Effectiviteit van GRC -Tools

Maat: px
Weergave met pagina beginnen:

Download "Effectiviteit van GRC -Tools"

Transcriptie

1 - Ali Çolak & Hasib Haq Post Graduate IT-Audit Opleiding VU Team 945 VU Coach: Rob Christiaanse Bedrijfscoach Guillaume Speear RE CISA Alex van Doorn RE RA Auteurs: Ali Çolak Hasib Haq Student Nr: Contact: Versie: Final 3.0

2 Voorwoord Als afsluiting van de Post Graduate IT -Audit Opleiding aan de Vrije Universiteit van Amsterdam hebben wij een scriptieonderzoek uitgevoerd. De scriptie heeft als onderwerp Effectiviteit van GRC - Tools. Het idee voor de scriptie is ontstaan uit het feit dat sinds de Enron -affaire en de daarop volgende boekhoudschandalen internal control volop in de belangstelling staat. Vanuit diverse kanten krijgen organisaties wet- en regelgeving opgelegd. Software leveranciers beweren oplossingen van wereldformaat te hebben voor de Governance, Risk en Compliance (GRC) uitdagingen, zoals voor de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten, de Code Tabaksblat in Nederland, IT Governance en Risk Management. Zij bieden GRC -tools aan die ingezet kunnen worden voor het besparen van kosten om compliant te zijn. De laatste tijd wordt veel geschreven over GRC -tools. Het begint een hype te worden, maar hoe effectief is eigenlijk het gebruik van GRC -tools? Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Het doel van onze onderzoek is het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools. Om een antwoord op deze centrale vraag te formuleren hebben we een aantal deelvragen opgesteld en beantwoord in deze scriptie. Het praktijkonderzoek hebben wij verricht aan de hand van interviews bij meerdere organisaties waarbij GRC -tools een rol speelt. Hierbij hebben we de volgende indeling gehanteerd: - Organisaties die in het stadium zijn om een GRC -tool aan te schaffen en wat hun verwachtingen hierbij zijn - Organisaties die al lange tijd een GRC -tool in gebruik hebben en wat hun ervaringen op dit gebied zijn. Hierbij wordt de vraag beantwoord of GRC- tools daadwerkelijk hebben bijgedragen aan de effectiviteit. - Ook hebben we organisaties benaderd die GRC -tools leveren, implementeren of hiervoor consultancy bieden We hebben een interview vragenlijst opgesteld, waarbij we voor ieder interview de gestelde vragen en antwoorden hebben uitgewerkt. Een aantal interviewvragen hebben we geclusterd in een vijftal hypotheses. Van de resultaten hebben we een hypothesetabel gemaakt. Op basis hiervan en op basis van ons literatuuronderzoek hebben wij onze onderzoeksresultaten onderbouwd. Vanuit de Vrije Universiteit is de heer Rob Christiaanse aangewezen als onze afstudeerbegeleider. Wij danken hem voor de ideeën, het doorlezen van de stukken en de begeleiding bij het afstudeertraject. Daarnaast willen wij de interne begeleiders Guillaume Speear (Credit Europe Bank) en Alex van Doorn (PwC) bedanken voor de inhoudelijke bijdrage aan het eindresultaat in de vorm van review, adviezen en aandachtspunten. Tot slot bedanken wij de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis en uiteraard de geïnterviewden, voor hun medewerking en input voor het tot stand komen van deze scriptie. Amsterdam, april 2009 Ali Çolak, Credit Europe Bank (CEB) Hasib Haq, PricewaterhouseCoopers (PwC) 2

3 1 INLEIDING AANLEIDING EN RELEVANTIE PROBLEEMSTELLING Doelstelling Vraagstelling THEORIE INTERNAL CONTROL COSO Componenten van Interne Beheersing Verband tussen COSO IC & COSO ERM Effectiviteit van het interne beheersingssysteem GRC -TOOLS Omschrijving GRC -tools Relatie tussen Interne beheersing en GRC -tools Onderverdeling van GRC -tools Aanbod van GRC- tools Invloed van GRC- tools op de controleomgeving HYPOTHESE PRAKTIJKONDERZOEK Relatie tussen hypothese en interviewvragen Analyse interview resultaten CONCLUSIE Literatuurlijst Definities belangrijkste begrippen

4 1 Inleiding 1.1. Aanleiding en relevantie Sinds de Enron -affaire en de daarop volgende boekhoudschandalen staat internal control volop in de belangstelling. Na de verbijstering over de enorme schaal waarop de afgelopen jaren door gerenommeerde bedrijven met de boeken is geknoeid zijn er striktere wetgeving op het gebied van internal controle ontstaan, zoals de Sarbanes -Oxley (SOX) wetgeving in de Verenigde Staten en de Code Tabaksblat in Nederland. Bij het invoeren van de Sarbanes -Oxley wetgeving ging de aandacht van de organisaties in het begin uit naar het behalen van de deadline om SOX compliant te zijn. Organisaties richtten zich onvoldoende op het effectief inrichten van interne beheersingmaatregelen. In veel organisaties zijn hierdoor handmatige, detectieve beheersingsmaatregelen geïmplementeerd. Van het management van bedrijven wordt verlangd dat zij een verklaring af geven in hun jaarverslag over de effectiviteit van interne beheersingsmaatregelen die van belang zijn voor de financiële verslaglegging. Om deze verklaring te kunnen afleggen moet het management een deugdelijke grondslag verkrijgen. Een middel daartoe zijn de interne audits. Audits moeten hierbij op een deugdelijke wijze uitgevoerd worden zodat het management daar op kan steunen. Dit betekent dat een Auditor de deugdelijkheid van het verkregen evidence moet onderzoeken en niet blindelings vertrouwt. Een verschuiving van gedachtegang moet plaats vinden van trust me, show me naar prove me. Voorheen zagen organisaties het in control zijn alleen als een verplichting in het kader van SOX en andere complaincy wetgevingen. Steeds meer organisaties zien nu ook de toegevoegde waarde van het in control zijn. Een verschuiving is ontstaan van in control moeten zijn naar in control willen zijn. Dit met name om (business) risico s te verminderen. Organisaties kunnen effectiviteit van de interne beheersing verhogen door preventieve geautomatiseerde controles te implementeren in plaats van handmatige, detective beheersingsmaatregelen. Preventieve geautomatiseerde controles zijn aantrekkelijker voor de organisatie, doordat je de controle bijvoorbeeld één keer hoeft te testen om vast te stellen dat de controle werkt. Voor handmatige controles echter, afhankelijk van de frequentie waarmee de controles worden uitgevoerd, dient een organisatie meerdere samples te testen om vast te stellen dat de controle heeft gewerkt. Daarnaast moet een organisatie iemand aangesteld hebben om de handmatige controles uit te voeren; dit kost veel tijd en geld. Governance, Risk and Compliance tools (GRC -tools) kunnen worden gebruikt om preventieve, geautomatiseerde controles in te richten, te faciliteren en daarover te rapporteren. GRC -tools kunnen op een efficiënte wijze ingezet worden om compliancy verplichtingen overzichtelijk vast te leggen, te monitoren en tijdig te rapporteren, zodat er juiste strategische beslissingen genomen kunnen worden. 4

