BUSINESS CONTINUITY MANAGEMENT Handleiding voor implementatie
|
|
- Lodewijk Wouters
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 FOD Binnenlandse Zaken Algemene Directie Crisiscentrum BUSINESS CONTINUITY MANAGEMENT Handleiding voor implementatie Sofie Senesael Verhandeling in het kader van de benoeming tot statutair ambtenaar, juni 2009 Promotor: Jaak Raes, Directeur-generaal Crisiscentrum
2
3 BUSINESS CONTINUITY MANAGEMENT Een handleiding voor implementatie Executive Summery Overheidsdiensten, waaronder ook de FOD Binnenlandse Zaken, hebben een zeer belangrijke maatschappelijke rol te vervullen. Het is dan ook nodig dat ze in staat zijn de continuiteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. Ze kunnen zich hierop voorbereiden zodat het, in geval van een onderbreking van hun activiteiten, mogelijk is binnen de kortst mogelijke termijn de meest kritische activiteiten te hervatten. De bedoeling van het werk: BUSINESS CONTINUITY MANAGEMENT: Een handleiding voor implementatie is een methodologie voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken te geven. Wat is Business Continuity Management? Wat is de relatie met andere disciplines zoals bijvoorbeeld risicomanagement en interne audit en wat zijn de voordelen van een Business Continuity Management? Deze vragen worden beanwoord in het Deel 1 van dit werk. Deel 2 legt stap voor stap uit welke fasen doorlopen moeten worden om een Business Coninuity Management te implementeren binnen de FOD Binnenlandse Zaken en in Deel 3 bevinden zich een aantal werkdocumenten die ontwikkeld werden ter ondersteuning van het implementatieproces. Deel 1: Business Continuity Management Wat en Waarom? Er bestaat vaak verwarring tussen de begrippen Business Continuity Management (BCM) en Business Continuity Plan (BCP). Business Continuity Management is een proces waarbij de organisatie de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten binnen de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan omschrijft hoe men dat concreet gaat doen en is bijgevolg een product van Business Continuity Management. Het Business Continuity Plan is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt. Wat is de relatie met andere specifieke disciplines? Er bestaat een nauw verband tussen Business Continuity Management, crisismanagement, risicomanagement, interne controle en interne audit. Onder risicomanagement in de context van de FOD Binnenlandse Zaken kan enerzijds worden begrepen, het beheer van risico s die verband houden met de werking van de organisatie zelf. Anderzijds het beheer van risico s als opdracht van de organisatie. Het Business Continuity Management maakt deel uit van de eerste categorie, meer in het bijzonder het beheer van risico s die de continuïteit van de organisatie in het gedrang brengen. In Deel 1 op pagina 16 wordt op een schematische wijze de verhouding tussen de verschillende disciplines weergegeven. I
4 Wat zijn de voordelen van een Business Continuity Management? Een Business Continuity Management binnen de organisatie zal de organisatie niet alleen in staat stellen haar dienstverlening te verzekeren ondanks een onderbreking van één of meedere processen of activiteiten, daarnaast levert het proces nog andere voordelen op. Zo zorgt het er onder meer voor dat voldaan kan worden aan wettelijke en reglementaire verplichtingen, sterkt het de geloofwaardigheid en reputatie van de organisatie, is het personeel opgeleid en voorbereid om efficiënt te reageren en kan het personeel worden ingeschakeld in andere teams. Daarnaast levert het in detail bekijken van processen soms ook voordelen uit onverwachte hoek op door het zichtbaar maken van knelpunten binnen de organisatie. Business Continuity Standaarden. Er bestaan verschillende internationale standaarden en richtlijnen inzake Business Continuity. Een standaard is een document dat ontwikkeld werd door een officiële, door de International Organisation for Standardization (ISO) erkende, organisatie voor normen of standaarden. Deze standaard of norm beschrijft een afgesproken manier om iets te doen. Het biedt een theoretisch raamwerk dat kan dienen als ondersteuning voor organisaties die een Business Continuity Management programma in hun organisatie wensen te installeren. Er bestaat geen verplichting om bij de implementatie van een Business Continuity Management gebruik te maken van standaarden, het is echter wel ten zeerste aan te bevelen. Het biedt de organisatie een maatstaf aan waartegen deze haar eigen Business Continuity Plan en het ondersteunend Business Continuity Management Proces kan afmeten. Bovendien bieden sommige standaarden eveneens de mogelijkheid om na de implementatie van de standaard binnen de organisatie een certificering te bekomen. Deel 2: De 6 fasen van Business Continuity Management In deel 2 worden de verschillende fasen besproken die doorlopen moeten worden of de elementen die in de organisatie aanwezig moeten zijn om te kunnen spreken van een Business Continuity Management. Naast een beschrijving van een aantal begrippen en de beschrijving van wat deze fase precies inhoudt, wordt er ook aandacht besteed aan hoe deze fase geïmplementeerd kan worden binnen de FOD Binnenlandse Zaken. Fase 5 Oefenen Onderhouden Herzien Fase 1 BCM Programma BUSINESS CONTINUITY MANAGEMENT Fase 4 Ontwikkelen Implementeren BCM respons Fase 2 Inzicht in de organisatie Fase 3 BCM Strategie II
5 Fase 1: Het BCM Programma Er wordt aanbevolen om voor de implementatie van een Business Continuity Management de principes van het projectmanagement toe te passen. Het is van belang, net zoals bij elk project, dat er een duidelijk kader beschreven wordt voor de implementatie ervan. Zo is het onder meer nodig dat de doelstellingen van het project duidelijk zijn, de rollen en verantwoordelijkheden worden beschreven, dat er gecommuniceerd wordt over het project, enz. Al deze elementen komen aan bod in het BCM Programma, de zogenaamde kapstok van het project. Het is belangrijk dat bij aanvang van het project het management op een formele wijze, in de vorm van een beleidsverklaring, communiceert over het project. Dit benadrukt het belang dat ze aan dit project hechten en is ook meteen één van de randvoorwaarden voor een succesvolle implementatie. Fase 2: Inzicht in de organisatie Business Analyse Nadat de projectstructuur op poten werd gezet en de rollen en verantwoordelijkheden werden toegekend, kunnen de werkzaamheden starten. In deze fase moeten de verschillende processen binnen de organisatie opgelijst worden en moet met het management afgetoetst worden