Controller controller verdedigingslinie controller procesrisico s verdedigingslinie 1a procesbeheersing verdedigingslinie 1b Risicomanagement taken

Transcriptie

1 Controller De controller maakt deel uit van de tweede verdedigingslinie (staffunctie). De controller is vanuit deze rol betrokken bij het monitoren van de beheersing van de procesrisico s door de operationele medewerkers (verdedigingslinie 1a) en de randvoorwaardelijke procesbeheersing door het tactisch management (verdedigingslinie 1b). Coördinatie en afstemming van de inrichting van de interne beheersing (randvoorwaardelijke procescontroles) met het tactisch management Afstemming van de effectiviteit van procesbeheersing en follow up van aanbevelingen met het tactisch managment en proceseigenaren In samenspraak met hoofd interne auditafdeling afstemmen van het interne controleplan met de audit commissie en externe accountant. Aanspreekpunt voor externe accountant

2 Internal auditor De internal auditor is verantwoordelijk voor het monitoren van de effectiviteit van het risicomanagementproces en maakt deel uit van de derde verdedigingslinie. De internal audit afdeling levert extra assurance aan het management omtrent de kwaliteit van de opzet van het beheersingsysteem. Beoordelen van de effectiviteit van de beheersmaatregelen belegd in de lijnorganisatie Afstemmen van risico s en risicoprofiel met management en externe accountant Inventarisatie en beoordeling van de werking van beheersmaatregelen Bepalen en afstemmen van het intern controleplan met de audit commissie en de externe accountant Uitvoeren van pré audit werkzaamheden in overleg met de externe accountant De interne auditafdeling start met het inventariseren van inherente risico s, gevolgd door het inventariseren van de in opzet aanwezige beheersmaatregelen. Afhankelijk van de mate waarin de risico s worden beheerst worden in het auditplan systeemgerichte of gegevensgerichte onderzoeken opgenomen. Hierbij ligt de nadruk in eerste instantie met name op de financiële verslaggevingsrisico s en in mindere mate op de operationele en compliance risico s. Waar mogelijk komt integrated auditing tegemoet aan wens om tevens de operationele- en compliance risico s te betrekken in de audit. Ondersteuning Clascon Beheer van risico s met behulp van Clascon Auris Risico Beheer van handmatige én geautomatiseerde beheersmaatregelen met behulp van Clascon Auris Control Opstellen van het auditplan (integrated audit) met behulp van Clascon Auris Het documenteren van auditbevindingen en follow up van aanbevelingen met behulp van Clascon Auris Op de organisatie afgestemde trainingen gericht op (operational) auditing Tijdelijke versterking van internal auditafdeling door een risicomanagement consultant Uitbesteding van de internal audit functie

3 Externe accountant De primaire rol van de externe accountant is het controleren van financiële verantwoording van de organisatie en het geven van een onafhankelijk oordeel hierover. De externe accountant bevindt zich hiermee in de 4 e verdedigingslinie. Het onderzoek van de externe accountant verschaft extra zekerheid aan het maatschappelijk verkeer waaronder aandeelhouders, kredietverschaffers, klanten en leveranciers. De externe accountant beoordeelt de processen welke gerelateerd zijn aan de financiële verslaggeving. Rapportage aan het bestuur vindt plaats door middel van een management letter. In bepaalde gevallen geeft de accountant tevens een verklaring af omtrent de kwaliteit van het interne risicobeheersingssysteem en eventueel het In Control Statement. Een dergelijke verklaring wordt bijvoorbeeld afgegeven in het kader van de Amerikaanse Sarbanes Oxley Act. Indien de interne auditafdeling periodiek de werking van de beheersmaatregelen toetst, kan de externe accountant hier bij zijn controlewerkzaamheden mogelijk op steunen. Dit vereist uiteraard een goede afstemming inzake de aanpak van de auditwerkzaamheden. Risicomanagment taken Verschaffen van een oordeel inzake de juistheid van de financiële verslaggeving Verschaffen van een oordeel inzake het voldoen aan compliance vereisten Beoordelen van de effectivteit van interne beheersing aan financiële verslaggeving gerelateerde processen Verstrekken van een in Control Statement

