GOVERNANCE, RISK & COMPLIANCE EN DE INTERNAL AUDIT FUNCTIE

Maat: px
Weergave met pagina beginnen:

Download "GOVERNANCE, RISK & COMPLIANCE EN DE INTERNAL AUDIT FUNCTIE"

Transcriptie

1 GOVERNANCE, RISK & COMPLIANCE EN DE INTERNAL AUDIT FUNCTIE Afstudeerreferaat voor de Executive Master of Internal Auditing Universiteit van Amsterdam Amsterdam Business School ir. J.M. Heijmans (Jutta) Studentnummer: Afstudeer begeleider: drs. E.A.C.M. van Hecke RA RO CIA (Ed) Amsterdam, juli 2009

2 EXECUTIVE SUMMARY Governance, Risk & Compliance (GRC) is een term die meer en meer in de vakliteratuur voorkomt. Ook binnen mijn werkkring hoor ik deze term regelmatig. GRC is een gestructureerde aanpak van alle governance, risk en compliance initiatieven in de organisatie. Aangezien ik verwacht dat GRC bij veel organisaties speelt, stel ik de volgende probleemstelling centraal in dit referaat: Wat zijn de gevolgen van de ontwikkelingen met betrekking tot Governance, Risk & Compliance op de internal audit functie in theorie en praktijk? Ik heb bovenstaande probleemstelling onderzocht door bureauonderzoek uit te voeren naar literatuur op dit gebied. Vervolgens heb ik de theorie getoetst door interviews te houden met (voornamelijk) Chief Audit Executives (CAE s) zeven grote (op één na) aan de AEX genoteerde ondernemingen. THREE LINES OF DEFENCE? Momenteel wordt de term Three Lines of Defence (figuur 2.1, pag. 5) gebruikt in zowel theorie als praktijk en hebben de assurance-functies een plaats binnen dit model. Echter, in de theorie is er geen overeenstemming over de indeling van de assurance-functies binnen het model. In het bijzonder met betrekking tot de tweede lijn is men het er niet over eens welke functies hiertoe behoren. Ook in de praktijk variëren de meningen over welke functies tot de tweede lijn behoren. Daarbij komt dat uit zowel theorie als praktijk blijkt dat de tweede lijn assurance-functies bij veel bedrijven nog niet volwassen zijn. Hierdoor zet ik vraagtekens bij hoe concreet dit model eigenlijk is en of het in de praktijk wel werkt. Ik ben ervan overtuigd dat een GRC raamwerk een verbetering kan betekenen van de wijze waarop de assurance-functies worden aangestuurd en daarmee kan ook het Three Lines of Defence model in de praktijk meer betekenis krijgen. Maar het belangrijkste is in mijn ogen het verkrijgen van inzicht in de assurance-functies in de organisatie. Wat voegen de assurance-functies nu toe aan governance, risicomanagement en compliance? Wat zou dat moeten zijn? En wat mag dat kosten? GRC ONTWIKKELINGEN Volgens de theorie hebben bedrijven de afgelopen jaren door wet- en regelgeving grote investeringen gedaan in hun assurance-functies zoals compliance, internal control, risico management en internal audit. Daardoor zijn zowel onwenselijke dupliceringen van werkzaamheden van assurance-functies, als onopgemerkte gaten tussen deze werkzaamheden ontstaan. Ook hebben de assurance-functies vaak eigen definities van belangrijke termen als bijvoorbeeld risico wat voor verwarring zorgt binnen de organisatie. Dit alles leidt tot de behoefte aan overzicht over de assurance-functies en de behoefte om efficiënter met elkaar samen te werken. Deze behoefte was al zichtbaar voor de kredietcrisis, maar de crisis zorgt additioneel aan J.M. Heijmans 2009 I

3 de ene kant voor een toenemende behoefte aan effectieve assurance, maar aan de andere kant tot noodzakelijke kostenreducties; een spagaat. Bovenstaande zijn belangrijke drijfveren voor het implementeren van een GRC raamwerk. Binnen een GRC raamwerk krijgen alle assurance-functies een plek en wordt duplicering van werkzaamheden en/of gaten daartussen inzichtelijk gemaakt. In de praktijk geven vrijwel alle geïnterviewde CAE s aan met GRC bezig te zijn. GRC is in de praktijk echter nog niet volwassen; nergens heb ik een volledig geïmplementeerd en volwassen GRC raamwerk gezien. Doordat de zekerheid toeneemt dat alle risico s in voldoende mate zijn afgedekt, zien CAE s de voordelen van het beter op elkaar aansluiten van de assurance-functies. Ook zien zij de voordelen van afname van dubbele werkzaamheden en daarmee minder belasting van de eerste lijn. Wat mij echter verbaasd, is dat volgens de geïnterviewde CAE s het implementeren van een GRC raamwerk niet als een direct middel wordt gezien om kosten te besparen. GRC IMPLEMENTATIE Hoewel vrijwel alle geïnterviewde CAE s aangeven dat GRC speelt, heb ik in de praktijk grote verschillen waargenomen in de stadia van volwassenheid ten aanzien van GRC strategie en implementatie ervan. Het meest vergevorderd is een bedrijf waar vanuit de raad van bestuur een duidelijke visie aanwezig is ten aanzien van GRC. De verschillende bestuursleden blijven bewust elk verantwoordelijk voor hun eigen assurance-functies om een gezonde spanning in stand te houden. Ze maken echter wel gezamenlijk keuzes ten aanzien van wat zij verwachten van elk van de assurance-functies. Een ander bedrijf is daarentegen nog niet begonnen er over na te denken. Bij alle bezochte bedrijven rapporteren de assurance-functies aan verschillende leden van de raad van bestuur. Hierdoor is het volgens mij absoluut noodzakelijk om op dat niveau overeenstemming te hebben en keuzes te maken over GRC. Er zullen namelijk altijd belangen spelen tussen de assurance-functies, waardoor duidelijkheid vanuit de top noodzakelijk is om snel en voldoende overeenstemming te verkrijgen. Tijdens de interviews zijn voorbeelden aan de orde gekomen die leiden tot suboptimale beslissingen over GRC. Het meest sprekende voorbeeld is dat van een bedrijf waar sommige business units een voorbereidende audit laten uitvoeren om klaar te zijn voor internal audit. GEVOLGEN VOOR POSITIE INTERNAL AUDIT De organisatorische positie van internal audit zal niet veranderen. De rapportagelijnen blijven hetzelfde. Dit is logisch aangezien audit onafhankelijk moet blijven van de overige functies waar zij zekerheid over verschaft. J.M. Heijmans 2009 II