welke de voor hen meest prioritaire doelstellingen zijn op vlak van Business Continuity. Met andere woorden, welke zijn de doelstellingen waarvan de continuïteit niet, tijdelijk of langdurig onderbroken kan worden. Van deze processen moet een analyse worden gemaakt (Business Analyse) zodoende het duidelijk is wat onder meer de middelen zijn die men nodig heeft om het proces uit te voeren, welke de wettelijke regels zijn waaraan het proces gebonden is, hoeveel personeel er minimum nodig is voor de uitvoering van het proces, welke infrastructuur nodig is, Business Impact Analyse Daarna dient per proces een Business Impact Analyse te worden gemaakt. Hieronder kan worden begrepen dat er in eerste instantie een inschatting moet worden gemaakt van de gevolgen van een onderbreking van het proces voor de organisatie. Daarnaast moet per proces bepaald worden hoe lang het proces maximaal onderboken mag worden, zoniet loopt de organisatie onherstelbare schade op, en wat de tijdspanne is waarbinnen het proces hersteld moet zijn (herstelobjectief). Risicoanalyse Het in kaart brengen van alle mogelijke bedreigingen die kunnen leiden tot een onderbreking van één of meerdere processen binnen de organisatie is geen absolute voorwaarde voor het installeren van een Business Continuity Management en de opmaak van een Business Continuity Plan. Er wordt aanbevolen een Globaal Business Continuity Plan op te maken dat zoveel mogelijk risico s dekt in plaats van per risico een specifiek plan uit te werken. Specifieke maatregelen worden beter als bijlage opgenomen in het Globale Business Continuity Plan. Er wordt hierbij aanbevolen om zich te baseren op de 4 grote mogelijke gevolgen waarmee een organisatie geconfronteerd kan worden, met name: - Gebrek aan personeel - Gebrek aan faciliteiten (gebouw, lokalen,..) - Verlies van toegang tot de vitale data - Gebrek aan ICT III
6 Fase 3: BCM Strategie Op basis van de informatie over het proces zelf (Business Analyse) en een inschatting van de gevolgen van een onderbreking van het proces dienen maatregelen te worden geformuleerd die ervoor moeten kunnen zorgen dat: de waarschijnlijkheid van een onderbreking wordt verminderd; de periode van de onderbreking kan worden ingekort; de impact van de onderbreking op de kritische activiteiten beperkt is. In het kader van de Business Impact Analyse werd bepaald binnen welke tijdspanne welke actviteiten dienen te worden hersteld (herstelobjectief). In deze fase komt het er op aan actievoorstellen (maatregelen) te formuleren die hieraan tegemoet kunnen komen en per voorgestelde maatregel een kosten-baten analyse op te maken. Fase 4: Ontwikkelen, Implementeren BCM Respons Een Business Continuity Management Respons is het antwoord dat een organisatie voorbereid heeft om een incident te kunnen beheersen en de impact ervan op de werkprocessen te minimaliseren. De maatregelen die door het management in de vorige fase werden goedgekeurd moeten in deze fase worden uitgewerkt zodat de organisatie in geval van onderbreking van een bepaald proces snel en efficiënt kan reageren. Er kunnen drie onderling verbonden respons-stappen onderscheiden worden. Per responsfase dient een organisatie te beschikken over een plan of procedures. Alle deze plannen samen kunnen omschreven worden als het Globaal Business Continuity Plan. - Emergency Respons Incident Management Plan - Business Continuity Respons Business Continuity Plan - Business Recovery Respons Business Recovery Plan Doel Wat? Incident Plan Management Beheersen van het incident of de onderbreking zelf. Het beperken van de gevolgschade. Contacten met hulp- en interventiediensten Evacuatie gebouw Sociale bijstand en opvang personeel Business Continuity Plan Herstel of verderzetten van de meest kritische activiteiten. Alle relevante informatie (contactgegevens, procedures, ) om de kritische activiteiten terug op te starten of verder te zetten. Business Recovery Plan Herstel van alle activiteiten Terugkeer naar een normale situatie. Alle relevante informatie voor het herstel of het verderzetten van de nietkritische activiteiten (de activiteiten die niet in het BCP staan). IV
7 Fase 5: Oefenen, onderhouden en herzien Het volstaat niet om een Incident Management Plan, een Business Continuity Plan en een Business Recovery Plan in de kast te hebben staan. De plannen hebben maar hun nut als deze gekend zijn, actueel zijn en ingeoefend worden. Het inoefenen van de voorziene procedures en maatregelen in de plannen moeten ons verzekeren of de kritieke activiteiten daadwerkelijk binnen de vooropgestelde tijd hersteld kunnen worden. In navolging van oefeningen zal het nodig zijn de inhoud van de plannen bij te sturen of aan te vullen. Daarnaast moet er een procedure worden voorzien die ervoor zorgt dat bij iedere wijziging (intern of extern) met impact voor de organisatie het Business Continuity Management programma worden afgetoetst en de plannen waar nodig worden aangepast. Fase 6: Het inbedden in de organisatiecultuur Om succesvol te zijn moet het Business Continuity Management - project gedragen worden door zoveel mogelijk personen binnen de organisatie. Het management (zowel top als middelmanagement) spelen een essentiële rol bij het in kaart brengen van de kritische processen. Hun steun winnen is dus vitaal voor het project. Zoveel mogelijk personeelsleden moeten overtuigd zijn van het feit dat ze een belangrijke rol te spelen hebben om de continuïteit van de activiteiten van de organisatie te kunnen waarborgen. Het is daarom belangrijk voldoende aandacht te besteden aan bewustwording- en opleidingsprogramma s voor het personeel en verschillende sensibiliseringsactiviteiten te organiseren. Praktische aanpak om de 6 fasen te doorlopen Op pagina 73 kan een overzicht gevonden worden dat stap voor stap weergeeft wat concreet gedaan moet worden om de 6 fasen van Business Continuity Management te doorlopen. Deel 3: Werkdocumenten In deel 3 bevinden zich een aantal werkdocumenten die gebruikt kunnen worden voor het doorlopen van de verschillende fasen. V
8 VI