5 1.2. Probleemstelling Doelstelling Het doel van dit onderzoek is: Het verwerven van inzicht in de mogelijkheden om de effectiviteit van de interne beheersing te verhogen door middel van het gebruik van GRC -tools Vraagstelling Naar aanleiding van de doelstelling luidt de centrale vraag: Verhoogt het gebruik van GRC -tools de effectiviteit van de interne beheersing? Om een antwoord op deze centrale vraag te formuleren zijn een viertal deelvragen opgesteld. De hieronder opgestelde deelvragen zijn ondersteunend aan de centrale vraagstelling en zijn handig om het onderzoek naar deelaspecten te structureren. 1. Wat dient te worden verstaan onder interne beheersing? 2. Wat dient te worden verstaan onder de effectiviteit van het interne beheersingsysteem? 3. Wat zijn GRC -tools; op welke wijze beïnvloeden zij de controleomgeving en welke worden er aangeboden? 4. Op welke wijze kunnen GRC -tools de interne beheersing verbeteren? 5

6 2. Theorie Het theoriegedeelte hebben we in twee delen verdeeld. In het eerste deel behandelen we het onderwerp Interne Beheersing en in het tweede deel wordt het onderwerp GRC -tools behandeld. In paragraag 2.1 behandelen we het begrip internal control (interne beheersing) en het belang voor de organisaties om in control te zijn. Verder behandelen we het COSO -framework en de ontwikkelingen die het heeft meegemaakt. We focussen ons op de componenten van COSO en welke relatie deze heeft tot de interne beheersing. Het verband tussen COSO Internal Control -framework (COSO IC) en het COSO Enterprise Risk Management (COSO ERM) wordt verder toegelicht. Als laatste behandelen wij de effectiviteit van het interne beheersingssysteem waarin wij beschrijven wat er dient te worden verstaan onder effectiviteit van het interne beheersingssysteem en wanneer een intern beheersingssysteem effectief is. In paragraaf 2.2 behandelen we wat GRC- tools zijn en welke er worden aangeboden en wat de invloed is van GRC- tools op de controle omgeving. 6

7 2.1 Internal control Een organisatie wordt opgevat als een doel realiserend samenwerkingsverband. Dat betekent dat het bestuur van een organisatie verantwoordelijk is voor het bepalen van organisatiedoelen, het maken van keuzes, zorg dragen voor de uitvoering in overeenstemming met de gemaakte keuzes en dient het bestuur van de onderneming verantwoording af te leggen betreffende de gemaakte keuzes en de wijze van uitvoering. In dit kader is het niet vreemd dat in toenemende mate het interne beheersingssysteem onderwerp van discussie is: zonder een intern beheersingssysteem kan een bestuur niet weten of de uitvoering in overeenstemming met de gemaakte keuzes is uitgevoerd, laat staan dat op een adequate wijze (intern- of extern-) verantwoording kan worden afgelegd. 1. Het in control zijn wordt als een belangrijk aspect van goed ondernemerschap aangemerkt. De vraag hierbij is nu; wat moeten wij onder internal control, of met andere woorden intern beheersingssysteem verstaan? Het denken over interne beheersing is internationaal sterk beïnvloedt door het in 1992 gepubliceerd rapport Internal Control, Integrated Framework onder de verantwoordelijkheid van de The Committee of Sponsoring Organizations of the Treadway Commission. Dit rapport staat beter bekend als het COSO -Rapport. In de volgende paragrafen gaan we verder in op COSO, de componenten van interne beheersing en de ontwikkelingen die COSO in de loop der jaren heeft doorgemaakt. In paragraaf leggen we uit wat het verband is tussen COSO Internal Control (COSO IC) en COSO Enterprise Risk Management (COSO ERM). Internal control is gericht op het waarborgen van de integriteit, doelmatigheid en doeltreffendheid van de organisatorische activiteiten, waaronder ook de informatie productie. Internal control is ook gericht op de bescherming van de financiën van de onderneming tegen ongeoorloofde handelingen. Internal control wordt uitgeoefend door vijf onderling samenhangende elementen, die in figuur 1 schematisch kunnen worden weergegeven 2. Bewaking Informatie Risicobeoordeling Beheersingsmaatregelen Communicatie Beheersingskader Figuur 1: Elementen van internal control Het interne beheersingssysteem kan nu opgevat worden als het stelsel van werkwijzen en of handelingen, tot stand gebracht door het bestuur van de onderneming, het management, overig personeel, zodanig ontworpen (ingericht) zodat redelijke mate van zekerheid verschaft kan worden met betrekking tot de realisatie van organisatie doelstellingen 3. 1 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA. 2 Bestuurlijke informatievoorziening Deel 1: Algemene grondslagen. Starreveld, Van Leeuwen en Nimwegen. 3 Inrichten en beheersen van organsaties, drs.r.m.j.christiaanse RA, J.C.van Praat RE RA 7

