Column Marcel Lücht: GRC is het nieuwe ESG

In dit artikel:

De belangstelling voor ESG is de laatste jaren afgenomen: het onderwerp is niet verdwenen, maar heeft zijn mediagekte verloren en is meer pragmatisch geworden. Waar bedrijven vroeger ESG-scoring (denk aan Ecovadis), zonne-energie en maatschappelijk verantwoord ondernemen vooral extern wilden etaleren, liggen de motieven nu vaker bij directe financiële voordelen en interne duurzaamheid. Tegelijkertijd groeit de aandacht voor GRC (Governance, Risk, Compliance) juist sterk en is het van een onpopulaire randfunctie uitgegroeid tot een boardroom-thema.

Historisch werkten juridische, financiële en security-teams vaak als gescheiden silo’s met eigen regels, tools en rapportages, waardoor het management een gefragmenteerd beeld van risico’s kreeg. Toen regelgeving, globalisering en een reeks schandalen en boetes lieten zien dat die eilandstrategieën tekortschoten, ontstond de behoefte aan een geïntegreerd GRC-kader. Dit verbindt bestuurlijke kaders, risicomanagement en compliance zodat organisaties minder onverwachte crises meemaken en beter onderbouwde beslissingen kunnen nemen.

De digitale transformatie heeft deze ontwikkeling versneld: enorme datastromen, cloudmigraties, SaaS, werken op afstand en opkomst van AI maken technologie centraal in alle strategische initiatieven. Risico’s zoals fraude, privacyinbreuken en operationele storingen verspreiden zich sneller, waardoor organisaties moeten investeren in technologie, analytics en automatisering binnen hun GRC-aanpak. IT is daarbij niet langer louter ondersteunend maar essentieel; cyberbeveiliging, dataprotectie en continuïteitsplanning worden teruggekoppeld naar bestuur en risicobereidheid.

Marktpartijen hebben platforms en methodologieën ontwikkeld en de GRC-markt groeit volgens prognoses snel. Analisten zoals Gartner zien veel GRC-initiatieven momenteel voorbij de piek van opgeblazen verwachtingen, maar op weg naar een stabiel productiviteitsniveau. In Europa versnellen nieuwe regels zoals de Digital Services Act (DSA) en NIS2 deze beweging: zelfs kleinere leveranciers worden door keteneisen door grotere klanten betrokken bij compliance, waardoor GRC relevant is voor organisaties van elke omvang.

Kort gezegd: ESG-activiteiten zijn niet verdwenen, maar zijn meer intern gefocust; GRC is naar de voorgrond getreden als integraal middel om digitale en regelgevende risico’s beheersbaar te maken. Marcel Lücht, principal consultant bij Kazarma Consulting, onderstreept deze transitie op basis van zijn ruim dertig jaar ervaring in ICT, telecom en cyberbeveiliging.