De klanten van GRCcontrol B.V. over de voordelen van werken met de GRC-tooling
Certificeringen hebben de reputatie arbeids- en tijdsintensief te zijn. De GRC-tooling van GRCcontrol bewijst dat het ook anders kan. Twee klanten, Odin Groep en Cyso delen hun ervaringen met deze Nederlandse dienst.
Onder de vlag van Odin Groep zijn meerdere bedrijven geschaard. De datacenters van Providers behoren tot de bekendste activiteiten. CFO Carmelo Messina beantwoordde de volgende vragen.
Waarom is Odin Groep gecertificeerd?
Het is voor ons een “license to operate”. We zijn naar ISO9001, ISO14001 en ISO27001 gecertificeerd, omdat daar heel vaak om gevraagd wordt. Daarnaast hebben we nog meer specialistische certificeringen zoals DigiD, NEN7510 en een SOC2 rapportage, die voorwaarde zijn om specifieke klantgroepen te mogen bedienen.
Was Odin Groep al gecertificeerd voordat GRCcontrol in beeld kwam?
Ja, maar die methode voldeed niet meer aan onze wensen. Het was te arbeidsintensief en mede daardoor was de betrokkenheid in de organisatie in onze optiek onvoldoende.
Wat is er door het overstappen naar GRCcontrol veranderd?
Best wel veel. Om te beginnen hebben we de Excel spreadsheetfase definitief achter ons gelaten. Daarnaast is mede door de simpele werking en het inzicht dat GRCcontrol geeft, de betrokkenheid in de hele Odin Groep toegenomen. Meer bewustzijn, meer focus op permanent verbeteren en dat leidt dan tot meer efficiency. Dat is een positieve verandering. Als ik zeg meer betrokkenheid, bedoel ik dat aandacht voor certificeringen niet langer de job van de quality auditor, de Security Officer en de CFO is. Iedereen, alle afdelingen en de hele directie begrijpt nu makkelijker wat het concreet betekent en wat de voordelen zijn. Voor de externe auditor, in ons geval is dat BSI, is er ook het nodige veranderd. Zij krijgen de data meer gestructureerd aangeleverd, dat scheelt hen tijd.
Scheelt het jullie ook tijd?
Absoluut, we kunnen nu bijvoorbeeld bepaalde zaken doorrollen, zodat een jaar later dezelfde werkzaamheden veel sneller te doorlopen zijn. Verder is belangrijk dat de GRC-tooling overlap in de normeringen signaleert en ontdubbelt. Op die manier is een behoorlijke tijdswinst te behalen.
Wat kan Odin Groep nu, wat vroeger niet haalbaar was?
We hebben nu mede op basis van de GRC-tooling en conform ISO14001 een jaarlijkse duurzaamheidsrapportage. Uit de tooling komt data waarmee de quality manager het rapport efficiënter kan opstellen. Daar hebben we twee versies van. Een gedetailleerde voor intern gebruik en een compactere, makkelijk leesbare onlineversie voor klanten en geïnteresseerden.
Wat zijn de ambities van Odin Groep en hoe helpt GRCcontrol daarbij?
Onze ambitie is tot de top van Nederlandse IT-bedrijven te blijven behoren en langdurige en strategische relaties aan te gaan met onze klantgroepen. We willen ook op de lange termijn relevant blijven in de snel veranderende markt. Veelal voor klanten die certificeringen ook als eis stellen, omdat ze voor de hoogste kwaliteit moeten gaan. Om dat aan te kunnen tonen hebben we de GRC-tooling nodig. Ook in de gevallen waar de audits puur maatwerk zijn, wat voor sommige klanten verplicht is, blijft de GRC-tooling een belangrijke basis.
We verwachten binnenkort tot de eersten in Nederland te behoren die AVG-certificering gaan behalen. Daarvoor zullen we ook weer de GRC-tooling inzetten, die daarvoor wordt uitgebreid.