8 Deze organisatie doelstellingen zijn: - Effectiviteit en efficiency van operaties; - Betrouwbaarheid van financiële rapportage; - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden Zoals ieder systeem kent zeker het interne beheersingssysteem zijn beperkingen namelijk: Mensen maken fouten. Kosten baten overwegingen kunnen een rol spelen. Mensen kunnen tegengestelde belangen hebben. Management kan interne beheersingmaatregelen doorbreken. De vraag die nu gesteld dient te worden is: wat heeft interne beheersing voor bedrijven te bieden en waarom is het eigenlijk zo belangrijk om in control te zijn? Interne beheersing biedt het bestuur van een onderneming reasonable assurance met betrekking tot het al dan niet behalen van kennis of doelstellingen. Om interne beheersing nader te bepalen dient eerst uitgelegd te worden wat precies reasonable assurance inhoudt. Assurance heeft als doel het reduceren van onzekerheden en risico s. Dit heeft op betrekking op o.a. de volgende onderwerpen: Redelijke mate van zekerheid kan verschaft worden door de Internal Audit afdeling of bijvoorbeeld door externe auditor. Grip krijgen en houden/over eigen beslissingen. Worden er de juiste beslissingen genomen? Grip krijgen over gedelegeerde bevoegdheden. Nemen de juiste mensen de juiste beslissingen? Control kan men gelijk stellen aan beheersing. Uiteindelijk lijdt Assurance tot reductie van onzekerheden, vergroot de voorspelbaarheid en de gedragingen en resultaten van medewerkers COSO Internal control frameworks, zoals COSO (USA), Turnbull (UK) and CoCo (Canada) zien internal control als volgt: Internal control is a process/set of processes designed to facilitate and support the achievement of business objectives 4. Ieder van deze frameworks (verder ook genoemd als raamwerk) heeft een wijdere blik ten aanzien van het alleen in control zijn met betrekking tot financiële verslaglegging. Het doel is om organisaties te assisteren om in redelijke mate van zekerheid de te behalen. Het COSO framework is een van de standaard evaluatiemodellen die door auditors worden gebruikt bij een onderzoek. Daarnaast is het COSO framework bij de goedkeuring van de Sarbanes Oxley Act naar voren geschoven als één van de voorgestelde en geaccepteerde raamwerken voor interne controle. Wij zullen in ons onderzoek alleen het COSO framework behandelen. COSO is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission. De Treadway commissie had tot doel te komen tot praktische, breed geaccepteerde criteria voor internal control systemen. Deze commissie, bestaande uit een aantal private organisaties, heeft in 1992 naar aanleiding van een aantal boekhoudschandalen en fraudegevallen, aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van internal control. 4 Internal Controls- A review of current developments, information paper 2006, international federations of Accountants. 8

9 In 1994 is daar nog een aanvulling opgekomen en werd dit samengevoegd in het COSO -rapport. Dit rapport is bedoeld om de organisaties een uniform en gemeenschappelijk referentiekader voor internal control te bieden en om het management te ondersteunen bij de verbetering van de interne beheersing. In 2004 werd het COSO ERM -framework (ook wel COSO II genoemd) in het leven geroepen. Dit model richt zich op het gehele interne beheersingssysteem. In 2006 heeft COSO een richtlijn ontwikkeld specifiek voor kleinere organisaties. Deze Guidance for Smaller Public companies is specifiek bedoeld om de betrouwbaarheid van de financiële informatieverzorging middels het treffen van interne beheersingmaatregelen te waarborgen. Het COSO -framework biedt weinig begeleiding op het operationele niveau en het framework is niet ontworpen om als benchmark te dienen voor een oordeel over de effectiviteit van de interne beheersing. In de Sarbanes-Oxley Act en ook in de Code Tabaksblat (De Nederlandse corporate governance code voor beursgenoteerde bedrijven) wordt echter het COSO -framework als enige genoemd als mogelijk te hanteren framework; bij het uitwerken van de bepalingen in de code ten aanzien van interne beheersing en risicomanagement. Om deze redenen wordt in deze scriptie gebruik gemaakt van het COSO -framework als benadering van het begrip interne beheersing. COSO identificeert de relatie tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: effectiviteit en efficiëntie van bedrijfsprocessen (Operations) betrouwbaarheid van de (financiële) informatieverzorging (Reporting) naleving van relevante wet- en regelgeving (Compliance) Componenten van Interne Beheersing Interne beheersing bestaat volgens COSO Internal Control uit vijf met elkaar samenhangende componenten. Deze componenten gezamenlijk vormen een raamwerk voor het inrichten en beoordelen van het interne beheersingsysteem. In figuur 2 wordt het COSO -framework weergegeven. Figuur 2: COSO-Internal Control Framework (1992) 9

10 De samenhangende componenten bestaan uit het volgende: - Control Environment: De controleomgeving bepaalt de wijze waarop de organisatie omgaat met interne controle en de mate waarin de medewerkers controlebewust zijn. De organisatiecultuur heeft een grote invloed op de wijze waarop activiteiten worden opgezet, doelstellingen worden vastgesteld en risico s worden beoordeeld - Risk Assesment: De interne- en externe risico's van een organisatie dienen te worden vastgesteld op organisatie-, proces- en activiteitenniveau. - Control Activities: De administratieve procedures en de maatregelen die ervoor moeten zorgen dat de richtlijnen, beleidslijnen en procedures van de leiding worden nageleefd om de gestelde doelen te bereiken. - Information & Communication: is een onmisbare component om beheersingsmaatregelen uit te kunnen voeren. De juiste informatie moet worden geïdentificeerd, verzameld en gecommuniceerd zodat de medewerkers hun taken op een efficiënte manier kunnen uitvoeren. Om dit te bewerkstelligen moet het informatiesysteem de gegevens zodanig vastleggen dat kwalitatief goede informatie wordt gegenereerd. Vervolgens moet ook de communicatie op een effectieve wijze plaatsvinden zodat de informatie de gehele organisatie doorstroomt. - Monitoring: De werking van de interne controle dient periodiek te worden geëvalueerd en de uitkomsten hiervan dienen te worden vastgelegd en gerapporteerd. Deze component zorgt ervoor dat de effectiviteit van het interne beheersingsysteem wordt bewaakt en wijzigingen worden aangebracht ter verbetering. Monitoring vindt op continue wijze plaats binnen alle bedrijfsprocessen Verband tussen COSO IC & COSO ERM COSO Internal Control is ontstaan in COSO heeft ontwikkelingen doorgemaakt, waardoor in 2004 COSO Enterprise Risk Management is ontstaan. Het COSO ERM is geen vervanger van COSO IC. Beide frameworks zijn stand alone. 5 Om de overeenkomsten en verschillen tussen beide raamwerken te beschouwen volgen we de definitie van COSO IC zoals eerder benoemd en vergelijken die met de definitie van COSO ERM; COSO IC: Interne Controle is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, ontworpen om redelijke zekerheid te verschaffen ten aanzien van de realisatie van doelstellingen in de volgende categorieën - Effectiviteit en efficiency van operaties (bedrijfsprocessen); - Betrouwbaarheid van financiële rapportage (informatievoorziening); - Voldoen aan toepasselijke wet- en regelgeving. - Het bewaken van activa of waarden COSO ERM: Enterprise risk management is een proces, aangestuurd door de Raad van Commissarissen van een onderneming, management en ander personeel, toegepast bij de bepaling van de strategie en binnen het geheel van de onderneming, ontworpen om potentiële gebeurtenissen te onderkennen die de onderneming zouden kunnen bedreigen, waardoor risico s binnen de kaders van risicovoorkeur gemanaged kunnen worden om een redelijke zekerheid te verschaffen en dat de doelstellingen van de onderneming worden bereikt. Het verschil tussen beide raamwerken 6 zit hem in de mate van de zekerheid die de raamwerken proberen te geven in het beheersen van de organisatie. Bij COSO IC gaat het niet verder dan efficiënte 5 Guide to Enterprise Risk Management. FAQ.PROVITIT independent Risk Consulting 6 Het COSO Enterprise Risk Management Integrated Framework, R. J. Uiterlinden, RC ( juni 2006) 10