9 INHOUDSTAFEL Voorwoord...3 Inleiding methodologie...3 DEEL 1 : Business Continuity Management - Wat & Waarom? 1. Wat is Business Continuity Management? Wat is de relatie met andere specifieke disciplines? Risicomanagement Interne controle en interne audit Crisismanagement Schematische voorstelling Wat zijn voordelen van een Business Continuity Management Programma? Business Continuity standaarden Een aantal internationale BCM normen (standards) en richtlijnen (guidelines)...17 DEEL 2 : De 6 fasen van Business Continuity Management 1 Het BCM Programma Beleidsverklaring / Policy Development Doelstellingen, afbakeningen en uitgangspunten van de organisatie / Scope Rollen en verantwoordelijkheden Projectstructuur Permanente structuur Crisisstructuur Inzicht verkrijgen in de organisatie Business Analyse Business Impact Analyse Risicoanalyse Het bepalen van de BCM strategie Het ontwikkelen en implementeren van de BCM respons Oefenen, onderhouden en herzien Het inbedden van BCM in de organisatiecultuur...71 Tot slot synthese aanbevelingen...72 DEEL 3 - Werkdocumenten Bijlagen Literatuurlijst 1
10 2
11 Voorwoord In 2007 werden naar aanleiding van de verspreiding van het vogelgriepvirus (H5N1) door de FOD Binnenlandse Zaken een aantal sensibilisatieacties ondernomen om het bewustzijn, met betrekking tot de mogelijke gevolgen van de uitbraak van een grieppandemie op het maatschappelijke leven, te verhogen. Zo werd ondermeer een informatiecampagne uitgewerkt naar het personeel van de FOD Binnenlandse Zaken om hen bewust te maken van het belang van een goede hygiëne om de verspreiding van virussen tegen te gaan. Daarnaast werd binnen de Algemene Directie Crisiscentrum een checklist ontwikkeld en verspreid (zie bijlage 1) met specifieke maatregelen die genomen kunnen worden binnen organisaties ter voorbereiding op een grieppandemie. Vanuit deze acties en ook gelet op de recente evoluties (A/H1N1 pandemie) is steeds meer het bewustzijn gegroeid dat het noodzakelijk is dat overheidsdiensten, gelet op de vaak belangrijke maatschappelijk rol die ze vervullen, in staat zijn de continuïteit van hun dienstverlening te garanderen ongeacht de omstandigheden of bedreigingen waarmee ze worden geconfronteerd. De Voorzitster van de FOD Binnenlandse Zaken, mejuffrouw De Knop, hecht veel belang aan risicomanagement binnen de FOD en in het bijzonder het beheren van risico s op vlak van de continuïteit van de dienstverlening, ethiek en kennisbeheer. Met dit werk, dat werd opgemaakt in het kader van mijn benoeming als statutair ambtenaar en tot doel heeft een methodologie aan te reiken voor de implementatie van een Business Continuity Management, hoop ik op een concrete wijze bij te dragen tot de realisatie van deze doelstelling van de FOD. Inleiding - methodologie Opbouw van het document Bronnen Dit document is opgebouwd uit drie delen: DEEL I bespreekt in het kort het Wat en Waarom van een Business Continuity Management en geeft voorbeelden van een aantal bestaande normen en richtlijnen inzake Business Continuity management. DEEL II geeft de verschillende fasen weer die moeten doorlopen worden om een Business Continuity Management te installeren. Op het einde van DEEL II wordt een synthese weergegeven van de aanbevelingen die doorheen het volledige document werden gemaakt. DEEL III geeft enerzijds een aantal werkdocumenten die gebruikt kunnen worden bij de implementatie van Business Continuity Management. Om te komen tot dit werk werd een literatuurstudie gedaan met betrekking tot Business Continuity Management (voor de lijst van de geconsulteerde bronnen wordt verwezen naar het einde van dit document). Het proces, voor de implementatie van een Business Continuity Management in de FOD Binnenlandse Zaken, dat in DEEL II wordt aangereikt houdt dan ook rekening met de belangrijkste principes uit een aantal internationale toonaangevende standaarden of richtlijnen op vlak van Business Continuity Management zoals opgesomd in DEEL I. OFIE SENESAEL FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM 3
12 Daarnaast werd ook contact opgenomen met een aantal personen van interne diensten van de FOD alsook externe bedrijven of organisaties, die omwille van hun expertise allen een interessante bijdrage hebben kunnen leveren aan dit document. Werkdocumenten Bestaande informatie Aanbevelingen In het kader van deze verhandeling werden eveneens een aantal documenten ontwikkeld die kunnen helpen bij de ontwikkeling van een Business Continuity Management binnen een of meerdere diensten van de FOD. Het betreft voornamelijk vragenlijsten en templates die kunnen aangewend worden tijdens het doorlopen van de verschillende fasen van het Business Continuity Management proces. Deze vragenlijsten en templates kunnen waar wenselijk worden aangepast aan de specificiteit van de dienst. In dit werk wordt rekening gehouden met de reeds bestaande informatie en ondernomen acties binnen de FOD rond onder andere procesbeschrijving, risicoanalyse (zie bijvoorbeeld de informatie verkregen uit de moderniseringsprocessen). Bij bepaalde punten in dit werk wordt dan ook gerefereerd naar reeds bestaande methodes en documenten. Doorheen dit werk worden aanbevelingen geformuleerd voor de implementatie van een Business Continuity Management binnen de FOD Binnenlandse Zaken. Deze aanbevelingen worden op het einde van DEEL II aan de hand van een schema weergegeven. 4
13 DEEL 1 Business Continuity Management - Wat & Waarom? -
14
15 1. Wat is Business Continuity Management? Definitie Vaak bestaat er verwarring tussen het begrip Business Continuity Management (BCM) en Business Continuity Plan (BCP). Deze begrippen worden regelmatig door elkaar gebruikt, maar betekenen niet hetzelfde. Hieronder staan enkele definities opgesomd waardoor het onderscheid tussen beiden duidelijk wordt. Business Continuity Management is a holistic management process that identifies potential threats to an organisation and the impacts to business operations that those threats if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities. 1 Bedrijfscontinuïteitsmanagement is een beheersproces dat risico s identificeert en beperkt, de mogelijke impact van een onderbreking van een (tijds)kritische bedrijfsprocessen en ondersteunende systemen minimaliseert, en met als ultieme doel het tijdig herstellen van de kritische bedrijfprocessen. 2 Business Continuity Management heeft tot doel de continuïteit van het bedrijfsproces en het voortbestaan van de organisatie te waarborgen. Het product van BCM bestaat uit werkbare en toepasbare maatregelen, zowel preventief (hebben tot doel het voorkomen dat zich situaties voordoen die de continuïteit van de organisatie aantasten) als repressief (in geval het risico manifest geworden is, zorgen voor repressieve maatregelen om gevolgschade te beperken tot een acceptabel niveau) 3 Business Continuity Plan (BCP) Een Business Continuity Plan is met andere woorden een product van Business Continuity Management. Een Business Continuity Plan kan omschreven worden als een geheel van reactieve (of repressieve) maatregelen om de gevolgen voor de continuïteit van de organisatie bij het manifesteren van bepaald risico te verminderen. Een Business Continuity Plan kan ook nog omschreven worden als a documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable pre-defined level. 4 De volgende definitie wordt gehanteerd door de Vlaamse Overheid: Een Business Continuity Plan is een duidelijk en gedocumenteerd plan om aan te wenden tijdens een verstoring van de bedrijfscontinuïteit, gebeurtenis, incident of crisis. Dit plan behandelt typisch alle sleutelpersonen, middelen, diensten, activiteiten noodzakelijk om het BCM proces te managen. 5 1 British Standard :2006, Business continuity management. Code of practice, p.1 2 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, British Standard :2006, Business continuity management. Code of practice, p.2 5 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari
16 Samenvattend Belang van definities Een Business Continuity Management is met andere woorden een beheersproces waarbij de organisatie de nodige maatregelen treft om in ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden opdat deze activiteiten op de kortst mogelijke termijn kunnen worden hersteld. Een Business Continuity Plan is een product van Business Continuity Management. Het is een geheel van procedures, afspraken en contactinformatie die gebruikt wordt op het ogenblik dat een onderbreking daadwerkelijk plaatsvindt. Naast de hierboven opgesomde definities bestaan nog ontelbaar andere definities van wat Business Continuity Management is. De een al wat beknopter geformuleerd dan de andere. Wat echt belangrijk is, is dat het management van een organisatie dat een Business Continuity Management wenst te implementeren het eens is over wat men voor de organisatie onder Business Continuity Management begrijpt, welke doelstellingen men hiermee wenst te bereiken en dat men bijgevolg dezelfde boodschap uitdragen binnen de volledige organisatie 6 (zie infra DEEL II, punt 1.1 beleidsverklaring). 2. Wat is de relatie met andere specifieke disciplines? Wat is de relatie van Business Continuity Management ten opzichte van andere gerelateerde disciplines. Ook hierover bestaan verschillende opvattingen. Op basis van de beschrijving van een aantal gerelateerde disciplines werd op pagina 11 een schematische voorstelling weergegeven van de opvatting die verder in dit werk gevolgd zal worden Risicomanagement Definities Link BCM Een eerste discipline die nauw aanleunt bij Business Continuity Management is risicomanagement. Risicomanagement is het overkoepelende proces om risico s te analyseren (risicoanalyse), maatregelen te nemen om de risico s tot een aanvaardbaar niveau te reduceren, en het vereiste risiconiveau te onderhouden. 7 Risicomanagement is het risicobeheerproces van het management. De houding van het management ten opzichte van de ondernemingsrisico s, zowel op strategisch vlak als op het niveau van de ondernemingsprocessen. 8 Waar risicomanagement staat voor het beheer van alle mogelijke risico s binnen een organisatie, richt Business Continuity Management zich op deze risico s die de continuïteit van de organisatie in het gedrang kunnen brengen. Volgens deze redenering maakt Business Continuity Management integraal deel uit van risicomanagement. Hoe groot het aandeel Business Continuity Management is, is moeilijk in te schatten. 7 Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, intersentia, tweede druk, 2004, p. 16 8
17 Een risico kan afhankelijk van de context op een bepaald ogenblik een bedreiging zijn voor de continuïteit van de organisatie, terwijl dat voorheen niet het geval was. Sommige bronnen zien risicomanagement daarentegen eerder als een onderdeel van een overkoepelende Business Continuity aanpak. Alles hangt af van wat de organisatie begrijpt onder risicomanagement (wat is de scope van de organisatie met betrekking tot risicomanagement?) en wat de doelstelling is van het Business Continuity Management programma van de organisatie (omgaan met klassieke risicodomeinen of meer globaal omgaan met mogelijke incidenten van uiteenlopende aard) 9. Conclusie Er kan geconcludeerd worden dat er een duidelijk een verband is tussen risicomanagement en Business Continuity Management. In de literatuur kan men verschillende standpunten hierrond terugvinden. De context van de FOD Binnenlandse Zaken en meer in het bijzonder de specifieke taken in verband met risico- en crisisbeheer laten toe te besluiten dat Business Continuity Management, voor wat de FOD Binnenlandse Zaken betreft, deel uitmaakt van risicomanagement, doch slechts het management van een specifiek soort risico s betreft. Niet alle risico s waarmee de FOD geconfronteerd kan worden zijn immers een bedreiging voor de continuïteit van de opdrachten van de FOD zelf. Zo is de behandeling van risico s één van de opdrachten van de FOD, zonder dat deze risico s evenwel een bedreiging zijn voor haar eigen continuïteit. Het uitvaardigen van maatregelen (bijvoorbeeld afsluiten vuilnisbakken, politiebegeleiding, enz.) voor een veilig verloop van een Europese Top is bijvoorbeeld een opdracht van het Crisiscentrum, maar het veiligheidsrisico gelieerd aan de organisatie van een Europese Top is op zich geen bedreiging voor de continuïteit van het Crisiscentrum. Risicomanagement binnen de FOD BiZa Wat risicomanagement in het algemeen betreft, wordt er binnen de FOD Binnenlandse Zaken op versnipperde wijze gewerkt rond risico s. Risico s worden in kaart gebracht naar aanleiding van moderniseringsprojecten (MPM), de Interne Dienst voor de Preventie en Bescherming op het werk maakt onder meer analyses van risico s op vlak van de gezondheid en welzijn van het personeel alsook op vlak van de inrichting van de arbeidsplaatsen en werkposten. De Dienst Interne Inspectie gaat na of risico s voldoende worden beheerst en identificeren tijdens hun opdrachten ongetwijfeld nieuwe risico s. Ook in het kader van Business Continuity Management zullen risico s worden geïdentificeerd. Er wordt aanbevolen om alle risico s die binnen de FOD worden geïdentificeerd alsook de genomen maatregelen te inventariseren volgens een bepaalde methodiek alsook om de risico s jaarlijks te herevalueren (zie infra, punt 2.2, interne controle). 9 Business Continuity Management Congres, Kluwer, Edegem, 31 maart