4 Toezichthouder De 5 e verdediginglinie binnen de organisatie betreft de toezichthouder, zoals de raad van commissarissen (of raad van toezicht) en het audit committee als sub committee De rol van de toezichthouder heeft betrekking op het evalueren van de strategie en risico s welke verbonden zijn aan de ondernemers activiteiten en aan het evalueren van de opzet en werking van het interne risicobeheersings- en controlesysteem. Deze rol is uitgewerkt in diverse Corporate Governance codes uitgewerkt, zoals in de code Tabaksblatt. Realisatie van de doelstellingen van de organisatie De strategie en de risico s verbonden aan de ondernemingsactiviteiten Opzet en werking van de interne risicobeheersings- en controlesystemen Het financiële verslaggevingsproces De naleving van wet en regelgeving

5 Proceseigenaar De proceseigenaar maakt deel uit van de 1 e verdedigingslinie (sub a), en is betrokken bij de beheersing van procesrisico s. Het betreft hier operationele, rapportage en toezichtrisico s. De proceseigenaar is hiermee verantwoordelijk voor het uitvoeren van de beheersmaatregelen binnen de operationele bedrijfsvoering. Het betreft hier de primaire en de ondersteunende bedrijfsprocessen. In de praktijk betekent dit het uitvoeren van handmatige of geautomatiseerde procescontroles, zoals het verifiëren van of inkoopnota s zijn geautoriseerd door door budgethouders (inkoopproces) of dat het uitvoeren van invoercontroles van salarissen of declaraties (personeelsproces). De administatieve organisatie en interne beheersing vormt de basis voor de uitvoering van dergelijke controles. Uitvoeren van preventieve en detectieve handmatige procescontroles Verantwoordelijk voor de juiste werking van preventieve en detectieve geautomatiseerde procescontroles binnen diverse applicaties Rapporteren van uitgevoerde beheerstaken en trends aan tactisch management Afstemmen van de effectiviteit van interne beheersingsmaatregelen met tactisch management Signaleren inefficiency in het beheersingsproces en het doen van verbetervoorstellen hiervan aan tactisch management. Bijvoorbeeld het automatiseren van handmatigecontroles. Indien risicomanagement geimplementeerd wordt vanuit de operationele bedrijfsvoering vormen de proceseigenaren een eerste vangnet voor het identificeren van risico s en het uitvoeren van beheersingsmaatregelen. Hiermee betreft het een bottom up aanpak. Het implementeren vanuit deze verdedigingslinie betekent concreet het inventariseren van inherente risico s op proces niveau en het inrichten van passende beheersmaatregelen. De wijze waarop risico s en beheersmaatregelen worden gedocumenteerd kan als basis dienen voor het documenteren van risico s en beheersingsmaatregelen binnen andere processen. Aanvullend kan op basis van de gedocumenteerde proces- en projectrisico s een interne rapportagestructuur worden ingericht op basis waarvan het tactisch en strategisch management taakbeheersing kan toepassen. Beheer van risico s met behulp van Clascon Auris Risico Beheer van handmatige én geautomatiseerde beheersmaatregelen met behulp van Clascon Auris Control Op de organisatie afgestemde trainingen gericht op procesrisicomanagement Ondersteuning bij inventarisatie van operationele, financiële en rapportage risico s Ondersteuning bij inventarisatie van procesbeheersingsmaatregelen Advies inzake beoordeling effectiviteit en efficiency procesbeheersing Inzicht in stand van zaken door middel van een volwassenheidsscan