11 en effectieve operaties, financiële rapportage en wet- en regelgeving. Bij COSO ERM begint het met de strategie van de onderneming en worden alle gebeurtenissen, die de realisatie van de doelstellingen die van de strategie zijn afgeleid bedreigen, beschouwd als risico s die moeten worden onderkend, geanalyseerd, gewogen en vervolgens gemanaged. Bij COSO ERM is het element van risicobeheersing toegevoegd en geheel uitgewerkt waarbij het begint bij het bepalen van doelstellingen. Deze doelstellingen worden in COSO IC als vertrekpunt beschouwd. Beide concepten gaan uit van een integrale aanpak die in verschillende richtingen dwars door de organisatie heengaat. Beide concepten focussen zowel op de soft als op de hard controls. Soft controls zijn informeel, subjectief, niet tastbaar en bevinden zich in het veld. Voorbeelden van soft controls zijn mensen, openheid, gedeelde waarden, duidelijkheid, commitment tot vakmanschap, eerlijkheid, hoge verwachtingen en communicatie. Ze zijn gerelateerd aan de mensen die het werk doen om de doelen van de organisatie te realiseren. Harde controls zijn formeel, objectief, meetbaar en vormen het raamwerk. Voorbeelden van hard controls zijn activiteiten, reviews, inspecties, policies, aansluitingen, structuur, beperking van bevoegdheden, usernames en passwords en voorraadopnames. Harde controls zijn gerelateerd aan de processen en activiteiten die men uitvoert. Beide frameworks kennen hun beperkingen. Zo worden er geen garanties verstrekt maar blijft het beperkt tot redelijke mate van zekerheid en wordt dit bovendien gedifferentieerd naar de doelen die ermee verbonden zijn. Beide frameworks gaan uit van een onzekere toekomst en kennen hun beperkingen ten aanzien van foute beslissingen, management dat maatregelen ter zijde schuift en kosten/baten afwegingen. COSO ERM mag overigens niet als de vervanger van COSO IC worden beschouwd. Voor het inrichten van een goed Internal Control Framework is COSO IC het meest aangewezen Effectiviteit van het interne beheersingssysteem In deze paragraaf zal worden beschreven wat er dient te worden verstaan onder de effectiviteit van het interne beheersingssysteem. Oorspronkelijk werd de controle op de interne beheersing uitgevoerd na de jaarafsluiting. Daarnaast waren voornamelijk interne of externe accountants verantwoordelijk voor het beoordelen van de effectiviteit van het interne beheersingsysteem. Het in control zijn heeft betrekking op effectiviteit. Een organisatie is effectief in het geval de voorgenomen doelen gehaald worden. Het meten van effectiviteit vereist middelen om te voorspellen wat er had kunnen gebeuren in het geval: een bepaalde gebeurtenis zich voordoet; en / of; een (bepaalde) actie niet genomen wordt. Interne beheersing wordt gezien als een proces in de betekenis van een opeenvolging van activiteiten uitgevoerd door mensen. De belangrijke aspecten hierbij zijn: Beheersmaatregelen zijn ingebouwd in de processen, met andere woorden interne beheersing is een onderdeel van de activiteiten binnen de organisatie. Interne beheersing wordt uitgevoerd door mensen, die allen hun unieke achtergronden eigendoelstellingen hebben. Dit heeft vooral gevolgen voor de verantwoordelijkheidsstructuur en bevoegdheden in relatie tot de doelstellingen van een organisatie. Echter is de effectiviteit van dat proces een toestand op een gegeven moment. In het COSO-IC rapport wordt gesteld dat het interne beheersingsysteem effectief is wanneer de vijf componenten van interne 11

12 beheersing aanwezig zijn en effectief functioneren. Deze componenten zijn de criteria voor een effectief interne beheersingsysteem. Bij het vaststellen van de effectiviteit van het interne beheersingsysteem is het belangrijk om te weten wat de normstelling is. Immers, naarmate de normstelling duidelijker is kunnen de vijf componenten van interne beheersing doelgerichter worden uitgewerkt en beoordeeld. Het COSO -rapport hanteert voor de normstelling het begrip reasonable assurance, ofwel redelijke mate van zekerheid. Dat wil zeggen dat wanneer wordt vastgesteld dat de componenten aanwezig zijn en effectief functioneren de organisatie een redelijke mate van zekerheid heeft met betrekking tot de vier doelstellingen die in het COSO -framework zijn benoemd. 2.2 GRC -tools In deze paragraaf gaan we in op wat GRC- tools zijn, welke er worden aangeboden en op welke wijze zij de controleomgeving beïnvloeden Omschrijving GRC -tools Het aantoonbaar voldoen aan externe wet- en regelgeving, Risk Management of andere Corporate Governance maatregelen is een complex geheel. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak complexer. Met behulp van GRC- tools worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersingsmaatregelen gecommuniceerd. Veel bedrijven en instellingen benaderen het invoeren van interne controle en het afleggen van verantwoording over de effectiviteit daarvan niet als een op zichzelf staand eenmalig project. Zij zien het verband tussen verschillende Governance, Risk and Compliance (GRC)-activiteiten binnen hun organisatie. Onder GRC wordt hierbij verstaan; Figuur 3. Samenhang GRC Governance: het geheel van beleid, procedures en maatregelen om een organisatie te kunnen laten functioneren in overeenstemming met haar strategische doelstellingen. Risk management: het geheel van procedures en maatregelen dat zich richt op het systematisch identificeren van risico's, het nemen van mitigerende maatregelen en het rapporteren over het functioneren van risk management aan de leiding. 12