18 2.2. Interne controle en interne audit Deze aanbeveling is conform het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige diensten van de federale uitvoerende macht, meerbepaald de bepaling betreffende de verplichting de inventaris van de documentatie over de interne controlesystemen ter beschikking te kunnen stellen van interne en externe auditoren. Er wordt aanbevolen om met de verschillende betrokkenen na te gaan hoe dit best praktisch gerealiseerd kan worden binnen de FOD. Het beheren en detecteren van nieuwe risico s is geen éénmalig maar een continu proces is. Het is bijgevolg van belang dat het management haar standpunt bepaalt met betrekking tot de verhouding van risicomanagement ten aanzien Business Continuity Management enerzijds en de mate waarin zij wenst te investeren in risicomanagement in het algemeen met als specifiek aandachtspunt in eerste instantie Business Continuity Management. Dit is vooral van belang wanneer besloten wordt tot de opmaak van een inventaris van de documentatie van de interne controlesystemen binnen de FOD. Op dat ogenblik rijst de vraag wie daarvoor als verantwoordelijke moet worden aangeduid. De functie van een risk manager, een functie die opgang vindt in verschillende organisaties, kan een mogelijke piste zijn. Daarnaast zien we dat deze rol soms ook toegekend wordt aan de Business Continuity Manager. Interne controle en interne audit zijn twee disciplines waarvan de link met Business Continuity Management zeer groot is. De interne controle moet immers nagaan of er binnen de organisatie voldoende maatregelen werden genomen om risico s te vermijden. De interne audit bekijkt of de interne controle systemen, of nog de mate waarin de risico s beheerst worden, effectief en efficiënt zijn. Het is dan ook niet verwonderlijk dat de aandacht voor Business Continuity Management vaak groeit vanuit de resultaten van een interne audit. Zo ook is dit het geval bij de Vlaamse Overheid waar naar aanleiding van een interne audit werd vastgesteld dat het merendeel van de entiteiten binnen de Vlaamse Overheid over onvoldoende maturiteit beschikken op vlak van bedrijfscontinuïteit. In het volgende punt wordt het verschil tussen de begrippen interne audit en interne controle toegelicht. De wettelijke grondslag, alsook de wijze waarop de FOD Binnenlandse Zaken beiden in de praktijk realiseert, komen hierna aan bod. Definitie Volgens het Koninklijk Besluit van 2007 betreffende het intern controlesysteem binnen sommige departementen van de federale uitvoerende macht, is interne controle een geïntegreerd proces dat door de verantwoordelijken en het personeel van een organisatie is uitgewerkt en dat is bestemd om risico s te behandelen en een redelijke zekerheid te bieden omtrent de verwezenlijking, in het kader van de opdracht van de organisatie, van de volgende algemene doelstellingen: - uitvoering van geordende, ethische, zuinige, doeltreffende en doelmatige verrichtingen; - naleving van de verplichtingen tot rekenschap afleggen; - overeenstemming met de geldende wetten en regelgeving; - bescherming van de middelen tegen verlies, wangebruik en schade. 10
19 Een risico wordt door het Koninklijk Besluit omschreven als een onverwachte gebeurtenis die het bepalen van de vooropgestelde doelstellingen in het gedrang zou kunnen brengen. Volgende Koninklijke Besluiten leggen de federale overheidsdiensten de verplichting op om een intern controlesysteem uit te bouwen: Interne controle Het Koninklijk Besluit van 26 mei 2002 betreffende het intern controlesysteem binnen de federale overheid (Belgisch Staatsblad 31 mei 2002) legt aan elke federale overheidsdienst en federale programmatorische overheidsdienst de verplichting op een intern controlesysteem uit te bouwen. Het Koninklijk Besluit van 17 augustus 2007 betreffende het intern controlesysteem binnen sommige departementen van de federale uitvoerende macht past sommige bepalingen van het Koninklijk Besluit van 26 mei 2002 aan, verduidelijkt ze en vult ze aan. Verantwoordelijke Methodologie Het lijnmanagement is verantwoordelijk voor het uitbouwen van een intern controlesysteem. Zij moeten toezien op de naleving van de weten regelgeving en de vereiste procedures, beheerscontroles en rapporteringprocedures uitwerken voor een doeltreffende, kwaliteitsvolle en efficiënte werking en om de vermogensbestanddelen van de organisatie veilig te stellen. Als methodologie wordt in het Koninklijk Besluit op de interne controle het gebruik van het COSO-Enterprise Risk Management Framework aanbevolen. COSO is een managementmodel dat ontwikkeld werd door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit model is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne controle aan te bieden en om het management te ondersteunen bij de verbetering van het intern controlesysteem. In 2004 werd het model geactualiseerd, werden elementen toegevoegd en aangepast. Dit geactualiseerde model richt zich niet meer alleen op interne controle maar op het gehele interne beheersingssysteem en staat bekend als COSO II of Enterprise Risk Management Framework (ERMF). 11
20 Risk management objectives Risk components Entity & Unit-level Components The COSO Enterprise Risk Management Framework Wat is COSO ERMF? Als een organisatie haar doelstellingen wil bereiken dan moet ze kunnen omgaan met risico s en in staat zijn risico's te beheersen. COSO beschrijft en definieert hiervoor de verschillende elementen van een intern controlesysteem. Dit kan als raamwerk worden gebruikt voor organisaties die een intern controlesysteem willen implementeren. Het model (zie figuur hierboven) geeft in de COSO-kubus de directe relatie weer tussen: - De doelstellingen van een organisatie (de strategische doelstellingen, de effectiviteit en efficiëntie van de bedrijfsprocessen, de betrouwbaarheid van de informatie en de naleving van relevante wet- en regelgeving) - De controlecomponenten: Interne omgeving (de mate waarin risico s worden genomen) Bepaling van doelstellingen (objective setting) Identificatie van de gebeurtenissen (kansen/risico s die een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen) De risico-inschatting of de beoordeling van de geïdentificeerde risico s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet) De risicobeheersingsmaatregelen (risk response) (risico s vermijden, aanvaarden, delen of verminderen) Controleactiviteiten (vb. functiescheiding) Informatie en communicatie Monitoring - de activiteiten/eenheden waarvoor interne controle nodig is. 12
Business Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieBedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering
Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering Carolina Stevens Departement Bestuurszaken Seminarie crisis- en reputatiemanagement Consciencegebouw 6 oktober 2009 Inhoud 1. Wat is bedrijfscontinuïteitsmanagement?