6 Hoofddirectie De hoofddirectie maakt deel uit van de eerste verdedigingslinie (sub c) en is primair verantwoordelijk voor het bewaken van het totale risicomanagementproces. Zowel op strategisch niveau als op procesniveau. We merken hierbij op dat het monitoren van de effectiviteit van het strategisch risicomanagement rechtstreeks door de topdirectie plaatsvindt. Immers, het middelmanagement vervult ten aanzien van strategisch risicomanagement een uitvoerende rol. Ten aanzien van procesrisicomanagement beoordeelt de topdirectie de effectiviteit niet rechtstreeks, maar steunt in belangrijke mate op rapportages van het tactisch management (eerste verdedigingslinie sub b), de interne assurance functie (3 e verdedigingslinie) en de externe audit functie (4 e verdedigingslinie). Naast het beoordelen van de effectiviteit van de beheersing is het strategische management ondermeer betrokken bij andere risicomanagement aangelegenheden zoals het goedkeuren van de risicostrategie, het risicobeleid, het vaststellen van risico-toleranties, het beoordelen van de effectiviteit van het stelsel van risicomanagement en interne beheersing en eventueel het verstrekken van een In Control Statement. De algemeen directeur van de organisatie draagt hierbij de ultieme eindverantwoordelijkheid. Bewaken van het totale risicomanagmentproces Opstellen van een strategische planning Goedkeuren van de risiscostrategie en het risicobeleid Vaststellen van de risicotolerantie Richting geven aan management control en taakbeheersing en monitoren van de uitvoering door het tactisch management Toekennen van mensen en middelen aan lagere echelons voor de adequate uitvoering van het risicomanagementproces Verstrekken van een In Control Statement Bij het implementeren van risicomanagement vanuit het topmanagement is sprake van een top down benadering. De hoofddirectie vormt hierbij de initiatiefnemer waarbij interne beheersing zich toespitst op de beheersing van de belangrijkste strategische of procesrisico s. Het vetrekpunt is de aanwezigheid van een heldere bedrijfsstrategie en bijbehorende doelstellingen. De strategie en de doelstellingen vormen de bakermat voor het identificeren van strategische risico s. De hoofddirectie inventariseert de bedreigingen voor het realiseren van de doelstellingen door middel van workshops. Dit vormt de basis voor het definiëren van passende interne managementbeheersing door het tactisch management. Kenmerkend voor een implementatie van risicomanagement vanuit de topdirectie is de aandacht aan kansen. Kansen leiden tot nieuwe doelstellingen die vertaald dienen te worden in bijbehorende actieplannen en prestatieindicatoren. Monitoring van strategische doelstellingen met behulp van de Clascon Businessplanner Monitoring van doelstellingen op tactisch en uitvoerend niveau, doorvertaald vanuit de strategische doelstellingen met behulp van de Clascon Businessplanner Monitoring van managment controles met behulp van Clascon Auris

7 Ondersteuning bij het inventariseren van strategische risico s, en passende beheersmaatregelen Trainingen op gebied van het inventariseren van strategische doelstellingen, kansen, risico s en passende beheersmaatregelen