13 Compliance: het voldoen aan wet- en regelgeving, dan wel: het geheel van maatregelen en procedures dat er zorg voor draagt dat een organisatie voldoet aan wet- en regelgeving en daarover verantwoording aflegt. Organisaties zijn vaak niet op de hoogte van de mogelijkheden die bestaande software hun biedt. Zodoende wordt er te weinig gebruik gemaakt van het aanwezige ERP -systeem. Het is duidelijk geworden dat organisaties het proces om te voldoen aan wet- en regelgeving als een eenmalig proces beschouwden. Daardoor werden de vereiste interne -beheersingsmaatregelen niet als een onderdeel van de dagelijkse bedrijfsvoering gezien. Om deze redenen hebben veel organisaties hun eigen benadering en methodologie ontworpen, wat resulteerde in een nogal pragmatische manier van werken. In veel gevallen werd de documentatie betreffende processen, risico s en controles, evenals het plannen en monitoren van verschillende controleactiviteiten gerapporteerd in Excel -bestanden. De redenen voor organisaties om in de beginfase te kiezen voor Excel zijn heel goed te begrijpen. Iedereen binnen de organisatie is namelijk bekend met Excel, waardoor weinig of geen training benodigd is. Daarnaast is het een zeer flexibele oplossing die gemakkelijk binnen de gehele organisatie wordt verspreid. De tool kan in gebruik worden genomen terwijl nieuwe toepassingen worden ontwikkeld en verbeterd. De gevolgen van het onjuist gebruik van spreadsheets kunnen desastreus uitwerken, omdat beslissingen worden genomen op basis van onjuiste feiten. Verkeerde beslissingen van het management kunnen leiden tot geldverlies en zelfs tot gezichtsverlies voor de organisatie. Het is een feit dat spreadsheets gemakkelijk door iedereen aangepast kan worden, er is niet bepaald een audittrail. Hierdoor is er een verhoogd inherente risico aanwezig en de volgende fouten zijn dan ook snel gemaakt: - Input error; verkeerde data input. Dit wordt versterkt door het simpele copy & paste toepassing - Logic error; gebruik van verkeerde formules, bijvoorbeeld bij verkeerd door kopiëren - Interface erros; fouten gemaakt bij de import/export van data uit andere systemen - Other errors; fouten ontstaan door onjuiste cell wijdte of verwijs naar verkeerde cells Er zijn echter enkele grote nadelen verbonden aan het gebruik van Excel. Ten eerste vereist het voldoen aan wet- en regelgeving intensieve en controleerbare documentatie. Dat wil zeggen dat het documenteren nogal arbeidsintensief is, waarbij ook nog op een aantoonbare wijze gedocumenteerd moet worden, dat bijvoorbeeld een controle wordt uitgevoerd. Op het gebied van controle en beveiliging is Excel onvoldoende ontwikkeld, waardoor het niet in staat kan worden geacht om met redelijke zekerheid betrouwbare informatie te leveren. Ten tweede vereist het voldoen aan wet- en regelgeving de deelname van veel verschillende personen. Dit is natuurlijk zeer lastig wanneer de Excel -bestanden door de gehele organisatie worden verspreid. Al snel komt de vraag: Wie werkt waaraan en hoe wordt dit gecontroleerd? Het gaat ten koste van de effectiviteit wanneer verschillende personen niet gelijktijdig toegang kunnen krijgen tot het bestand. Het derde en laatste nadeel van Excel is het zoeken en terugvinden van bepaalde documentatie wanneer dit niet wordt opgeslagen in een centrale database. Uit het bovenstaande valt te concluderen dat veel organisaties op dit moment zich moeten realiseren dat zij de volgende fase in moeten gaan bij het voldoen aan wet- en regelgeving. 13

14 2.2.3 Relatie tussen Interne beheersing en GRC -tools Sinds de invoering van de SOX- wetgeving zijn bedrijven verplicht om aan te tonen dat ze in control zijn. Onder meer de effectiviteit van de interne controle wordt daarbij beoordeeld. GRC- tools worden gebruikt om organisaties te helpen in het aantonen van compliance. We zullen verderop in de hoofdstukken dieper ingaan op de mogelijkheden van de GRC -tool. Wat kunnen GRC- tools, waar moeten zij aan voldoen, waarom zouden bedrijven of accountants er gebruik van moeten maken en wat zijn de nadelen? Voorbeelden van tools op het gebied van Governance, Risk & Compliance zijn onder andere: BWise Dynasec Runbook SAP GRC Automatisering speelt een belangrijke rol in de verbetering van de effectiviteit van de interne controle. Uit een onderzoek onder leidinggevenden van de Global CFO study 2008 bleek dat ongeveer 66 procent van de ondervraagden het beheersen en verminderen van risico s prioriteit geeft en dat dit een factor is die bepaalt of een bedrijf financieel succesvol is. GRC- tools kunnen belangrijk zijn bij het automatiseren van interne controle. Deze tools bieden als voordeel dat het interne controle systeem effectief ingericht kan worden. Ook kunnen ze doorgaans consistenter en gebruikersvriendelijker werken dan het handmatig beoordelen van de effectiviteit van interne controle Onderverdeling van GRC -tools De afgelopen jaren zijn er vele verschillende GRC- tools ontwikkeld die ondersteuning bieden bij het oplossen van de problemen, die bijvoorbeeld kunnen ontstaan door het gebruik van Excel. Om aan te geven welke verschillende tools er zijn, is het verstandig om een onderverdeling te maken van deze tools. We zien dat de volgende indeling is te maken van de beschikbare tools: 1. Tools ter ondersteuning van het compliance-proces (opzet-bestaan); Transparantie Inzichtelijk maken van de interne controle maatregelen Audit-trail Duidelijkheid over wie waarvoor verantwoordelijk is binnen de organisatie. Voorbeelden: BWise en Dynasec 2. Tools ter ondersteuning van de IT -componenten (processen) binnen de controleomgeving (werking). Voorbeeld: Runbook, deze ondersteunt, controleert en documenteert het gehele proces van afsluiting van een financiële periode. De moderne technologie maakt het mogelijk wereldwijd data te verzamelen en te analyseren om zo cruciale informatie te leveren die nodig is voor organisatiebeslissingen en rapportage. In een GRCplatform worden risico's ten behoeve van Compliance en Risk Management gedefinieerd en gedocumenteerd, controles uitgevoerd en bewijzen geregistreerd en gemonitord. Vervolgens worden de tekortkomingen inzichtelijk gemaakt en kan het proces indien gewenst worden bijgesteld. Door deze complexe processen in een applicatie te verbinden, kan een control en het bijbehorend testresultaat worden hergebruikt voor een ander risico of een andere wetgeving waaraan voldaan moet worden. Bovendien kunnen verbanden worden gelegd tussen de verschillende Governance & Compliance invalshoeken. Zo geeft een GRC platform ondersteuning aan het uitrollen en -voeren van 14