Nadere informatieBedrijfscontinuïteit met behulp van een BCMS
Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieDoorstarten na een calamiteit. J.F.Lukkien/ Hanzehogeschool Groningen 6 november 2013
Doorstarten na een calamiteit J.F.Lukkien/ Hanzehogeschool Groningen 6 november 2013 Doorstarten na een calamiteit: Agenda Wat is een calamiteit Gevolgen calamiteit Voorbeelden BedrijfsContinuiteitsManagement
Nadere informatieDigital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services
Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf
Nadere informatieAudit Vlaanderen & de Leidraad Organisatiebeheersing
Wat u zeker moet weten over Audit Vlaanderen & de Leidraad Organisatiebeheersing VOOR LOKALE BESTUREN AUDIT VLAANDEREN www.auditvlaanderen.be 1 Inhoud AUDIT VLAANDEREN 5 INTERNE CONTROLE OF ORGANISATIEBEHEERSING?
Nadere informatieBUSINESS CONTINUITEIT
BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management
Nadere informatieDe effectieve directie
Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatiePilootproject VVM De Lijn
Pilootproject VVM De Lijn Netwerk organisatiebeheersing 24 januari 2013 Dominiek Viaene VVM De Lijn Jo Fransen IAVA Agenda 1. Kerncijfers VVM De Lijn 2. Situering pilootproject single audit 3. Methodiek
Nadere informatieEen voortdurende verbetering van de selectieprocedures voor kandidaat-korpschefs Het intosai-model. Informatiesessie 19 september 2018
Een voortdurende verbetering van de selectieprocedures voor kandidaat-korpschefs Het intosai-model Informatiesessie 19 september 2018 INTOSAI INTOSAI staat voor International Organization of Supreme Audit
Nadere informatieSESSIE 1.3 GEBRUIK: NATUURGEWELD
SESSIE 1.3 GEBRUIK: NATUURGEWELD Voorbereiden van chemische bedrijven tegen natuurgeweld en domino-effecten 21 juni 2018, Dag van de chemische veiligheid 21-6-2018 BCM Specialist - Alex Hoogteijling 1
Nadere informatieCobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieDe logica achter de ISA s en het interne controlesysteem
De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne
Nadere informatieAdvies inzake Risicobenadering
dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.
Nadere informatieRisicomanagement en NARIS gemeente Amsterdam
Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten
Nadere informatieCertified ISO Risk Management Professional
Certified ISO 31000 Risk Management Professional informatie over de driedaagse training inclusief examen organisatie MdP Management, Consulting & Training website email mobiel KvK www.mdpmct.com info@mdpmct.com
Nadere informatieNota Risicomanagement en weerstandsvermogen BghU 2018
Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij
Nadere informatieBENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Nadere informatieAuditchArter VAn het AGentSchAp Audit VLAAnderen 1 / 9
Auditcharter Van HET AGENTSChap AUDIT VLAANDEREN 1 / 9 Inhoudsopgave MISSIE VAN HET AGENTSCHAP AUDIT VLAANDEREN... 3 ONAFHANKELIJKHEID... 4 OBJECTIVITEIT EN BEKWAAMHEID... 5 KWALITEIT VAN DE AUDITWERKZAAMHEDEN...
Nadere informatieProgramma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement
Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen
Nadere informatieCertified ISO Risk Management Professional
Certified ISO 31000 Risk Management Professional informatie over de driedaagse training inclusief examen organisatie MdP Management, Consulting & Training website email mobiel KvK www.mdpmct.com info@mdpmct.com
Nadere informatieVUISTREGELS VOOR EEN KWALITEITSVOLLE EXPLAIN
VUISTREGELS VOOR EEN KWALITEITSVOLLE EXPLAIN Motivering bij het uitwerken van de vuistregels Door het K.B. van 6 juni 2010 is de Belgische Corporate Governance Code 2009 dè referentiecode geworden voor
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatie4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.
ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem
Nadere informatieISO 14001:2015 Readiness Review
ISO 14001:2015 Readiness Review Organisatie Adres Certificaat Nr. Contactpersoon Functie Telefoon Email BSI is vastbesloten ervoor te zorgen dat klanten die willen certificeren op ISO 14001:2015 een soepele
Nadere informatieInterne controle en risicobeheer
COMMISSIE CORPORATE GOVERNANCE PRIVATE STICHTING Interne controle en risicobeheer Richtlijnen in het kader van de wet van 6 april 2010 en de Belgische Corporate Governance Code 2009 Hulpdocument voor het
Nadere informatieHoofdlijnen Corporate Governance Structuur
Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een
Nadere informatieSlimme IT. Sterke dienstverlening. E-START ONDERSTEUNING OP MAAT VAN LOKALE BESTUREN BIJ E-GOVERNMENT EN ORGANISATIEONTWIKKELING
Slimme IT. Sterke dienstverlening. 1 E-START ONDERSTEUNING OP MAAT VAN LOKALE BESTUREN BIJ E-GOVERNMENT EN ORGANISATIEONTWIKKELING 2Dienstverlenende vereniging E-START WAAROM? 3 Lokale besturen komen steeds
Nadere informatieInleiding / Doel van de vraag om advies. Belangrijkste gegevens van het dossier ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS
ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS Ref : Accom AFWIJKING 2005/1 Samenvatting van het advies dd. 17 mei 2005 met betrekking tot een vraag om afwijking van de regel die
Nadere informatieISSAI 30 Ethische code
ISSAI 30 Ethische code Vertaling ISSAI 30VERTALING REKENHOF, MEI 2017 / 2 INHOUD Hoofdstuk 1 - Inleiding 4 Concept, achtergrond en doel van de ethische code 4 Vertrouwen en geloofwaardigheid 5 Hoofdstuk
Nadere informatieCirculaire CBFA_2009_26 dd. 24 juni 2009
Circulaire _2009_26 dd. 24 juni 2009 Verslaggeving van de effectieve leiding over de beoordeling van het internecontrolesysteem en verklaring van de effectieve leiding over de periodieke prudentiële rapportering
Nadere informatieVergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015
ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatieBeheersing beheerst. Over risicogestuurde interne controle in het sociale domein
Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Beheersing beheerst Over risicogestuurde interne controle in het sociale domein Hoe draagt interne controle bij aan het efficiënt
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieINTERN REGLEMENT VAN HET AUDITCOMITÉ
BIJLAGE 2 BIJ HET CORPORATE GOVERNANCE CHARTER INTERN REGLEMENT VAN HET AUDITCOMITÉ OPGESTELD DOOR DE RAAD VAN BESTUUR INHOUDSOPGAVE Algemeen... 3 1. Samenstelling... 3 2. Verantwoordelijkheden... 3 3.