8 Middel manager binnen het risicomanagementproces Het middelmanagment (tactisch management) maakt deel uit van de eerste verdedigingslinie (sub b). Het middelmanagement is verantwoordelijk voor het operationeel managen van procesrisico s en het rapporteren aan de directie over de effectiviteit van interne beheersingsmaatregelen binnen primaire en secondaire processen. De rol van het middelmanagement beperkt zich niet tot het (periodiek) inventariseren en beoordelen van procesrisico s en het rapporteren hierover. Het middelmanagement heeft ook een expliciete rol in het uitwerken van risicostrategieen op operationeel niveau en het aanreiken van input voor het formuleren van de risicomanagementstrategie op strategisch niveau. Naast het topmanagement (verdedigingslinie 1c) zijn het middelmanagement en proceseigenaren (verdediginslinie 1a) van elementair belang voor een succesvolle uitvoering van het risicomanagementproces. Het middelmanagement vervult een uitvoerende rol ten aanzien van strategisch risicomanagement. Dit is enigszins vergelijkbaar met de uitvoerende rol van proceseigenaren ten aanzien van procesrisico s. Strategische doelstellingen en hieraan verbonden risico s worden uitgewerkt in bedrijfs- en afdelingsplannen binnen de planning en controlcyclus. Het periodiek evalueren van de effectiviteit van strategisch risicomanagement vindt plaats door het strategisch management op basis van management rapportages van het tactisch management. Risicomanagment taken Vertalen van strategische doelstellingen naar procesdoelstellingen Vertalen van strategische risico s naar procesrisico s Ontwerpen van handmatige en geautomatiseerde procesbeheersmaatregelen Toetsen van de uitvoering van procesbeheersing door de proceseigenaren Operationeel managen van procesrisico s en procesbeheersing Rapporteren over de effectiviteit van procesrisicomanagment aan hoofddirectie Bij de implementatie van risicomanagement vanuit het tactisch management vervult deze een toezichthoudende rol ten aanzien van de uitvoering van procesrisico s. Het tactisch management vervult echter een uitvoerende rol ten aanzien van de top directie. In dit kader dient het tactisch mangement uitvoering te geven aan de afdelingsplannen. Bij de implementatie vanuit het middel managment is er veelal sprake van dat de procescontroles op operationeel niveau bekend zijn en voldoende zijn uitgewerkt. De implementatie richt zich hierbij met name op de key controls binnen processen en applicaties en formuleren van toezicht ten aanzien van de werking van deze key controls Managen van doelstellingen op tactisch en uitvoerend niveau, doorvertaald vanuit de strategische doelstellingen met behulp van de Clascon Businessplanner Managen van procesrisico s met behulp van Clascon Auris Risico Managen van handmatige én geautomatiseerde procesbeheersmaatregelen met behulp van Clascon Auris Control Monitoring van managment controles met behulp van Clascon Auris Verzorgen van trainingen op gebied van het interne management beheersing

9 Human Resource manager De human resource manager maakt deel uit van de tweede verdedingslinie (stafafdeling) en is verantwoordelijk van het adequaat afstemmen van de personele capaciteit op de behoeften van de organisatie. Het topmanagement geeft vorm aan de risicostrategie, welke de basis vormt voor de gewenste interne management beheersing. De interne managment beheersing wordt door het tactisch management uitgewerkt in bedrijfsplannen en onderliggende afdelingsplannen. Voor het realiseren van de afdelingsplannen is een bepaalde personele capaciteit vereist. Deze capaciteit bestaat mede uit een kwalitatief element; om risicomanagement op de juiste wijze vorm te geven zal de juiste kennis en vaardigheden bij medewerkers aanwezig dienen te zijn. De human resource manager zal hier bij het aanname- en ontslagproces rekening mee houden. Bij een kloof tussen benodigde capaciteit (kwantitatief en/of kwalitatief) en beschikbare capaciteit kan de human resource manager besluiten tot het laten opleiden van personeel op risicomanagement terrein, het tijdelijk inlenen van professionals of uitbesteding van bepaalde risicomanagement activiteiten. Afstemmen van de afdelingsplannen met het tactisch management en de vereisten hiervan voor de personele capaciteit Realiseren van de gewenste personele capaciteit (kwantitatief en kwalitatief) op basis van de afdelingsplannen Beoordelen van (risicomanagement) vaardigheden bij het aanname en ontslagproces Zorgdragen voor het juiste kennisniveau van de medewerkers op het gebied van risicomanagement door het bieden van opleidingsmogelijkheden Inhuur van externe professionals bij onvoldoende capaciteit Uitbesteding van werkzaamheden als gevolg van kosten-baten analyse Het tijdelijk versterken van afdelingen op het gebied van risicomanagement taken Verzorgen van risicomanagement trainingen ten aanzien van iedere gewenste verdedigingslinie

