Reading:
Hoe je met process mining risico’s beperkt en zorgt voor process compliance

Image

Hoe je met process mining risico’s beperkt en zorgt voor process compliance

21 februari 2023

 

In een vorig artikel zagen we al dat process mining op vier primaire gebieden een positieve bijdrage kan leveren aan het plannen en uitvoeren van de finance processen binnen een organisatie: werkkapitaal, productiviteit en rapportage, maar zeker ook governance, risk en compliance (GRC).

Zeker in het tijdperk van de AVG en strenge nationale en internationale financiële wetgeving, is compliant zijn belangrijker dan ooit. Verzuim je dit? Dan zijn torenhoge boetes en serieuze reputatieschade het mogelijke gevolg. In dit artikel gaan we dieper in op governance, risk en compliance en laten we zien hoe process mining jouw GRC-beleid naar een hoger niveau tilt en bijdraagt aan een betere process compliance.

Wat is governance, risk en compliance (GRC)?

Governance, Risk en Compliance (GRC) is een gestructureerde manier om processen af te stemmen op bedrijfsdoelstellingen, terwijl je tegelijkertijd risico’s actief beheert en beheerst en aan alle branche- en overheidsvoorschriften voldoet. 

GRC valt uiteen in drie onderdelen:

  • Governance. Hiermee bedoelen we de frameworks en beleidsvoorschriften die gericht zijn op het beheren en monitoren van al je bedrijfsactiviteiten.
  • Risicomanagement. Dit is een gestructureerd proces voor het identificeren, ter sprake brengen en mitigeren van risico’s volgens vaste beleidsprincipes.
  • Compliance houdt in dat je jezelf ervan verzekert dat alle activiteiten en processen binnen je organisatie te verenigen zijn met de algemene en branchespecifieke wet- en regelgeving waar je aan moet voldoen.

Soorten risico’s

Maar met welke soorten en typen risico’s heb je nu allemaal te maken als financieel dienstverlener of organisatie met een grote financiële afdeling? We zetten de belangrijkste kort op een rij.

Digitale risico’s

Digitale risico’s beslaan in het tijdperk van de informatietechnologie een steeds groter deel van het zakelijke risicospectrum. Onder deze noemer kunnen we alle risico’s scharen die met de technische kant van je IT-omgeving te maken hebben. Denk bijvoorbeeld aan slecht functionerende software en hardware, kwetsbaarheden binnen applicaties en afhankelijkheid van technologie die afkomstig is van derde partijen.

ESG-risico’s

Bedrijven worden steeds vaker afgerekend op hun sociaal-maatschappelijke gezicht en duurzaamheidsbeleid. ESG-risico’s voorkomen betekent dat je bijvoorbeeld aandacht besteedt aan het zoveel mogelijk terugdringen van CO2-emissies en waterconsumptie, maar ook aan het betalen van marktconforme lonen, maatschappelijk verantwoord investeren en het creëren en waarborgen van een veilige werkomgeving voor je personeel.

Risico’s van derde partijen

Je werkt ongetwijfeld samen met diverse derde partijen. Denk bijvoorbeeld aan softwareleveranciers en serviceproviders (MSP’s). Die derde partijen hebben steeds vaker toegang tot (een deel van) je data, wat extra risico’s met zich meebrengt op het gebied van data- en privacybescherming. Het controleren en naleven van SLA’s maakt hier ook deel van uit. Dit voorkomt namelijk dat je een verkeerd beeld hebt van de diensten, werkwijzen en garanties die een leverancier of partner biedt.  

Risico’s op het gebied van bedrijfscontinuïteit

Risico’s op het gebied van bedrijfscontinuïteit hebben vooral betrekking op zaken als procesonderbrekingen en -verstoringen, disaster recovery en vendor lock-ins. Is er een scenario voor het omgaan met en oplossen van verstoringen? Is er een back-upbeleid waarmee je in het geval van een storing of geslaagde cyberaanval je IT-omgeving snel weer aan de praat krijgt? En ben je niet te afhankelijk van een of enkele MSP’s of softwareleveranciers?