Nadere informatieBUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.
BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren. Business Continuity Plan Handboek J.H. van den Berg M. Baas B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business
Nadere informatieBUSINESS RISK MANAGEMENT
BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3
Nadere informatieISO 9001: Business in Control 2.0
ISO 9001: 2015 Business in Control 2.0 Waarom Geintegreerd toepassen verschillende management normen Betere aansluiting normen op de strategie; zorgen voor een goede inbedding in de bedrijfsvoering WAAROM
Nadere informatieVR DOC.0923/1BIS
VR 2018 2007 DOC.0923/1BIS DE MINISTER VAN WERK, ECONOMIE, INNOVATIE EN SPORT Visienota - Kwaliteits- en registratiemodel voor de dienstverleners binnen Werk /////////////////////////////////////////////////////////////////////////////////////////////////////////
Nadere informatieJAARLIJKSE EMAS ONTMOETING
JAARLIJKSE EMAS ONTMOETING Revisie van Bijlagen I, II en III en integratie van de Norm ISO 14001-2015 Sébastien Paquot Europese Commissie Agenda 1. Goedkeuring van de herziene bijlagen voornaamste wijzigingen
Nadere informatieGedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018
Gedragseffecten in de (internal) audit-professie 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018 1 Introductie John Bendermacher RA CIA 57 jaar Chief Audit Executive ABN AMRO Voorheen SNS REAAL,
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieBusiness Continuity Management conform ISO 22301
Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,
Nadere informatieSEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern
SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern Programma 13.30 uur Opening 13.40 uur Risicomanagement in het onderwijs door Marien Rozendaal RA 14.30 uur Pauze 15.00 uur Risicomanagement
Nadere informatieFUNCTIEFAMILIE 5.1 Lager kader
Doel van de functiefamilie Leiden van een geheel van activiteiten en medewerkers en input geven naar het beleid teneinde een kwaliteitsvolle, klantgerichte dienstverlening te verzekeren en zodoende bij
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatieGewijzigde doelstellingen in de leidraad interne controle/ organisatiebeheersing VLAAMSE OVERHEID. (inwerkingtreding: 1 januari 2015)
Gewijzigde doelstellingen in de leidraad interne controle/ organisatiebeheersing VLAAMSE OVERHEID (inwerkingtreding: 1 januari 2015) 2 1. Doelstellingen, proces- & risicomanagement Subthema kwaliteitsbeleid
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN
INTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Relevant orgaan... 5-10 Te communiceren controle-aangelegenheden
Nadere informatieFysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer
Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van
Nadere informatieKONINKLIJK BESLUIT VAN 24 APRIL 2014 TOT VASTSTELLING VAN DE MINIMALE INHOUD
KONINKLIJK BESLUIT VAN 24 APRIL 2014 TOT VASTSTELLING VAN DE MINIMALE INHOUD EN DE STRUCTUUR VAN HET MEERJARENBELEIDSPLAN VAN DE HULPVERLENINGSZONES. (B.S. 12.09.2014) Gelet op de wet van 15 mei 2007 betreffende
Nadere informatieVragenlijst SAFE SURGERY voor het uitvoeren van een zelfevaluatie in contractjaar 2013
Vragenlijst SAFE SURGERY voor het uitvoeren van een zelfevaluatie in contractjaar 2013 De vragen zijn opgedeeld in verschillende rubrieken en betreffen het thema safe surgery. Het is de bedoeling dat de
Nadere informatieGOVERNANCE, RISK & COMPLIANCE WHITEPAPER
GOVERNANCE, RISK & COMPLIANCE De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande gevolgen
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieDeontologische Code. Deze Deontologische Code is zowel op individuen als op entiteiten die interne auditdiensten verlenen van toepassing.
Deontologische Code INLEIDING Het doel van de Deontologische Code van het Instituut is het stimuleren van een ethische cultuur binnen het geheel van de professionele uitoefening van interne audit. Interne
Nadere informatieJ.H. van den Berg. Versie 1.0 Mei 2011
Versie 1.0 Mei 2011 J.H. van den Berg B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business Continuity Plan Handboek Vertrouw niet altijd op iemands blauwe ogen. Meiberg Consultancy Bronkhorsterweg
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1
ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,
Nadere informatieAanbeveling van de Dienst Veiligheid en Interoperabiliteit van de Spoorwegen (DVIS)
Aanbeveling van de Dienst Veiligheid en Interoperabiliteit van de Spoorwegen (DVIS) Aan de spoorwegondernemingen werkzaam in België, met het oog op het toepassen van goede praktijken tot het verbeteren
Nadere informatieVERANTWOORDELIJKHEDEN BIJ UITVOERING VAN WELZIJNSWET EN IN HET BIJZONDER VAN DE HIERARCHISCHE LIJN
VERANTWOORDELIJKHEDEN BIJ UITVOERING VAN WELZIJNSWET EN IN HET BIJZONDER VAN DE HIERARCHISCHE LIJN Werk brengt risico s met zich mee. Het productieproces, het transport, de werkorganisatie, de omgeving
Nadere informatieHoofdlijnen Corporate Governance Structuur Stek
Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe
Nadere informatieBusiness Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN
Business Management Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN Lelystad, 29 juni 2009 AGENDA Waarom Business Management? Hoe pakken we BCM aan? Wat is de relatie van BCM met SABSA? SCS Lelystad en mijn
Nadere informatieTabel competentiereferentiesysteem
Bijlage 3 bij het ministerieel besluit van tot wijziging van het ministerieel besluit van 28 december 2001 tot uitvoering van sommige bepalingen van het koninklijk besluit van 30 maart 2001 tot regeling
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatiehttp://www.health.fgov.be/pls/apex/f?p=225:1:1754521204855099.