4 GEVOLGEN VOOR KERNTAAK INTERNAL AUDIT De kerntaak van internal audit zal volgens de theorie niet veranderen door de GRC ontwikkelingen. Dit wordt in de praktijk bevestigd, maar een aantal CAE s verwacht wel dat de kerntaak van internal audit duidelijker afgebakend wordt binnen het GRC raamwerk, net als de taken van de andere assurance-functies. Assurance geven over de beheersing van risico over de volle breedte van het bedrijf blijft volgens mij de kerntaak van internal audit. GEVOLGEN VOOR PLANNING EN UITVOERING KERNTAAK Resultante van GRC is dat er zicht zal bestaan in de onderneming op wie welke assurance geeft op welke risico. Hiervoor wordt in de theorie een assurance-overzicht voorgesteld, dat de koppeling weergeeft tussen enerzijds de strategie, doelstellingen, processen en governance van de organisatie en anderzijds de daarbij behorende risico s, controls en assurance die daarover door verschillende functies wordt gegeven. De mate van assurance en kosten van deze assurance kunnen hieraan worden toegevoegd. In de praktijk wordt dit overzicht echter pas bij één bedrijf uitgewerkt. Omdat internal audit de meest volwassen functie is en het benodigde overzicht heeft, is internal audit bij uitstek geschikt om het initiatief te nemen voor het opstellen van het assurance-overzicht. De raad van bestuur kan vervolgens, gebaseerd op dit inzicht, de keuze maken welke assurance zij van welke functie verlangt op welk risico en wat dat mag kosten. STEUNEN OP DE ANDERE ASSURANCE-FUNCTIES In zowel theorie als praktijk komt naar voren dat, afhankelijk van de volwassenheid van de tweede lijn assurance-functie, internal audit meer of minder steunen kan op het werk van deze functie. Hoe meer volwassen, hoe minder diep de audit-werkzaamheden hoeven te gaan. Om zekerheid te verschaffen over de kwaliteit van de werkzaamheden van de functie waarop gesteund wordt dient internal audit deze functie wel op te nemen in haar audit plan. TOEKOMST De belangrijkste taak van internal audit is en blijft het onafhankelijk assurance geven over de beheersing van risico s over de volle breedte van het bedrijf. In theorie is het zo dat wanneer het GRC raamwerk en de functies daarbinnen meer volwassenen worden, internal audit daar meer op kan steunen en zelf minder werkzaamheden hoeft uit te voeren. Internal audit zal dan vanuit een hoger niveau assurance geven aan de raad van bestuur en de auditcommissie. J.M. Heijmans 2009 III

5 INHOUDSOPGAVE EXECUTIVE SUMMARY...I INHOUDSOPGAVE...IV 1 ONDERZOEKSOPZET AANLEIDING VOOR HET ONDERZOEK PROBLEEMSTELLING EN ONDERZOEKSVRAGEN WERKWIJZE EN ONDERZOEKSMETHODE INLEIDING GOVERNANCE, RISK & COMPLIANCE DEFINITIE GRC FUNCTIES BINNEN GRC GRC ASSURANCE FUNCTIES & AFBAKENING GRC ONTWIKKELINGEN EN DE GEVOLGEN THEORIE GRC ONTWIKKELINGEN THEORIE POSITIE INTERNAL AUDIT THEORIE KERNTAAK INTERNAL AUDIT THEORIE PLANNING EN UITVOERING KERNTAAK THEORIE SAMENVATTING THEORIE GRC ONTWIKKELINGEN EN DE GEVOLGEN PRAKTIJK INLEIDENDE VRAGEN GRC ONTWIKKELINGEN PRAKTIJK POSITIE INTERNAL AUDIT PRAKTIJK KERNTAAK INTERNAL AUDIT PRAKTIJK PLANNING EN UITVOERING KERNTAAK PRAKTIJK SAMENVATTING PRAKTIJK CONCLUSIE INLEIDING GRC ONTWIKKELINGEN THEORIE VS PRAKTIJK POSITIE INTERNAL AUDIT THEORIE VS PRAKTIJK KERNTAAK INTERNAL AUDIT THEORIE VS PRAKTIJK PLANNING EN UITVOERING KERNTAAK THEORIE VS PRAKTIJK TOEKOMST BIJLAGE A LITERATUURLIJST BIJLAGE B INTERVIEWPROTOCOL BIJLAGE C ASSURANCE FUNCTIES PER BEDRIJF BIJLAGE D INTERNAL AUDIT & ERM J.M. Heijmans 2009 IV

6 1 ONDERZOEKSOPZET In dit hoofdstuk wordt de opzet van het onderzoek toegelicht. Als eerste komt de aanleiding voor het onderzoek aan bod, waaruit de probleemstelling en de onderzoeksvragen volgen. Daarna zal ik de gevolgde werkwijze beschrijven. 1.1 AANLEIDING VOOR HET ONDERZOEK In mijn werkomgeving spreekt men steeds vaker over Governance, Risk & Compliance (GRC). Ik doel hiermee op het geheel aan GRC functies binnen een organisatie, niet te verwarren met de zogenaamde GRC software. Concrete voorbeelden van GRC functies zijn bijvoorbeeld risk management, internal control en compliance. De GRC assurance-functies worden meer en meer op elkaar aangesloten, zoals ik ook binnen mijn eigen organisatie heb waargenomen. Het geheel dient er voor te zorgen dat organisaties in control zijn en effectief en efficiënt functioneren. Aangezien ik zelf binnen internal audit werk vind ik de positie van internal audit binnen GRC en ten opzichte van de overige (assurance) functies bijzonder boeiend. Ook de invloed van de ontwikkelingen binnen GRC op de kerntaak van internal audit en de planning en uitvoering van de kerntaak raakt mijn dagelijks werk. Zeker aangezien de GRC functies meer en meer op elkaar worden aangesloten, is mijn verwachting dat dit ook impact heeft op de internal audit functie. Ik ben dan ook erg benieuwd naar de wijze waarop andere grote bedrijven omgaan met de veranderingen met betrekking GRC en wat hierover geschreven is. De activiteiten van de andere assurance-functies zijn namelijk van invloed op de internal audit functie. Zowel het bereik, als ook de aard en diepgang van de geplande audit-werkzaamheden worden erdoor beïnvloed. Dit zowel met betrekking tot identificatie van risico s als met betrekking tot het implementeren, uitvoeren en beoordelen van de effectiviteit van de in de organisatie aanwezige beheersmaatregelen. Mijn doel is om een vergelijking te maken tussen de theorie, zoals geschetst in de literatuur, en de praktijk bij een aantal grote Nederlandse bedrijven om daarmee de ontwikkelingen op het gebied van GRC te beschrijven en de gevolgen van deze ontwikkelingen op de internal audit functie. J.M. Heijmans

