GRC en IRM

GRC en IRM houden dus nadrukkelijk verband met elkaar. Dit verband komt het meeste tot uitdrukking in de volgende aspecten: • Het overkoepelende beleid op het gebied van GRC en dan ook met name: o de strategie op het gebied van GRC en specifiek risicomanagement o de daaraan verbonden (gedrags)aspecten: risicogedrag (mijdend - neutraal - zoekend), risk attitude (ook wel risicostrategie genaamd) en ‘risk appetite’ versus ‘risk tolerance’ Het gaat te ver om hier op deze plaats diep op deze problematiek in te gaan. Hier staat een voorbeeld hoe risicogedrag kan doorwerken. Hier een voorbeeld van hoever een dicussie over begrippen (i.c. appetite versus tolerance) kan gaan. o de gelaagdheid in risicoanalyses (macro-, meso-, microniveau) • De noodzaak om vanuit efficiency- en effectiviteitsredenen te werken met een ‘Genormaliseerd Organisatiebreed Normenkader (GON)’; op deze pagina wordt nader op dit GON ingegaan; • Een eenduidige management- of Plan-Do-Check-Act cyclus; deze cyclus wordt ook door ISO binnen de verschillende domeinen van (risico) managementsystemen en de bijbehorende normen toegepast, zoals in: o ISO-9000 serie over kwaliteitsmanagement; o ISO-27000 serie over (het management systeem voor) informatiebeveiliging o ISO-22301 over (het management systeem voor) business continuity management • Als onderdeel van de ‘check’ een eenduidige benadering over de wijze waarop (interne) controle en monitoring moet worden ingericht, deze komt hier nader aan bod. Op 15 mei 2013 is ISO-27014 Information technology — Security techniques — Governance of information security als nieuwe standaard uitgebracht. Deze standaard schept een deels nieuw licht op het onderwerp. De standaard volgt in het onderscheid tussen governance en management. De standaard volgt echter naar verluidt niet de PDCA-cyclus.

Risk attitude. Organization's approach to assess and eventually pursue, retain, take or turn away from risk.  

Risk appetite Amount and type of risk that an organization is prepared to pursue, retain or take.