15 een bedrijfsbreed GRC programma. Om de marktsituatie van GRC software te bepalen en te vergelijken hoe de producten zich tot elkaar verhouden, heeft The Forrester Wave een gerenommeerd Amerikaans onderzoeksbureau onderzoek gedaan naar de sterktes en zwakten van de top vijftien GRC platform leveranciers Forrester-rapport Forrester7 heeft vijftien toonaangevende Governance, Risk and Compliance (GRC) platform leveranciers met elkaar vergeleken. BWise kwam als de beste uit het onderzoek, tot de leiders behoren ook Axentis, MetricStream, OpenPages, Paisley and Qumas. Het doel van het onderzoek was om de ontwikkelingen in de GRC-markt in kaart te brengen. Uit 114 peers is uiteindelijk een top vijftien tot stand gekomen. Hierbij zijn sterke- en zwakke kenmerken met elkaar vergeleken, zie figuur 4 resultaten van het rapport. Figuur 4. Forrester Wave: Enterprise Governance, Risk, And Compliance Platforms, Q Gartner- Rapport In het Magic Quadrant for Operational Risk Management Software voor Financial Services plaats Gartner8 SAS hoog in zijn Leaders. SAS scoort in de beoordeling het hoogst op zowel visie als op het vermogen om deze visie te realiseren. Gartner reserveert het leiderskwadrant voor leveranciers van softwaretoepassingen die de kwalitatieve als kwantitatieve aspecten van risicobeheer adresseren. Deze ondernemingen hebben een sterkere marktpositie en geven hun klanten (in tegenstelling tot leveranciers van losstaande toepassingen voor risicoberekening, auditing en rapportage) een breed en consistent beeld van de totale operationele risico s binnen een organisatie. 7 Forrester Wave : Enterprise Governance, Risk, And Compliance Platforms, Q Gartner is een Amerikaanse organisatie die zich bezighoudt met onderzoek en advisering in de IT-industrie. 15

16 Figuur 5. Magic Quadrant for Operational Risk Management Software voor Financial Services Aanbod van GRC- tools In deze paragraaf beschrijven we enkele GRC- tools die worden aangeboden op de markt. SAP & Oracle Zoals in de inleiding van deze scriptie is gesteld moeten organisaties bewijzen dat men in control is. De processen die worden gebruikt voor het definiëren, creëren, verzamelen en registeren van deze bewijslast zijn over het algemeen echter zeer inefficiënt. GRC- tools zijn ontworpen om deze processen te stroomlijnen en te ondersteunen. Op dit vlak kunnen volgens ons??ook de meeste kosten worden bespaard. Het is dan ook belangrijk om op deze interne kosten de aandacht te vestigen. Het probleem is echter dat veel organisaties zich niet op de interne kosten richten, maar op de externe kosten zoals de audit fee. Deze externe kosten kunnen echter wel verminderen wanneer GRC- tools worden ingezet. Een voorbeeld hiervan is dat de documentatie t.b.v. controlehandelingen door het gebruik van GRC -tools beter bewijsbaar en bruikbaar wordt gemaakt. Deze documentatie is daardoor in de toekomst ook beter controleerbaar door de externe accountant. Dit betekent simpelweg dat het goedkoper wordt. Daarnaast kan de documentatie digitaal worden opgeslagen, waardoor de audit onafhankelijk van de locatie wordt. Dit zijn allebei indirecte efficiëntie voordelen van het gebruik van GRC -tools. In de volgende subparagrafen worden voornamelijk de directe efficiëntie voordelen beschreven en wordt aangegeven op welk functioneel gebied de GRC -tool betrekking heeft. 16

17 BWISE Met de GRC software van BWise kunnen organisaties een Compliance framework (zoals voor SOX), met Risk frameworks geïntegreerd stroomlijnen. Het voordeel hiervan is volgens de leverancier van BWise: aanzienlijke tijd- en kostenbesparingen om compliant met alle wet- en regelgevingen te zijn, een beter onderbouwd 'In control' statement door sterk verbeterde inzichten en grip op de operationele risico's. Verschillende afdelingen in verschillende landen met weer lokale regelgeving zijn betrokken en dat maakt het vaak extra complex. BWise is een wereldwijde leverancier van de gelijknamige GRC tool die kan worden ingezet om op een gestructureerde en georganiseerde wijze GRC projecten te implementeren en uit te rollen naar de verschillende landen en afdelingen. De GRC -tool BWise heeft wereldwijd veel gebruikers op het gebied van Governance, Risk en Compliance (GRC). Door proces gerichte aanpak kan BWise ingezet worden voor het besparen van kosten om compliant te zijn. Met behulp van deze GRC -tool worden processen snel en efficiënt gedocumenteerd, risico's gesignaleerd en gezamenlijk met bijbehorende beheersmaatregelen gecommuniceerd via het web. Volgens de leverancier draagt de GRC -tool van BWise effectief bij aan het voldoen aan wet- en regelgeving zoals de Sarbanes-Oxley Act, Basel II en de Code Tabaksblat. BWise GRC stelt organisaties in staat te komen tot een systematische en georganiseerde aanpak van een GRC -gerelateerde strategie en implementatie. In plaats van het apart registreren van risk of compliance gerelateerde informatie wordt een framework geïmplementeerd van waaruit alle regels en procedures kunnen worden gemanaged. Hierdoor zijn organisaties niet alleen in staat om risico's te managen en te voldoen aan de nodige wet- en regelgeving maar kunnen zij ook nog eens grote efficiency voordelen (kosten- en tijdsbesparingen) behalen door GRC geïntegreerd aan te pakken. BWise gelooft dat een goede geïntegreerde GRC strategie alleen mogelijk is vanuit een business proces management aanpak. De voordelen die BWise te bieden heeft: - Diverse risk management en compliance initiatieven worden geïntegreerd in één framework. - In relatie tot Compliance: een beoordeelde control kan worden hergebruikt in diverse compliance -rapporten. - In relatie tot risk management: maakt inzichtelijk hoe risico's zich tot elkaar verhouden en aan welk proces ze zijn ze toegewezen. 17

18 Dynasec Dynasec biedt oplossingen om Multi -Compliance Management professioneel en geleidelijk te introduceren binnen de organisatie. Dynasec heeft een methodiek voor elke fase in het compliance traject: Figuur 6: Het Multi-Compliance Management Systeem (Dynasec, 2009) Het Dynasec Multi-Compliance Management model is er speciaal op gericht om gedurende het gehele compliance traject de juiste focus te houden. Multi-Compliance Management bestaat uit 3 fasen met elk specifieke eigenschappen: Fase 1: Orde op zaken in uw complianceraamwerk - Identificatie van "impliciete" beheersmaatregelen - Combineren meerdere Compliancegebieden - Ontdubbelen en ordenen van beheersmaatregelen - Koppelen met Risico's, Processen en Organisatie Fase 2: Volledig geïntegreerde workflow - Testen bestaan en werking beheersmaatregelen - Rapportage voor jaarverslag en voortgang - Root cause analysis - Risico mitigatie taken - Integratie met en office systemen Fase 3: Optimaliseren door Automatiseren - Koppeling met de financiële systemen - Koppeling user- en autorisatiebeheer - Koppeling met event-log systemen - Automatische audit van ICT-infrastructuur - Automatische audit van applicaties Hiermee kan voldaan worden aan meerdere wet- en regelgevingen, maar ook aan meerdere standaarden (bv. CobiT 4, ISO) en vanzelfsprekend ook eigen bedrijfsbeleid. De Dynasec Security =software vermindert volgens de leverancier aantoonbaar de kosten, de complexiteit en de doorlooptijd van compliance en risk management processen. 18