7 1.2 PROBLEEMSTELLING EN ONDERZOEKSVRAGEN Bovenstaande leidt ertoe dat ik de volgende centrale probleemstelling heb geformuleerd, die ik door middel van deelvragen wil onderzoeken en beantwoorden. Wat zijn de gevolgen van de ontwikkelingen met betrekking tot Governance, Risk & Compliance op de internal audit functie in theorie en praktijk? De centrale vraag leidt tot de volgende deelvragen: 1. Wat zijn de ontwikkelingen met betrekking tot GRC in de theorie? 2. Wat zijn de gevolgen hiervan op de internal audit functie in de theorie? a. Positie binnen de organisatie; b. Gevolgen voor de kerntaak van internal audit; c. De planning en uitvoering van de kerntaak. 3. Wat zijn de ontwikkelingen met betrekking tot GRC in de praktijk? 4. Wat zijn de gevolgen hiervan op de internal audit functie in de praktijk? a. Positie binnen de organisatie; b. Gevolgen voor de kerntaak van internal audit; c. De planning en uitvoering van de kerntaak. 5. Wat zijn de overeenkomsten en verschillen tussen theorie en praktijk? 1.3 WERKWIJZE EN ONDERZOEKSMETHODE De strategie die ik heb gevolgd bij het uitvoeren van dit onderzoek bestaat uit drie delen: 1. Literatuuronderzoek; 2. Praktijkonderzoek; 3. Vergelijking theorie vs. praktijk. Deze drie onderdelen worden hieronder toegelicht. DEEL 1 LITERATUUR ONDERZOEK HOOFDSTUK 3 Het eerste deel bestond uit het uitvoeren van een bureau onderzoek naar de beschikbare literatuur. Ik heb hiervoor verschillende bronnen geraadpleegd. Dit waren voornamelijk de catalogus van de IIA/NIVRA bibliotheek, maar ook zoekmachines op Internet, literatuur beschikbaar gesteld tijdens de vakken van de RO opleiding en op de website van het Institute van Internal Auditors (IIA). Ook de website was een goede bron van informatie, aangezien deze een zeer uitgebreid GRC gedeelte heeft. Ik heb hierbij zoektermen als Governance, Risk, Compliance, maar ook Audit en Planning gebruikt. Met de verzamelde informatie heb ik de onderzoeksvragen vanuit de theorie beantwoord. De gebruikte literatuur is bijgevoegd in bijlage A. J.M. Heijmans

8 DEEL 2 PRAKTIJK ONDERZOEK HOOFDSTUK 4 Het tweede deel bestond uit het interviewen van (voornamelijk) Chief Audit Executives (CAE) bij een zevental grote Nederlandse bedrijven. Het interviewprotocol dat is gebruikt voor de interviews is bijgevoegd als bijlage B. Bij een aantal bedrijven heb ik additioneel naast de CAE ook gesproken met personen uit de risk functie en/of personen van audit vaktechniek. In de gevallen dat ik meer dan één persoon heb gesproken binnen één bedrijf hebben de geïnterviewden geen verschillende inzichten met betrekking tot de GRC ontwikkelingen en de gevolgen daarvan. De interviews heb ik na afloop schriftelijk teruggekoppeld aan de geïnterviewden. Voor het praktijk gedeelte heb ik grote Nederlandse bedrijven gekozen vanwege de relatief volwassen internal audit afdelingen en omdat deze bedrijven (waarschijnlijk) goed uitgewerkte GRC assurance-functies hebben. Daarnaast vond ik het belangrijk om bedrijven uit verschillende branches in mijn onderzoek te betrekken om zo een breed beeld te verkrijgen. NB: De informatie die verstrekt is tijdens de interviews is geanonimiseerd verwerkt in dit referaat. De bedrijven worden verder in dit referaat aangeduid met de letters A t/m G en in een andere volgorde gepresenteerd dan de volgorde hierboven. In bijlage C worden voor de bedrijven de cijfers 1 t/m 7 gebruikt in worden zij wederom in een andere volgorde weergegeven. Met de tijdens de interviews verkregen informatie zijn de onderzoeksvragen vanuit de praktijk beantwoord. DEEL 3 VERGELIJKING THEORIE & PRAKTIJK HOOFDSTUK 5 Tenslotte heb ik een vergelijking gemaakt tussen theorie en praktijk. Hier wordt duidelijk of de belangrijkste ontwikkelingen op het gebied van GRC, zoals in de theorie beschreven, ook in de praktijk te herkennen zijn. J.M. Heijmans

9 2 INLEIDING GOVERNANCE, RISK & COMPLIANCE In dit hoofdstuk volgt een inleiding op Governance, Risk en Compliance. Daarna worden de functies binnen GRC besproken en de afbakening voor dit referaat uiteengezet. 2.1 DEFINITIE GRC Eerst wil ik een beter beeld scheppen van de onderdelen van GRC aan de hand van de definities zoals gehanteerd door de Open Compliance and Ethics Groep (OCEG). De OCEG is een groepering van personen uit verschillende disciplines, verschillende bedrijfstakken en uit verschillende landen die samen een GRC raamwerk hebben beschreven in hun Redbook. Governance, Risk & Compliance staan volgens [OCEG, 2009] voor: Governance is the culture, values, mission, structure and layers of policies, processes and measures by which organizations are directed and controlled. Risk is the probability of something happening that will have an adverse impact on objectives, so Risk Management is the systematic application of processes and structures that enable an organization to identify, assess, analyze, optimize, monitor, improve, or transfer risk while communicating risk and risk decisions to stakeholders. The overriding goal of risk management is to realize potential opportunities while managing adverse effects of risk. Compliance is the act of adhering to, and the ability to demonstrate adherence to, mandated requirements defined by laws and regulations, as well as voluntary requirements resulting from contractual obligations and internal policies. Ik gebruik de definitie zoals opgesteld door [OCEG, 2009] als uitgangspunt voor dit referaat, aangezien ik vind dat de verschillende GRC activiteiten goed aan bod komen binnen deze definitie. De definitie is daarnaast gestalte gegeven door veel partijen en is van recente datum. De definitie van GRC volgens [OCEG, 2009]: GRC is a system of people, processes and technology that enables an organization to: - understand and prioritize stakeholder expectations; - set business objectives congruent with values and risks; - achieve objectives while optimizing risk profile and protecting value; - operate within legal, contractual, internal, social and ethical boundaries; - provide relevant, reliable and timely information to appropriate stakeholders; and - enable the measurement of the performance and effectiveness of the system. A GRC activity then, is any process or activity that contributes to or is part of the system. J.M. Heijmans

10 2.2 FUNCTIES BINNEN GRC Er is een veelvoud aan functies te onderscheiden binnen de GRC omgeving van organisaties. De meest voorkomende functies binnen de GRC omgeving zijn volgens [OCEG, 2009]: GRC activities typically include: - Governance - Strategy and Business Performance Management - Risk Management - Compliance - Internal Control - Corporate Security - Legal - Information Technology - Business Ethics - Sustainability and Corporate Social Responsibility - Quality Management - Human Capital and Culture - Audit and Assurance - Finance 2.3 GRC ASSURANCE-FUNCTIES & AFBAKENING Zoals bekend worden functies in ondernemingen ook wel ingedeeld naar het Three Lines of Defence model. Het Three Lines of Defence is door [Deloitte, 2008] als volgt weergegeven: 1st Line of Defence 2nd Line of Defence 3rd Line of Defence Business Lines Business Control Activities Compliance Legal Health & Safety Quality Security, investigations, etc Audit Function Figuur 2.1 Three Lines of defence naar [Deloitte, 2008] Dit referaat richt zich op het deel van GRC binnen de tweede en derde verdedigingslinie. Dit omvat functies die ook wel zijn aan te duiden met (in mijn ogen) synoniemen als GRC assurance-functies, oversight functions of assurance providers. Ik heb voor deze afbakening gekozen omdat ik verwacht dat de GRC ontwikkelingen vooral invloed zullen hebben op de samenwerking tussen internal audit en de assurance-functies uit de tweede lijn. J.M. Heijmans

