Dit moet ook aantoonbaar gemaakt worden: aan de aandeelhouders, aan de werknemers, aan de maatschappij.
Organisaties moeten voldoen aan wetten en regels (Compliance). Dit kan risico’s opleveren, als daaraan niet voldaan wordt. Daarom is Risicomanagement nodig. Dat vereist controles, monitoring, rapportage. Governance op corporate niveau is nodig om ervoor te zorgen dat dit alles goed geregeld is en dat het ook echt gebeurt.
Stappenplan om governance te bepalen:
- Bepaal wetten en regels
- Inventariseer aan welke wetten en regels voldaan moet worden; bijvoorbeeld de WBP Wet Bescherming Persoonsgegevens
- Destilleer per wet daaruit de unieke wettelijke (detail)regels; bijvoorbeeld:
- Mag persoonsgegevens alleen verzamelen als daar een goede reden voor is, of als de burger toestemming heeft gegeven
- Mag gegevens niet langer bewaren dan noodzakelijk
- Koppel elke wettelijke regel aan de proces(stap)(pen) waar deze van toepassing is
- Uitgangspunt: de bedrijfsprocessen zijn al beschreven, zie Processen ontwerpen
- Bepaal de risico’s
- Definieer bij elke wettelijke regel het risico als daaraan niet voldaan wordt; meerdere wettelijke regels kunnen hetzelfde risico hebben
- Bepaal voor elk risico wie de risicomanager is
- Bepaal per risico de maatregelen
- Bepaal per risico welke maatregelen nodig zijn
- Bepaal wie daarvoor de controlemanager is
- Definieer de controles
- Bepaal per maatregel welke controles daarvoor uitgevoerd moeten worden en hoe (handmatig, automatisch)
- Met welke frequentie, of per transactie
- Welke afdeling het betreft
- Wie de controles uitvoert
- Wie de controles reviewt
Governance vereist corporate monitoring, controle en rapportage.