19 Runbook Runbook ontwikkelt en implementeert SAP -geïntegreerde oplossingen voor de interne beheersing, de periodeafsluiting en andere processen binnen de organisatie. De Runbook software die in deze paragraaf wordt beschreven heeft betrekking op de coördinatie en de controle op de uitvoering van financiële processen. In het perspectief van het COSO -framework biedt de tool ondersteuning aan de componenten control activities en monitoring. Control activities Als eerste zal worden beschreven op welke manier Runbook ondersteuning biedt aan de control activity, daarna wordt het monitoren van deze controleactiviteiten behandeld. Runbook is ontstaan om het proces van de periodeafsluiting te structureren. Dit proces heeft men namelijk geïmplementeerd bij verschillende organisaties. Op dit moment is Runbook echter ook in staat om andere processen te beheersen waardoor het een applicatie is voor de gehele interne beheersing. Het vinden van een balans tussen interne beheersing en efficiency is een grote uitdaging geworden. De controleactiviteiten worden namelijk na de invoering van de Sarbanes -Oxley Act binnen de gehele organisatie en van het begin tot het einde van het financiële jaar uitgevoerd. Voor het ERP -systeem is dit moeilijk om te coördineren. Het ERP -systeem is namelijk geconcentreerd op de business cycle en ondersteunt geen verticale controleactiviteiten. Runbook geeft het SAP ERP -systeem de mogelijkheid om het proces te verduidelijken, onder te verdelen in kleine componenten en alle procedures controleerbaar te maken. Op deze manier kan duidelijk gemaakt worden wie verantwoordelijk is voor welke controle, wanneer deze controle wordt uitgevoerd en hoe dit wordt gecontroleerd. De controleactiviteiten worden ondersteund door gebruik te maken van een geautomatiseerde workflow die de aangewezen personen op de hoogte stelt van de uit te voeren control activiteiten. Hieruit blijkt dat de controleactiviteiten nog wel handmatig worden uitgevoerd, maar digitaal worden opgeslagen. Met andere woorden: het document dat moet worden beoordeeld is digitaal opgeslagen en het rapport van de beoordeling, de controleactiviteit, wordt ook digitaal opgeslagen. De gebruiker heeft daarnaast de mogelijkheid om toevoegingen te maken in de vorm van notities en bijlagen. Men kan daardoor de controleactiviteiten efficiënt en overzichtelijk documenteren en rapporteren. Hierdoor is Runbook complementair met SAP; Runbook maakt de data uit het ERP - systeem namelijk beter bewijsbaar en bruikbaar voor de periodeafsluiting en andere processen. Er wordt gesuggereerd dat de meeste toegevoegde waarde en kostenbesparingen kunnen worden behaald met tools op dit niveau, namelijk het operationele niveau. Deze tools vergen naast een uitdagende technische en functionele implementatie ook nog een organisatorische implementatie. Dit is dan ook het sterke punt van Runbook. Ten eerste kan Runbook technisch en functioneel worden geïmplementeerd vanwege de integratie met het SAP ERP -systeem. Ten tweede wordt het gehele proces gestructureerd, waardoor de handmatige controles die binnen Runbook worden uitgevoerd een minder hoog risico hebben op ineffectiviteit vanwege menselijke fouten en de stiptheid van de controle uitvoering. Daarnaast zijn de handmatige controles door de goede organisatie veel minder vatbaar voor overtolligheid of overlapping in inspanningen. Hierdoor wordt het aantal handmatige controle activiteiten verminderd. Monitoring Runbook is, zoals hierboven beschreven, voornamelijk gericht op het structureren van processen binnen de interne beheersing. Toch zou het onrechtvaardig zijn wanneer Runbook slechts wordt beschreven als een actieplan. Het monitoren van de controleactiviteiten wordt namelijk op een zeer efficiënte manier uitgevoerd. Normaal gesproken weet alleen de controller wie verantwoordelijk is voor welke controle en wanneer deze controle wordt uitgevoerd. Door middel van de integratie met het SAP ERP -systeem kunnen alle betrokkenen zien welke personen voorafgaand aan de eigen activiteit aan de slag moeten en welke informatie men zelf moet opleveren. Wanneer de controleactiviteit is uitgevoerd wordt dit door Runbook automatisch aangegeven. 19

20 In de zogenoemde cockpit overview krijgt deze controleactiviteit groen licht. Hieruit blijkt dat het monitoren van de controleactiviteiten niet meer handmatig wordt uitgevoerd. Wanneer het licht op rood of oranje blijft staan is deze controleactiviteit niet uitgevoerd. Dit betekent dat men de actuele status van de voortgang van de controleactiviteit kan bekijken. Doordat de gebruiker de mogelijkheid heeft om toevoegingen te maken in de vorm van notities en bijlagen kan het management tijdig opvolging geven aan corrigerende maatregelen, mocht dat noodzakelijk zijn. Dit betekent dat men real-time inzicht heeft in de resultaten en uitzonderingen van de controleactiviteiten inclusief de achterliggende documentatie. Hierdoor is er sprake van management by exception alleen de uitzonderingen worden behandeld. SAP GRC SAP GRC biedt een portfolio van applicaties die ervoor moeten zorgen dat alle GRC- activiteiten worden vastgelegd en geoptimaliseerd. Deze portfolio bestaat uit een zestal applicaties, namelijk: - GRC repository - Risk management - Global trade - Environment - Access controls - Process controls. In deze paragraaf worden alleen de access controls en de process controls beschreven. Access controls Veel organisaties proberen te voldoen aan wet- en regelgeving met behulp van verschillende en veelal handmatige, activiteiten. Elke activiteit is gericht op een bepaald gedeelte van de wet- en regelgeving, maar deze activiteiten zijn niet met elkaar geïntegreerd. Op deze manier is het zeer moeilijk en kostbaar om aan te tonen dat de organisatie stevig verankerde en effectieve access en authorization controls heeft ingericht zoals door de Sarbanes-Oxley Act wordt geëist. Een belangrijk onderdeel hiervan is Segregation of Duties (SoD), ofwel functiescheiding. Dit onderdeel moet voorkomen dat er sprake kan zijn van conflicterende handelingen, zoals de mogelijkheid om een verkoper in het systeem aan te maken en te betalen. Het wordt er niet gemakkelijker op wanneer er kan worden verondersteld dat er duizenden regels betreffende toegangsrechten en onderlinge afhankelijkheden kunnen bestaan bijvoorbeeld binnen het SAP -systeem. Om deze access en authorization controls effectief en efficiënt te kunnen beheren zijn tools nodig die dit proces automatiseren. Op dit gebied kunnen geautomatiseerde monitoring tools namelijk de efficiency, maar zeker ook het inzicht in de controls en daarmee de effectiviteit verbeteren. Binnen de portfolio van SAP GRC Access Control worden hier vier verschillende applicaties voor ingezet. Deze applicaties worden in figuur 7 weergegeven en worden besproken in de onderstaande tekst. 20