10 ICT manager De ICT manager maakt deel uit van de tweede verdedigingslinie en is verantwoordelijk voor de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Geautomatiseerde gegevensverwerking binnen processen kent specifieke procesrisico s. Voor het effectief managen hiervan is het van belang dat de beheersing van geautomatiseerde processen adequaat functioneert. Hierbij wordt onderscheid gemaakt in algemene ICT controles en applicatie controles. Met betrekking tot algemene computer controles is de ICT manager onder andere verantwoordelijk voor een adequaat IT beleid, change management en systeemontwikkeling. De verantwoordelijkheid op het gebied van applicatiecontroles richt zich op onder andere configuratie instellingen, mater data beveiliging en control override. Afstemmen van gewenste niveau van beheersing op basis van productnormen, vastgesteld door het topmanagement Ontwikkelen en onderhoud van een adequaat stelsel van general IT controles Ontwikkelen en onderhoud van applicatiecontroles Afstemming van audit uitkomsten met de internal audit afdeling en/of met een EDP auditor inzake de effectieve werking van de geautomatiseerde beheersmaatregelen vanuit de stafafdeling ICT houdt in dat er een vangnet gecreëerd wordt binnen de operationele bedrijfsvoering. Een proces wordt veelal gedeeltelijk handmatig en gedeeltelijk geautomatiseerd uitgevoerd. Deze twee vormen kunnen elkaar versterken, maar ook verzwakken. Daarom is het bij vorm van implementatie aan te bevelen in samenwerking met de proceseigenaren te inventariseren in hoeverre handmatige beheersmaatregelen een rol spelen binnen het proces en op welke wijze deze functioneren. Aan een adequate implementatie van geautomatiseerde beheersmaatregelen gaat veelal een kosten-baten analyse vooraf. Managen van geautomatiseerde procesbeheersmaatregelen met behulp van Clascon Auris Control Ondersteuning bij het inventariseren van IT gerelateerde procesrisico s Ondersteuning bij inventarisatie en advies van algemene ICT maatregelen en applicatie controles Verzorgen van trainingen op het gebied van IT auditing

11 Projectleider De projectleider maakt deel uit van de eerste verdediginglinie. De projectleider is belast met het herkennen de van projectrisico s die ontstaan bij het uitvoeren van projecten. Dit betreffen externe of interne factoren die het bereiken van projectdoelstellingen in de weg kunnen staan. Projectrisico s kunnen zowel proces- als productgeoriënteerd zijn. Met procesgeorienteerde projectrisico s worden risico s bedoeld welke samenhangen met de uitvoering van het project. Product-georienteerde projectrisico s hebben betrekking op de kwaliteit van de uitkomsten van het project zoals bijvoorbeeld een blauwdruk, een plan van aanpak en dergelijke. Inventarisatie van projectrisico s Zorgdragen voor de implementatie van een adequaat stelsel van interne beheersmaatregelen Een implementatie van risicomanagement binnen de uitvoering van projecten houdt in dat gestart wordt met het inventariseren van de projectdoelstellingen. Vervolgens zal een inventarisatie gemaakt worden van de interne en externe factoren die het behalen van de projectdoelstellingen bedreigen. De projectleider zal op basis van een kosten-baten analyse adequate beheersingsmaatregelen voorstellen om de projectrisico s te managen. Hierbij kan zowel gebruik worden gemaakt van handmatige als geautomatiseerde beheersmaatregelen. Managen van projectrisico s met behulp van Clascon Auris Risico Managen van beheersingmaatregelen met behulp van Clascon Auris Control Ondersteuning bij het inventariseren van projectrisico s Ondersteuning bij inventarisatie en advies van beheersmaatregelen t.a.v. projectrisico s Verzorgen van trainingen op het gebied van project risicomanagement Het tijdelijk versterken van het projectteam op het gebied van risicomanagement taken