11 Uit de complete lijst met GRC functies volgens [OCEG, 2009], heb ik de assurance-functies geselecteerd die binnen de tweede en derde verdediginglinie vallen. Dit is een uitgebreidere lijst dan door [Deloitte, 2008] wordt weergegeven in bovenstaande figuur, echter ik ben van mening dat functies als risk management en internal control belangrijke assurance-functies zijn uit de tweede lijn. De theorie is niet eenduidig over de wijze waarop functies ingedeeld worden naar de drie verdedigingslinies. [KPMG, 2006] deelt bijvoorbeeld op een andere wijze in dan [Deloitte, 2008], vandaar dat ik mijn eigen indeling maak op basis van de lijst van [OCEG, 2009]. De lijst met GRC assurance-functies is: GRC Assurance-functies: - Risk Management - Compliance - Internal Control - Corporate Security - Legal - Quality Management - Audit and Assurance Daarnaast zijn er nog andere assurance-functies, afhankelijk van het type bedrijf, die niet specifiek genoemd worden door [OCEG, 2009]. Health & safety dat door [Deloitte, 2008] wordt genoemd is hier een voorbeeld van. Voor dit referaat is de precieze afbakening van de Three Lines of Defence verder buiten beschouwing gelaten. Maar het is van belang te realiseren dat momenteel in de theorie is er geen overeenstemming bestaat over de indeling van de assurance-functies binnen het model. In het bijzonder met betrekking tot de tweede lijn is men het er niet over eens welke functies hiertoe behoren en op basis waarvan dit zo is. In mijn referaat worden alleen de interne GRC assurance-functies besproken. De externe accountant, die ook assurance geeft, valt niet binnen de scope. Daarnaast worden in dit referaat enkel de functies die assurance geven op het niveau van de raad van bestuur en de raad van commissarissen meegenomen. Op lagere niveaus in de organisatie krijgt het lokale management wellicht assurance van andere functies, maar dit komt in dit referaat niet aan de orde. J.M. Heijmans

12 3 GRC ONTWIKKELINGEN EN DE GEVOLGEN - THEORIE In dit hoofdstuk komen de resultaten van het literatuuronderzoek aan bod. Welke ontwikkelingen op het gebied van GRC zijn beschreven? Wat is de impact op de positie van internal audit in de organisatie? En: Wat zegt de literatuur over de gevolgen voor de kerntaak en de uitvoering daarvan? 3.1 GRC ONTWIKKELINGEN - THEORIE De eerste onderzoeksvraag wordt in deze paragraaf beantwoord: 1. Wat zijn de ontwikkelingen met betrekking tot GRC in theorie? De ontwikkelingen komen achtereenvolgens aan de orde zoals beschreven door: - De Big Four organisaties; - Discussie platforms (Compliance Consortium, OCEG); - Global Audit Information Network / IIA; - Nederlandse deskundigen. ONTWIKKELINGEN VOLGENS DE BIG FOUR [Deloitte, 2008] geeft aan dat er bij het verkrijgen van zekerheid over de verschillende risico s in de organisatie het risico op duplicering of gaten toeneemt als er geen alles overspannende coördinatie vanuit één centraal punt plaatsvindt. Daarnaast geven zij aan dat de grootte en schaal van de verschillende functies is toegenomen maar dat zij veelal als silo s opereren. Het gebrek aan overspannende planning van risico assurance leidt er vervolgens toe dat het moeilijk is om het geheel af te stemmen op gewenste risico toleranties en doelstellingen van de organisatie. Een gevolg hiervan kan zijn dat er onduidelijkheden ontstaan tussen de organisatie en externe partijen (zoals de externe accountant of wetgevers). [PWC, 2004] beschrijft dat tot nu toe de verschillende GRC functies als aparte activiteiten binnen de organisatie werden gezien en gemanaged. Dit heeft tot gevolg dat er gaten zijn ontstaan in de verantwoordelijkheid en communicatie, maar leidt ook tot duplicering en verwarring. Onderzoek dat namens PWC is uitgevoerd heeft aangetoond dat veel bestuurders nu inzien dat een geïntegreerde benadering positieve effecten heeft. [PWC, 2004] geeft ook aan dat organisaties het verband zien tussen de GRC componenten, maar dat ze nog niet volledig in staat zijn om de uitdagingen van het ontwikkelen van een geïntegreerde aanpak van GRC te bewerkstelligen. Volgens [E&Y, 2007] is het onwaarschijnlijk voor veel bedrijven dat er één overzicht bestaat van het complete landschap van beheersmaatregelen. Voor het management van de organisatie is het echter belangrijk om zich af te vragen waar de prioriteiten met betrekking tot interne beheersing liggen en waar de J.M. Heijmans

13 beschikbare resources moeten worden ingezet binnen de organisatie. Ook dient men zich af te vragen of de juiste opbrengst uit deze resources wordt verkregen en wie hierover zekerheid verschaft. [KPMG, 2008] geeft aan dat een GRC strategie kan helpen bij het verlagen van kosten, om operationele deficiënties te identificeren, beheersmaatregelen the rationaliseren en om risico s te identificeren en te managen. Ook [KPMG, 2008] geeft aan dat een geïntegreerde aanpak binnen een gedeeld raamwerk hierbij het beste werkt. ONTWIKKELINGEN VOLGENS DISCUSSIE PLATFORMS [OCEG, ] geeft aan dat uit onderzoek blijkt dat ongeveer twee derde van de respondenten (250 bedrijven) worden geraakt door redundante of inconsistente GRC processen. Ze onderkennen dat de silo s binnen hun bedrijf vaak leidt to dubbele inspanning, overbodige oplossingen, hogere kosten en toenemend risico. Een overgrote meerderheid geeft aan ze een consistente aanpak voor GRC activiteiten zouden moeten implementeren, maar dat de functies, processen en programma s momenteel nog niet op elkaar zijn aangesloten. [OCEG, 2009] beschrijft dat door de snel veranderde markten, toenemend toezicht vanuit de overheid en complexe organisaties het niet meer altijd duidelijk is waar de verantwoordelijkheden beginnen en ophouden voor de verschillende aspecten van GRC binnen organisaties. Bedrijven zijn daarom op zoek naar een meer geïntegreerde benadering van GRC. [Compliance Consortium, 2005] stelt na jaren werken met honderden organisaties van verscheidene types en groottes dat ze tot het simpele maar radicale inzicht is gekomen dat management GRC moet behandelen als een apart aandachtsgebied. GRC functies delen, ondanks dat het door de hele organisatie verspreid is, gemeenschappelijke en vergelijkbare doelen met dezelfde karakteristieken. Dit maakt het mogelijk om GRC vanuit één organisatiebrede focus te benaderen. Dit gaat in tegen de huidige manier van werken waarbij de verantwoordelijkheid voor het managen van risico is verdeeld over een veelvoud aan afdelingen en rapportagelijnen. ONTWIKKELINGEN VOLGENS GAIN / IIA GAIN staat voor Global Audit Information Network. Dit is een initiatief van het IIA waarbij het internal audit afdelingen mogelijk wordt gemaakt zich te vergelijken met andere internal audit afdelingen. Hiertoe voert GAIN jaarlijks een grote benchmark uit onder internal audit afdelingen, maar ook worden kleinere tussentijdse enquêtes beschikbaar gesteld en verschijnen er artikelen. [GAIN, 2009] geeft aan dat in de huidige tijd van economische crisis de internal audit afdelingen een andere focus krijgen. Chief Audit Executives moeten hetzelfde doen met minder resources. De kosten van beheersing worden belangrijker voor organisaties. Daarnaast biedt de huidige crisis ook kansen. Internal audit afdelingen zullen in veel gevallen gevraagd worden om breder te kijken dan alleen naar bijvoorbeeld de J.M. Heijmans

