GRC is een veelgebruikte afkorting voor governance, risk management & compliance. De term ‘GRC-raamwerk’ duidt op het totale beheersingskader van een organisatie. Een nieuwe term voor een oude bekende dus. Het beheersingskader wordt gebouwd rondom processen in de organisatie, met bijbehorende risico’s en controls om deze te managen.

Binnen een GRC-raamwerk wordt vaak een ‘three lines of defense-model’ toegepast met de volgende ‘verdedigingslinies’:

1. ‘First line of defense’ (‘eerste lijn’): lijnmanagement, met directe verantwoordelijkheid voor risicomanagement en control van de onder haar ressorterende processen.

2. ‘Second line of defense’ (‘tweede lijn’): functies en/of afdelingen die het verantwoordelijk lijnmanagement ondersteunen bij de inrichting van de organisatie en de afdelingen (bijvoorbeeld verbijzonderde (groeps-)afdelingen voor risicomanagement, compliance, en interne controle) die beleid formuleren over risicobeheersing en controls op een specifiek vlak.

3. ‘Third line of defense’ (‘derde lijn’): internal auditfunctie die onder andere de inrichting en werking van de eerste en tweede lijn controleert.

Bron: GRC in ontwikkeling, Meetlat voor beheersing, San Croonenberg, Eddy van der Geest en Michael Schoevaart: in De Accountant, maart 2011