STILZWIJGENDE VERLENGING VAN HET CONTRACT COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID Het contract coördinatie kwaliteit en patiëntveiligheid 2013 wordt stilzwijgend verlengd voor een periode van 12 maanden
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieBijlage 1 1. INLEIDING EN VERLOOP VAN DE OPDRACHT. Beknopte beschrijving van het verloop van de opdracht 2. DE WAARDERINGS- EN TOEREKENINGSREGELS
Bijlage 1 SCHEMA VAN TYPEVERSLAG OP TE STELLEN INZAKE DE FINANCIELE TOESTAND VAN DE AANVULLENDE VERZEKERING VAN DE LANDSBONDEN, DE ZIEKENFONDSEN EN DE MAATSCHAPPIJEN VAN ONDERLINGE BIJSTAND DIE GEEN VERZEKERINGEN
Nadere informatieFunctiefamilie ES Experten organisatieondersteuning
Functiefamilie ES Experten ondersteuning DOEL Instrumenten en methodes ontwikkelen* en aanpassen in een domein en de interne klanten ondersteunen bij de implementatie ervan teneinde de werking van de te
Nadere informatieProtocol dat de onafhankelijkheid van Vlaamse openbare statistieken garandeert
Protocol dat de onafhankelijkheid van Vlaamse openbare statistieken garandeert Dit protocol volgt de praktijkcode voor Europese statistieken, principe 1: Professionele onafhankelijkheid van statistische
Nadere informatieCentrum voor Politiestudies Hasselt, 8 mei 2012
Centrum voor Politiestudies Hasselt, 8 mei 2012 Jo Fransen, manager auditor Interne Audit van de Vlaamse Administratie Agenda Korte voorstelling IAVA Implementatie van interne controle binnen de Vlaamse
Nadere informatieMatrix Comply-or-Explain Code Banken 2017
Matrix Comply-or-Explain Code Banken 2017 In oktober 2014 heeft de Nederlandse Vereniging van Banken de herziene Code Banken (de "Code Banken"), onderdeel van een pakket met de naam "Future Oriented Banking"
Nadere informatieActualiteitendag Platform Deelnemersraden Risicomanagement
Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit
Nadere informatieISO9001:2015, in vogelvlucht. Door Tjarko Vrugt
ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016
Nadere informatieInhoudsopgave. BLANCO SPACES ZUIDAS - 6TH FLOOR BARBARA STROZZILAAN HN AMSTERDAM T. +31 (0)
Inhoudsopgave Inleiding... 2 1. Compliance Charter... 3 1.1. Definitie, missie en doel... 3 1.1.1. Definitie... 3 1.1.2. Missie en doel... 3 1.2. Reikwijdte... 3 1.2.1. Binnen scope... 3 1.2.2. Buiten
Nadere informatieZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE
COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID TWEEDE MEERJARENPLAN 2013-2017 Contract 2013 ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE Sp-ziekenhuizen 1 1. Inleiding Hierna volgt
Nadere informatieMartine Verluyten Voorzitter van het Auditcomité van de Vlaamse Administratie
1 Publieke versus private audit Gelijkenissen en verschillen een persoonlijke-ervaringsgebaseerde toelichting Martine Verluyten Voorzitter van het Auditcomité van de Vlaamse Administratie 2 2 1 Context
Nadere informatie6.6 Management en informatiebeveiliging in synergie
6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.
Nadere informatieInterne controlesysteem OCMW Ninove. Rapport aan de ocmw-raad over Voorstel van planning voor Raad van 09 juni 2011
www.ocmwninove.be Interne controlesysteem OCMW Ninove Rapport aan de ocmw-raad over 2010-2011 Voorstel van planning voor 2011-2013 Raad van 09 juni 2011 Rapport Interne controlesysteem 1. Inleiding Het
Nadere informatieINTERN REGLEMENT VAN HET AUDITCOMITÉ
BIJLAGE 2. INTERN REGLEMENT VAN HET AUDITCOMITÉ Dit intern reglement maakt integraal deel uit van het Corporate Governance Charter van de Vennootschap. Deze bijlage is een aanvulling op de toepasselijke
Nadere informatie2 e webinar herziening ISO 14001
2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar
Nadere informatieDe definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.
De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.
Nadere informatieAanbevelingen van de Dienst Veiligheid en Interoperabiliteit van de Spoorwegen (DVIS)
Aanbevelingen van de Dienst Veiligheid en Interoperabiliteit van de Spoorwegen (DVIS) aan de spoorwegondernemingen en de infrastructuurbeheerder werkzaam in België, met het oog op het toepassen van goede
Nadere informatieFUNCTIEFAMILIE 4.2 Beleidsthemabeheerder
Doel van de functiefamilie Het beleidsthema vanuit theoretische en praktische deskundigheid implementeren en uitbouwen teneinde toepassingen omtrent het thema te initiëren, te stimuleren en te bewaken
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS
INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de
Nadere informatieDoel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.
FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel
Nadere informatieNormen in performance audit Het Belgisch Rekenhof
Normen in performance audit Het Belgisch Rekenhof Eddy Van Loocke eerste- auditeur- revisor Rekenhof De praktijk van performance audit - 18 mei 2006 1 Indeling presentatie performance audit in het Rekenhof
Nadere informatieKwaliteitsverbetering van een bedrijfsnoodorganisatie door middel van scenario s Danny A. Jolly, Regionale brandweerorganisatie
Kwaliteitsverbetering van een bedrijfsnoodorganisatie door middel van scenario s Danny A. Jolly, Regionale brandweerorganisatie Jolly@rbogv.nl Inleiding Om verschillende typen incidenten als gevolg van
Nadere informatieIN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM
IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder
Nadere informatieBeschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN
Nadere informatieWie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING
NEN Introductie-evenement ISO 19011 AUDITING IN BEWEGING Effectief Auditprogramma Edwin Martherus, GoRisk Beatrixgebouw Utrecht, 20 sept 2018 GoRisk Wie ben ik? Ø Technisch, bedrijfskundig, financieel
Nadere informatieBCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets
BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.
Nadere informatieCommunicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder
Communicatieplan WTH Vloerverwarming in het kader van de CO2-Prestatieladder Communicatieplan, 22 Augustus 2014 1 Voorwoord Duurzaamheid is geen trend, het is de toekomst. Het is niet meer weg te denken
Nadere informatieCompliance Charter. Pensioenfonds NIBC
Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting
Nadere informatie1/ 5 BE001 13/09/2012 - BDA nummer: 2012-520705 Standaardformulier 14 - NL Implementatie van het process Problem Management
1/ 5 BE001 13/09/2012 - BDA nummer: 2012-520705 Standaardformulier 14 - NL Bulletin der Aanbestedingen Publicatieblad van de Federale Dienst e-procurement FOD P&O Wetstraat, 51 B-1040 Brussel +32 27905200
Nadere informatie