14 compliance van de Sarbanes-Oxley controls, zoals in de afgelopen jaren het geval was. Nu zal een meer strategische rol in de verbetering van de risico management en governance processen van organisaties gevraagd worden van internal audit. Volgens de uitkomsten van de GAIN benchmark, zoals beschreven in [GAIN, 2009], verloopt de communicatie tussen internal audit en risk & control functies beter gedurende moeilijke tijden. Wanneer internal audit deze communicatie uitbouwt en er zeker van is dat alles wordt afgedekt, zonder overlap of gaten, zal internal audit als gevolg daarvan bredere kennis van de onderneming krijgen en daarmee een sterkere positie in de risico management strategie van de onderneming kunnen verwerven. ONTWIKKELINGEN VOLGENS NEDERLANDSE DESKUNDIGEN De bedrijven AuditMatch en AuditRisk organiseerden eind 2008 een themadag [Audit, 2009] met de functies audit, compliance en risicomanagement. Dit zijn natuurlijk niet alle GRC assurance-functies; een functie als internal control bijvoorbeeld is hierin niet meegenomen. Desondanks denk ik dat de resultaten van deze dag en het vooronderzoek dat zij uitvoerden relevant zijn om hier te bespreken aangezien het drie belangrijke GRC assurance-functies zijn. [Groenenboom, c.s., 2009] schreven een artikel in Audit Magazine naar aanleiding van deze themadag. Daarin geven zij onder meer aan dat het samenwerken tussen de drie-eenheid, audit, compliance en riskmanagement een relevant en actueel vraagstuk is. Zij vroegen de drie functies in hoeverre er synergie wordt ervaren tussen de functies. Hierop antwoordde 75 % van de respondenten positief. De meest gegeven voorbeelden van synergie waren het samen optrekken van de functies, structureel overleg, maar ook duidelijke onderlinge afspraken over wie wat doet en het implementeren van algemene raamwerken. Leen Paape gaf op bovengenoemde themadag [Audit, 2009] aan: Onderzoeksresultaten: Too good to be true? In ieder geval mooier dan de praktijk rechtvaardigt. Nog geen écht goed voorbeeld gezien van een goed werkende driehoek. Maar dat is ook volkomen logisch, gelet op de verschillende stadia van volwassenheid die ik in de praktijk zie. Daarom is er ook nog geen één waarheid. Wel neem ik goede bewegingen waar! Arie Molenkamp schreef naar aanleiding van deze dag een artikel waarin hij zich afvraagt of audit, compliance en risk kunnen samengaan [Molenkamp 2, 2009]. Hij concludeert dat ze zeker niet willen samengaan, maar dat men wel wat zag in een klankbord voor kwesties als strategieontwikkeling, onderlinge taakverdeling en rapportagestructuur. Hierbij is audit als derde verdedigingslinie geen goede kandidaat voor het samengaan met de tweedelijns functies risk en compliance volgens [Molenkamp 2, 2009] omdat internal audit de top alleen aanvullende zekerheid kan verschaffen vanuit een onafhankelijke opstelling. J.M. Heijmans

15 SAMENVATTING Samenvattend zijn de volgende GRC ontwikkelingen beschreven in de theorie (in willekeurige volgorde): Figuur 3.1 Samenvatting GRC ontwikkelingen in theorie 3.2 POSITIE INTERNAL AUDIT - THEORIE In deze paragraaf komt de positie van internal audit binnen GRC aan bod. Krijgt internal audit een andere rapportagelijn als gevolg van de andere kijk op GRC? Hier geef ik een antwoord op de tweede onderzoeksvraag: 2 a) Wat zijn de gevolgen van de GRC ontwikkelingen op de positie van de internal audit functie in theorie? De positie van internal audit moet volgens de IIA standaarden [IIA, 2007] onafhankelijk en objectief zijn. De CAE zou daarbij aan een dusdanig niveau in de organisatie moeten rapporteren zodat internal audit in staat is om te voldoen aan haar verantwoordelijkheden. Daarnaast mag de auditor geen verantwoordelijkheden hebben en taken uitvoeren die de onafhankelijkheid in de weg staan. [Paape, 2008] beschrijft in zijn proefschrift de rol en de positie van internal audit binnen corporate governance. Hierin geeft hij aan dat volgens de Agency Theory de positie van internal audit zo onafhankelijk als mogelijk moet zijn. Bij een meer geïntegreerde en op elkaar aansluitende benadering van GRC is het denkbaar dat er één hoofd komt voor alle GRC assurance-functies. Maar hoe zit het dan met de onafhankelijkheid van internal audit? [Molenkamp 1, 2009] beschrijft dat er momenteel stemmen opgaan om de functies Audit, Compliance en Risk met elkaar te laten samengaan. Dit moet volgens hem echter worden afgewezen om de noodzakelijke onafhankelijke positie van de internal audit functie te waarborgen. Om de onafhankelijke positie van internal audit te waarborgen is het niet wenselijk dat de verantwoordelijkheden van de CAE zich uitbreiden met de verantwoordelijkheid voor de overige GRC functies. Volgens de theorie zal de positie van internal audit binnen de organisatie dan ook niet veranderen als gevolg van GRC ontwikkelingen. J.M. Heijmans

16 3.3 KERNTAAK INTERNAL AUDIT - THEORIE In deze paragraaf geef ik antwoord op de volgende onderzoeksvraag: 2 b) Wat zijn de gevolgen van de GRC ontwikkelingen op de kerntaak van de internal audit functie in theorie? De kerntaak van internal audit komt tot uitdrukking in de definitie van internal audit zoals opgenomen in [IIA, 2007]: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes. Volgens [OCEG, 2009] zou het management regelmatig zekerheid moeten verkrijgen over de effectiviteit en de prestaties van het GRC systeem. Deze onafhankelijke reviews kunnen worden uitgevoerd door zowel intern als extern personeel. De OCEG beschouwt intern personeel als onafhankelijk wanneer ze onafhankelijk zijn van de activiteit waarover ze zekerheid verschaffen en geeft aan dat internal audit in aanmerking komt voor het verschaffen van deze zekerheid. Ook [Deloitte, 2008] schrijft dat internal audit de zekerheid moet verschaffen dat de belangrijkste risico s worden beheerst. Internal audit moet aansluiten op de inspanningen van de overige assurance-functies om duplicering van inspanningen te voorkomen. Internal audit moet daarnaast onafhankelijk zekerheid geven over de uitgevoerde taken door de andere assurance-functies waarop zij steunt. [OCEG, 2009] stelt mijns inziens naar aanleiding van de GRC ontwikkelingen geen wezenlijk andere taak voor internal audit voor in hun Redbook. Ook [Deloitte, 2008] geeft meer richting aan de planning en de uitvoering van de internal audit kerntaak dan dat zij een voorstel doen voor verandering van de kerntaak zélf. Maar [GAIN, 2009] geeft aan dat in deze tijd wel een meer strategische rol van internal audit in de verbetering van risico management en governance processen van organisaties gevraagd zal worden. Een denkbare uitbreiding van de kerntaak van internal audit is het implementeren van een GRC raamwerk. Internal audit is vanwege haar specifieke kennis binnen de organisatie een denkbare keuze. Het IIA [IIA, 2004] heeft aangegeven welke taken internal audit met betrekking tot Enterprise Risk Management (ERM) op zich mag nemen. De bekende waaier, waarin dit is uitgebeeld, is weergegeven in bijlage D. Omdat de onafhankelijkheid in het geding is stuit het implementeren van een GRC raamwerk volgens mij op dezelfde J.M. Heijmans

