of een deel daarvan)
- Besturingselementen (alle of een selectie daarvan)
- Bedrijfsmiddelen
- Bewijsdocumentatie, zoals het testen van een proces tegen de eisen die van toepassing zijn
Externe Audits
Externe audits (ook wel third-party audits genoemd) worden uitgevoerd door onpartijdige auditors en kunnen objectieve beoordelingen van organisatorische procedures worden genoemd en bieden transparantie en vertrouwen aan belanghebbenden dat uw organisatie echt een effectief een compliant beheersysteem heeft.
Externe auditors kunnen worden uitgenodigd voor de GRC-Boxx van een organisatie en krijgen rechten voor een specifieke audit en alle bijbehorende gegevens. Het is ook mogelijk om rechten voor continue auditing toe te kennen aan een externe auditors, zodat hun aanwezigheid ter plaatse voor de audit niet meer noodzakelijk is.
AUDITS
Audits geven geloofwaardigheid aan de compliance-verklaringen van een organisatie. Audits kunnen de katalysator zijn achter het volgen en verbeteren van operationele processen.
