Corporate governance The system by which organizations are directed and controlled. [ISO/IEC-38.500; adapted from Cadbury 1992 and OECD 1999]  

De focus ligt in dit onderdeel op de samenhang met Information Risk Management (IRM). Hiervoor is het echter nog om kort in te gaan op wat Governance, Risk & Compliance (GRC) is, wat de samenhang is met informatietechnologie (IT) zodat vervolgens de samenhang met IRM aan de orde kan komen.

Inleiding

Organisaties zijn opgericht of ontstaan om invulling te geven aan één of meer doelstellingen (objectives). Als organisaties groeien en er arbeidsverdeling ontstaat, moeten ze beheerd en beheerst worden (governance). Als gevolg van een aantal schandalen in grote beursgenoteerde ondernemingen in de jaren tachtig van de vorige eeuw is de aandacht voor ‘governance’ toegenomen. Dit heeft in verschillende landen geleid tot wet- en regelgeving. De Sarbanes-Oxley Act (SOx) in de Verenigde Staten is wellicht het meest bekende voorbeeld. Andere landen hebben een oplossing gezocht in de vorm van een gedragscode (Code of Conduct), zoals het Verenigd Koninkrijk (UK Code on Corporate Governance), Zuid-Afrika (King, inmiddels aangekomen bij versie III) en Nederland (de Nederlandse corporate governance code). De Nederlandse Code heeft als ondertitel: beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. In het streven tot realiseren van de doelstellingen is er altijd het risico dat deze doelstellingen niet gehaald worden. ISO-3100 definieert een risico ook als zodanig. Om deze reden wordt ‘risk management’ ook veelal in één adem genoemd met ‘governance’.Omdat er verschillende vormen van ‘risk management’ zijn, heeft men het in dit geval meestal over ‘enterprise risk management’, afgekort ERM. Risk management dat betrekking heeft op de gehele onderneming. Een belangrijke standaard op het gebied van ERM is het COSO document over ERM dat is opgesteld in navolging van het ‘Integrated Control Framework (ICF)’. ERM omvat onder andere financial risk management, operational risk management, credit risk management, information risk Management (IRM), e.d.. Goede ‘governance’ omvat het voldoen aan wet- en regelgeving. Daarbij moet aantoonbaar zijn dat sprake is van goede ‘governance’. Dit leidt ertoe dat aan ‘governance’ en ‘risk’ vaak een derde term wordt toegevoegd: ‘compliance’.

Management The system of controls and processes required to achieve the strategic objectives set by the organisation's governing body. Management is subject to the policy guidance and monitoring set through corporate governance.