17 bezwaren als bij het implementeren van ERM. Wél kan internal audit bijvoorbeeld zekerheid verschaffen over de implementatie van het GRC raamwerk, net zoals dit gebruikelijk is bij ERM. [Jackson, 2005] schrijft dat wanneer internal audit de enige is die ERM zou willen of kunnen implementeren, of de enige is binnen de organisatie die hier politiek zwaar genoeg voor is, internal audit toch de rol op zich moet nemen. Uiteindelijk is het belangrijkste voor de organisatie dat de klus wordt geklaard. Ik kan me voorstellen dat internal audit binnen organisaties de enige is die de benodigde kennis en het politieke gewicht heeft om een GRC raamwerk te implementeren en kan me daarom voorstellen dat organisaties internal audit het GRC raamwerk laten implementeren, al stuit dit op eerder beschreven bezwaren. Op basis van bovenstaande theorie verwacht ik geen verschuiving in de kerntaak van internal audit. 3.4 PLANNING EN UITVOERING KERNTAAK - THEORIE In deze paragraaf komen de gevolgen van de GRC ontwikkelingen voor de planning en uitvoering van de kerntaak aan bod. Eerst zal ik de planning van de werkzaamheden bespreken, daarna komt de uitvoering van de werkzaamheden aan bod. Hiermee geef ik antwoord op de vraag: 2 c) Wat zijn de gevolgen van de GRC ontwikkelingen voor de planning en uitvoering van de kerntaak van de internal audit functie in theorie? IMPACT OP INTERNAL AUDIT PLANNING Volgens [Ellis, 2009] is een meer flexibele audit-planning gewenst in de huidige crisistijd. De belangrijkste risico s in de organisatie moeten zijn afgedekt, en daar wordt doorlopend zekerheid van internal audit over verwacht. Hier past een flexibelere audit-planning bij. Dit is in tegenstelling tot de veel gebruikte meerjarenplanning, waarbinnen alle bedrijfsprocessen cyclisch aan bod komen. [IIA, 2008] geeft aan dat het hoofd internal audit informatie moet delen met overige assurance-functies om afdekking te garanderen en het dupliceren van inspanningen te voorkomen. Daarnaast is het een best practice dat de auditcommissie vaststelt dat alle tweedelijns assurance-functies opgenomen worden in de planning van internal audit en worden overzien door de CAE. Dit ziet er als volgt uit: J.M. Heijmans

18 Figuur 3.2 Three Lines of Defence [Deloitte, 2008] Maar hoe weet men dat men alle functies overziet en het duidelijk is wie welke taken en verantwoordelijkheden heeft? Een assurance-overzicht geeft de koppeling tussen enerzijds de strategie, doelstellingen, processen en governance van de organisatie en anderzijds de daarbij behorende risico s, controls en assurance die daarover door verschillende functies wordt gegeven. Indien een risico door andere assurance-functies in voldoende mate wordt afgedekt, kan internal audit volstaan met zekerheid geven over de betreffende functie in plaats van het risico zelf. Concrete handreikingen voor het opstellen van een assurance-overzicht worden gegeven door [OCEG, ] en door [Deloitte, 2008]. Het overzicht van [Deloitte, 2008] geef ik hier weer, want dit overzicht bevat behalve het wie doet wat? ook de mate van zekerheid die de assurance-functie op een bepaald risico geeft: J.M. Heijmans

19 Figuur 3.3 Assurance-overzicht uit [Deloitte, 2008] Het opstellen van een assurance-overzicht maakt de internal audit-planning inzichtelijker en geeft aan waar en hoe internal audit haar tijd het beste kan besteden. Het assurance-overzicht geeft inzicht in waar internal audit direct zekerheid over geeft over de risico s en waar internal audit slechts zekerheid geeft over de assurance-functie die de betreffende risico s afdekt. Een assurance-overzicht is in mijn ogen een uitstekend middel om de praktische inrichting van het GRC raamwerk in kaart te brengen. Een groot voordeel van het assurance-overzicht vind ik ook dat vervolgens per assurance-functie de kosten van de assurance over bepaalde risico s in kaart kunnen worden gebracht om daarmee de kosten van beheersing te kunnen overzien voor de organisatie als geheel. IMPACT OP UITVOERING INTERNAL AUDIT WERKZAAMHEDEN Het is duidelijk dat internal audit meer op de werkzaamheden van de overige GRC assurance-functies zal steunen dan voorheen [GAIN, 2009], [OCEG, 2009]. Hiervoor zal internal audit moeten vaststellen dat de assurance-functies waarop zij steunt goed werken. Maar in hoeverre kan internal audit op deze functies steunen? En hoe diep moeten de werkzaamheden gaan? Volgens de theorie hangt dit samen met de volwassenheid van de overige assurance-functies. Zo beschrijft [Groenenboom, c.s., 2009] dat risk en compliance functies binnen bedrijven een verschillende volwassenheid hebben. [Molenkamp 1, 2009] geeft aan dat deze functies daarom niet zonder meer kunnen samengaan, aangezien ze allen een eigen ontwikkeling doormaken. J.M. Heijmans

20 De diepgang en het type audit-werkzaamheden dat internal audit moet uitvoeren op de andere GRC assurance-functies hangt af van de volwassenheid van deze specifieke GRC functie. Dit is in mijn ogen evident. Volgens [Deloitte, 2008] ziet dit er als volgt uit: Figuur 3.4 diepgang en soort audit-werkzaamheden uit [Deloitte, 2008] SAMENVATTING Figuur 3.5 Gevolgen planning & uitvoering kerntaak internal audit in theorie J.M. Heijmans

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN

ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN Auditing Richtlijnen en randvoorwaarden ROL INTERNAL AUDITOR IN VERANDERINGSPROJECTEN Veel organisaties zien zich dezer dagen genoodzaakt hun strategie te herzien en de organisatieprocessen en -systemen

Nadere informatie

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen Hans Schoolderman Building trust in food Food Supply and Integrity Services October 2015 VMT congres, 13 oktober Hans Schoolderman

Nadere informatie

Rollen in Risk Management

Rollen in Risk Management Rollen in Risk Management 10 oktober 2009 1 Inleiding In de afgelopen maanden heeft de Enterprise Risk Management-werkgroep een tweetal columns op de IIA website gepubliceerd: 1. Een algemene inleiding

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers De onmisbare actuaris VSAE congres 20 september 2011 Sabijn Timmers Eigenaar van de Black Box Inhoud Introductie Ontwikkelingen in S2 Waar we vandaan komen Waar we heen gaan Waarom we onmisbaar zijn En