Compliancerisico’s

Compliancerisico’s zijn de gevolgen van het niet naleven van wet- en regelgeving. Denk bijvoorbeeld aan boetes en extra kosten voor het herinrichten van processen, maar tevens aan reputatieschade. Die komen vaak voort uit het niet goed interpreteren van SLA’s en regelgeving, het ontbreken van inzicht in het eigen compliancebeleid of een slechte scheiding van verantwoordelijkheden op het gebied van governance, databescherming en procesbewaking. 

process compliance

Maverick buying

‘Maverick buying’ is het inkopen van diensten of producten buiten de gesloten contracten. Dit zorgt ervoor dat je weinig inzicht hebt in de veiligheidsstatus van een product of dienst, maar leidt ook tot verborgen kosten.

Verbeter je GRC met process mining

Process mining kan je op diverse manieren helpen bij het verbeteren van governance, risicomanagement en compliance. Tijd om te kijken hoe.

Reconstrueren en verbeteren

Met process mining kun je data uit je systemen en processen – vanaf het overkoepelende strategische niveau tot op het fijnste detailniveau – reconstrueren. Je ziet dus hoe processen en routines op het gebied van governance, compliance en risicomanagement lopen en identificeert makkelijk bottlenecks en onvolkomenheden. Die inzichten vormen het startpunt voor concrete verbetertrajecten. In tegenstelling tot bij een periodieke steekproef, kun je met process mining continu en in realtime de juiste en actueelste gegevens en inzichten ophalen.

Betere interne audits

Process mining maakt gebruik van datavisualisatie. Deze werkwijze komt uitstekend van pas bij het uitvoeren van interne audits. De laatste AI- en ML-technieken gidsen een auditor door het proces en wijzen hem of haar op inefficiënties en potentiële complianceproblemen. Het resultaat? Een diepgravende analyse van het governancebeleid en een MRI-scan van de organisatie in realtime. De inzichten die je hiermee opdoet, helpen je bij het uitbannen van compliancerisico’s.

Tijdige notificaties

De inzichten die process mining oplevert, stellen organisaties in staat om een systeem van tijdige notificaties op te zetten. Wordt er een overtreding gesignaleerd? Of verandert er iets in de wet- en regelgeving dat actie van jouw kant vereist? Dan ontvangen de verantwoordelijke medewerkers automatisch een notificatie of waarschuwing. Zo verklein je de kans dat iemand een complianceprobleem over het hoofd ziet en til je jouw risicomanagement naar een hoger niveau.

process compliance
Een holistische benadering van GRC

Dankzij process mining kun je GRC op een holistische manier benaderen. Omdat process mining gebaseerd is op een grondige analyse van logs die alle handelingen en procesonderdelen nauwkeurig ontleden, verbetert de datakwaliteit enorm. Met de juiste tools breng je die gegevens samen in een centrale omgeving en presenteer je ze in overzichtelijke realtime-dashboards. Zo laat je alle lagen van de organisatie meeprofiteren van de opgedane inzichten en voorspellende analyses die je met behulp van process mining maakt. 

Transparantie in de waarde en kosten van GRC

Met process mining maak je de toegevoegde waarde van GRC inzichtelijk aan de hand van harde data. Je ziet wat het oplevert en kost. Weegt de effectiviteit van je interne beheersing en risicomanagement op tegen de kosten ervan? Als dit niet het geval is, levert process mining de handvatten voor verdere verbetering. 

Meer informatie

Compliant zijn en blijven met wet- en regelgeving en compliancerisico’s minimaliseren is een stuk eenvoudiger en minder tijds- en arbeidsintensief als je de kracht van process mining benut. Bij Eqeep kennen we de kracht van process mining en gebruiken we de werkwijze om snel operationele efficiëntie en een betere proceskennis en compliance te realiseren voor jouw organisatie.

Benieuwd naar wat wij voor jouw organisatie kunnen betekenen? Neem dan gerust vrijblijvend contact met ons op door te bellen naar +31 (0) 30 209 92 70 of te mailen naar info@deepvalue.com. Je kunt ook het contactformulier op onze website invullen. 



0 Comments

Geef een reactie

Related Stories

13 september 2021

Wat is Process Mining

Arrow-up