Nadere informatie

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm Een enerverend en inspirerend gesprek met Hans Nieuwlands door Alina Stan en Marieta Vermulm Op 1 augustus spraken Alina Stan en Marieta Vermulm, beiden lid van de Commissie Young Professionals met Hans

Nadere informatie

Het nieuwe plug-in model: interpretatie en certificatie

Het nieuwe plug-in model: interpretatie en certificatie Het nieuwe plug-in model: interpretatie en certificatie 1 Wat kunt u verwachten? De nieuwe aanpak van ISO normen voor managementsystemen Eerste ervaringen bij herziening ISO 14001 en ISO 9001 Betekenis

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned

Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned Risk Management & Internal Audit en Kredietcrisis bij Financiële instellingen: Lessons learned Afstudeerreferaat Sandra Annema-Killop Alphen aan den Rijn, augustus 29 Executive Master of Internal Audit

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

PROJECT INITIATION DOCUMENT

PROJECT INITIATION DOCUMENT PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Enterprisearchitectuur

Enterprisearchitectuur Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

Investment Management. De COO-agenda

Investment Management. De COO-agenda Investment Management De COO-agenda Vijf thema s 1) Markt 2) Wet- en regelgeving 3 5) Rol van de COO 5 3) Operations 4) Technologie 2012 KPMG Accountants N.V., registered with the trade register in the

Nadere informatie

PAS Conferentie 2015. Competenties van de internal auditor bij een kleine IAF ... Carlo Bavius RE RO CRISC CRMA CIA. CAE / CRO bij Eneco Groep

PAS Conferentie 2015. Competenties van de internal auditor bij een kleine IAF ... Carlo Bavius RE RO CRISC CRMA CIA. CAE / CRO bij Eneco Groep PAS Conferentie 2015 Competenties van de internal auditor bij een kleine IAF Carlo Bavius RE RO CRISC CRMA CIA CAE / CRO bij Eneco Groep 2 december 2015 Doel van deze sessie Vanuit hands-on point of view

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Algemene Ledenvergadering 5 april 2012

Algemene Ledenvergadering 5 april 2012 Jaarplan 2013 Algemene Ledenvergadering 5 april 2012 Commissie Vaktechniek 1 Doel van de commissie De commissie Vaktechniek heeft tot doel de leden en het bestuur van IIA Nederland te ondersteunen op het

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

Impact of BEPS disruptions on TCF / TRM / Tax Strategy

Impact of BEPS disruptions on TCF / TRM / Tax Strategy Impact of BEPS disruptions on TCF / TRM / Tax Strategy Be prepared for the future Herman Huidink & Hans de Jong TCF / TRM Basics (I) Werkstromen Tax Tax risk management & control Tax reporting & compliance

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Een Project Management model. Wat is IASDEO?

Een Project Management model. Wat is IASDEO? Een Project Management model Project Management betekent risico s beheersen, voldoen aan allerlei vereisten, klanten tevreden stellen, beslissingen nemen, producten leveren, activiteiten coördineren, inputs

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

Voor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr-2004. Aan de hand van het 4x4 model. De 3 facetten.

Voor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr-2004. Aan de hand van het 4x4 model. De 3 facetten. Balanced Scorecard & EFQM 2de Netwerk Kwaliteit Brussel 22-apr-2004 Voor vandaag! Grondslagen van Balanced Scorecard Aan de hand van het 4x4 model! Het EFQM model in vogelvlucht De 3 facetten! De LAT-relatie

Nadere informatie

Reglement op de kwaliteitstoetsing voor interne auditors

Reglement op de kwaliteitstoetsing voor interne auditors Reglement op de kwaliteitstoetsing voor interne auditors Reglement op de kwaliteitstoetsing voor interne auditors Vastgesteld in de bijeenkomst van de ledenvergadering van het Instituut van Internal Auditors

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY

Nadere informatie

Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management

Nadere informatie

Next Generation Risk Based Certification

Next Generation Risk Based Certification BUSINESS ASSURANCE Next Generation Risk Based Certification DNV GL Relatiedag - 11 november 2014 Albert Zwiesereijn 2014-06-05 1 SAFER, SMARTER, GREENER Albert Zwiesereijn 37 jaar Voor DNV GL Officier

Nadere informatie

De effectieve directie

De effectieve directie Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico

Nadere informatie

Managementsamenvatting

Managementsamenvatting Managementsamenvatting Erasmus Universiteit Rotterdam: CSR paper De route naar Maatschappelijk Verantwoord Ondernemen in algemene ziekenhuizen. De strategische verankering van MVO in de dagelijkse activiteiten

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

Business Architectuur vanuit de Business

Business Architectuur vanuit de Business Business Architectuur vanuit de Business CGI GROUP INC. All rights reserved Jaap Schekkerman _experience the commitment TM Organization Facilities Processes Business & Informatie Architectuur, kun je vanuit

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

Enterprise Portfolio Management

Enterprise Portfolio Management Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Samenvatting Samenvatting

Samenvatting Samenvatting Samenvatting Jaarlijks doen vele jeugdigen met een lichte verstandelijke beperking In Nederland een beroep op de hulpverlening. Een aanmerkelijk aantal van hen krijgt deze hulp van een LVG-instituut.

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Kennisdeling in lerende netwerken

Kennisdeling in lerende netwerken Kennisdeling in lerende netwerken Managementsamenvatting Dit rapport presenteert een onderzoek naar kennisdeling. Kennis neemt in de samenleving een steeds belangrijker plaats in. Individuen en/of groepen

Nadere informatie

Aansprakelijkheid van internal auditors

Aansprakelijkheid van internal auditors Aansprakelijkheid van internal auditors Drs. R. (Renze) Munnik Haarlem, 14 december 2009 Universiteit van Amsterdam Amsterdam Business School Executive Master of Internal Auditing Afstudeerbegeleider:

Nadere informatie

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie. en werkwijze BPM awareness Inzicht in de toepassing van BPM op strategisch niveau in het algemeen en binnen de eigen organisatie. Kennismaken met BPM vanuit een strategisch perspectief Nut en toegevoegde

Nadere informatie

Corporate Governance Code

Corporate Governance Code Corporate Governance Code Van korte- naar langetermijnwaardecreatie De Nederlandse Corporate Governance Code gaat een grote herziening tegemoet. De Monitoring Commissie heeft daartoe op februari jl. een

Nadere informatie

Workspace Design Onderzoeksopzet voor SOZAWE

Workspace Design Onderzoeksopzet voor SOZAWE Workspace Design Onderzoeksopzet voor SOZAWE Datum: 16 december 2010 Ir. Jan Gerard Hoendervanger Docent-onderzoeker Lectoraat Vastgoed Kenniscentrum Gebiedsontwikkeling NoorderRuimte Hanzehogeschool Groningen

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Implementeren van complianceen risicomanagement met Panoptys

Implementeren van complianceen risicomanagement met Panoptys Implementeren van complianceen risicomanagement met Panoptys Michiel Bareman 11 september 2014 1 Panoptys is alziend Argus Panoptys was een reus uit de Griekse mythologie die over zijn gehele lichaam honderd

Nadere informatie

Dilemma s in de board room. Balanceren tussen belangen

Dilemma s in de board room. Balanceren tussen belangen www.pwc.com Dilemma s in de board room Balanceren tussen belangen 3 december 2015 Agenda Introductie The board room en de rol van Internal Audit Film Discussie The Crisis De onderschatting van een mogelijk

Nadere informatie

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen.

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. ERP, CRM, workflowmanagement en documentmanagement systemen, ze hebben één ding gemeen: Veel van de

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! 1! Inrichting van de IAF! zoals het moet! Esther Poelsma RA CIA! 2! Programma! Even voorstellen Waarom een IAF? Wat is de rol van een

Nadere informatie

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken MONITORING COMMISSIE CODE BANKEN Aanbevelingen toekomst Code Banken 22 maart 2013 Inleiding De Monitoring Commissie Code Banken heeft sinds haar instelling vier rapportages uitgebracht. Zij heeft daarin

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Bijlage 1: Methode. Respondenten en instrumenten

Bijlage 1: Methode. Respondenten en instrumenten Bijlage 1: Methode In deze bijlage doen wij verslag van het tot stand komen van onze onderzoeksinstrumenten: de enquête en de interviews. Daarnaast beschrijven wij op welke manier wij de enquête hebben

Nadere informatie

Young Captains Program

Young Captains Program Young Captains Young Captains Program Een duik in de noodzakelijke competenties voor een toekomstige Board Room positie exclusief voor kandidaten van de Young Captain Award Juni 2016 Voor wie - Kandidaten

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen: Sourcing ADVISORY Sourcing wordt door veel organisaties omarmd als een belangrijk middel om de financiële en operationele prestatie te verbeteren. Welke functies binnen de organisatie behoren echt tot

Nadere informatie

RvC-verslagen geven weinig inzicht

RvC-verslagen geven weinig inzicht RvC-verslagen geven weinig inzicht Erasmus Universiteit Rotterdam September 2010 Dr. Mijntje Lückerath-Rovers Drs. Margot Scheltema contact: luckerath@frg.eur.nl Het onderzoek Ondernemingen : Van 60 ondernemingen

Nadere informatie

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen

Nadere informatie

VOORSTEL AAN HET ALGEMEEN BESTUUR

VOORSTEL AAN HET ALGEMEEN BESTUUR datum vergadering 17 juni 2010 auteur Daniëlle Vollering telefoon 033-43 46 133 e-mail dvollering@wve.nl afdeling Staf behandelend bestuurder drs. J.M.P. Moons onderwerp agendapunt Uitkomst en benutting

Nadere informatie

Geïntegreerd jaarverslag Gasunie 2013

Geïntegreerd jaarverslag Gasunie 2013 Risicomanagement We onderkennen een aantal algemene risico s. De aard van onze werkzaamheden brengt daarnaast nog specifieke risico s met zich mee. Om deze zo goed mogelijk te beheersen en waar mogelijk

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

CIRM & SSC. Meerwaarde creëren met Corporate Infrastructure Resources Management en Shared Service Centeres

CIRM & SSC. Meerwaarde creëren met Corporate Infrastructure Resources Management en Shared Service Centeres CIRM & SSC Meerwaarde creëren met Corporate Infrastructure Resources Management en Shared Service Centeres Inhoud Voorwoord Corporate Infrastructure Resource Management 1. People, Process, Place 2. Veranderingen

Nadere informatie

Ronde Tafel Hergebruik en uitwisseling van software bij het Rijk'

Ronde Tafel Hergebruik en uitwisseling van software bij het Rijk' Ronde Tafel Hergebruik en uitwisseling van software bij het Rijk' 29 januari 2013 Agenda 1) Uitgangssituatie 2) Voorlopige resultaten inventarisatie 3) (markt)ontwikkelingen 4) Wat is het vraagstuk? 5)

Nadere informatie

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438. Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering COLLEGE VAN DIJKGRAAF EN HOOGHEEMRADEN COMMISSIE BMZ ALGEMEEN BESTUUR Agendapunt 9A Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: 604438 In D&H: 22-01-2013 Steller: Drs. J.L.P.A. Dankaart

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Management 2.0. Maak je organisa2e proces- driven en je governance integraal! peter.buelens@strategicmcs.be www.strategicmcs.be

Management 2.0. Maak je organisa2e proces- driven en je governance integraal! peter.buelens@strategicmcs.be www.strategicmcs.be Management 2.0 Maak je organisa2e proces- driven en je governance integraal! peter.buelens@strategicmcs.be www.strategicmcs.be Drive thy business or it will drive thee Benjamin Franklin Wat is de uitdaging

Nadere informatie

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten

8-12-2015. Hoe test je een pen? Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Les 1 Docent: Marcel Gelsing Je kunt de presentatie na afloop van elke les downloaden. Ga naar : www.gelsing.info Kies voor de map Acceptatietesten Hoe test je een pen? 1 Bekijk eerst het filmpje over

Nadere informatie

Risico s managen is mensenwerk

Risico s managen is mensenwerk TRANSPORT Risico s managen is mensenwerk Ondernemen is kansen zien en grijpen, maar ook risico s lopen. Risicomanagement behoort daarom tot de vaste agenda van bestuurders en commissarissen. Omdat ook

Nadere informatie

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 1 Het ISACA RISK IT Framework voor Testers Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 2 Wie is Jaap Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT

Nadere informatie

PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit

PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit PAS conferentie 2015: Close the Gap Corporate Governance en Internal Audit Van commissie Peters naar commissie Van Manen, een statusupdate PAS Conferentie 3 december 2015 Gefeliciteerd! PAS Conferentie

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012 EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' 1 MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012 2 DE STRATEGY-TO-PERFORMANCE GAP (MANKINS EN STEELE) 3 37% Gemiddelde prestatie verliezen

Nadere informatie

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Doen of laten? Een dag zonder risico s is een dag niet geleefd Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management

Nadere informatie

Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen

Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen Managementsysteemnormen klaar voor uitdagingen in de 21 ste eeuw Nieuwe structuur en inhoud voor ISO-managementsysteemnormen Wijzigingen in de belangrijkste ISO-normen voor managementsystemen, ISO 9001

Nadere informatie

Hello map Ocean. To view animation put this slide in full screen mode (Shift + F5 on keyboard) 21 maart 2007 Slide 1 Next slide.

Hello map Ocean. To view animation put this slide in full screen mode (Shift + F5 on keyboard) 21 maart 2007 Slide 1 Next slide. Hello map Ocean To view animation put this slide in full screen mode (Shift + F5 on keyboard) Slide 1 Next slide. NVVA symposium 2007 REACH handhaving en consequenties* *connectedthinking Agenda Wat verandert

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015 Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

3D SUPPLY CHAIN VISIBILITY TRENDS & CHALLENGES IN THE HIGH TECH WORLD IR. EMILE VAN GEEL

3D SUPPLY CHAIN VISIBILITY TRENDS & CHALLENGES IN THE HIGH TECH WORLD IR. EMILE VAN GEEL 3D SUPPLY CHAIN VISIBILITY TRENDS & CHALLENGES IN THE HIGH TECH WORLD IR. EMILE VAN GEEL CONTENTS 1. trends in high tech supply chain management... 3 1. trends & uitdagingen... 3 2. omgaan met de huidige

Nadere informatie