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Het effect van GRC-software op de jaarrekening controle

Het effect van GRC-software op de jaarrekening controle Compact_ 2008_3 3 Het effect van GRC-software op de jaarrekening controle Faried Ibrahim MSc en drs. Dennis Hallemeesch F. Ibrahim MSc is afgestudeerd bij KPMG IT Advisory voor de Master Economics & ICT

Nadere informatie

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern Programma 13.30 uur Opening 13.40 uur Risicomanagement in het onderwijs door Marien Rozendaal RA 14.30 uur Pauze 15.00 uur Risicomanagement

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Interne controle en risicobeheer

Interne controle en risicobeheer COMMISSIE CORPORATE GOVERNANCE PRIVATE STICHTING Interne controle en risicobeheer Richtlijnen in het kader van de wet van 6 april 2010 en de Belgische Corporate Governance Code 2009 Hulpdocument voor het

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Energiemanagement actieplan. Van Schoonhoven Infra BV BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013 ENERGIEMANAGEMENT ACTIEPLAN code: B1308 3 oktober 2013 datum: 3 oktober 2013 referentie: lak code: B1308 blad: 3/8 Inhoudsopgave 1. Inleiding 4 2. Onderdelen van het energiemanagement actieplan 5 2.1

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2014 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL 26 BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL De invoering van een geïntegreerd risicomodel leidde tot versterking van de interne beheersing bij Kempen & Co. Een risicomodel waarin risk, compliance

Nadere informatie

Energiemanagement actieplan. Baggerbedrijf West Friesland

Energiemanagement actieplan. Baggerbedrijf West Friesland Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2015 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

energiemanagement & kwaliteitsmanagement

energiemanagement & kwaliteitsmanagement Energiemanagement Programma & managementsysteem Het beschrijven van het energiemanagement en kwaliteitsmanagementplan (zoals vermeld in de norm, voor ons managementsysteem). 1 Inleiding Maatschappelijk

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud Toegevoegde waarde vanuit inhoud De Organisatie 1 De Organisatie Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met een uitgebreide expertise in business-

Nadere informatie

De effectieve directie

De effectieve directie Studiedag - Journée d études De interne audit en het auditcomité Walgraeve M. Hoofd interne audit NVSM 17.10.2008 Verslag over: De effectieve directie - Financiële, operationele en strategische risico

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen

Nadere informatie

Procedure 07 CO 2 -prestatieladder. 24 februari 2013 (FKO)

Procedure 07 CO 2 -prestatieladder. 24 februari 2013 (FKO) Procedure 07 CO 2 -prestatieladder 24 februari 2013 (FKO) Inhoudsopgave Inleiding 3 1. Stuurcyclus Energiemanagement 4 2. Methodiek voor de emissie inventaris 6 Procedure 07 CO 2-prestatieladder 2 Inleiding

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

Energiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV

Energiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Nuth,20augustus 2015 Auteur(s): Tom Kitzen Theo Beckers Geaccordeerd door: Serge Vreuls Financieel Directeur C O L O F O N Het format voor dit

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6 Inleiding De afgelopen vijftien jaar hebben we veel ervaring opgedaan met het doorvoeren van operationele efficiencyverbeteringen in combinatie met ITtrajecten. Vaak waren organisaties hiertoe gedwongen

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT DIVISIE PENSIOEN & LEVEN Laan van Malkenschoten 20 Postbus 9150 7300 HZ Apeldoorn www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van 2013

Nadere informatie

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken

Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken Releasen met een druk op de knop: Met behulp van Continuous Delivery sneller uw doel bereiken De business organisatie heeft altijd stijgende verwachtingen van uw IT organisatie. Meer dan ooit is het van

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

De kracht van een sociale organisatie

De kracht van een sociale organisatie De kracht van een sociale organisatie De toegevoegde waarde van zakelijke sociale oplossingen Maarten Verstraeten. www.netvlies.nl Prinsenkade 7 T 076 530 25 25 E mverstraeten@netvlies.nl 4811 VB Breda

Nadere informatie

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. De SYSQA dienst auditing Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users

Acceptatiemanagement meer dan gebruikerstesten. bridging it & users Acceptatiemanagement meer dan gebruikerstesten bridging it & users Consultancy Software Training & onderzoek Consultancy CEPO helpt al meer dan 15 jaar organisaties om integraal de kwaliteit van hun informatiesystemen

Nadere informatie

Exact Synergy Enterprise. Krachtiger Financieel Management

Exact Synergy Enterprise. Krachtiger Financieel Management Exact Synergy Enterprise Krachtiger Financieel Management 1 Inleiding Waar gaat het om? Makkelijke vragen zijn vaak het moeilijkst te beantwoorden. Als het hectische tijden zijn, moet u soms veel beslissingen

Nadere informatie

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012 Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar

Nadere informatie

Energiemanagementsysteem

Energiemanagementsysteem Energiemanagementsysteem BVR Groep B.V. Roosendaal, 20-06-2014. Auteur(s): H. Schrauwen, Energie & Technisch adviseur. Geaccordeerd door: M. Soenessardien,Manager KAM, Personeel & Organisatie Pagina 1

Nadere informatie

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage

Nationale Controllersdag 2016 9 juni 2016. Financial Control Framework Van data naar rapportage Nationale Controllersdag 2016 9 juni 2016 Financial Control Framework Van data naar rapportage Inhoudsopgave Even voorstellen Doel van de workshop Positie van Finance & Control Inrichting van management

Nadere informatie

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen RISK & COMPLIANCE Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen 16 februari 2010 ADVISORY Onderwerp: Onderzoek Soft controls binnen interne accountantsdiensten Geachte

Nadere informatie

Energiemanagement actieplan. Koninklijke Bammens

Energiemanagement actieplan. Koninklijke Bammens Maarssen, 16 februari 2015 Auteur(s): Niels Helmond Geaccordeerd door: Simon Kragtwijk Directievertegenwoordiger Milieu / Manager Productontwikkeling C O L O F O N Het format voor dit document is opgesteld

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van Pension Fund Governance

Nadere informatie

Rollen in Risk Management

Rollen in Risk Management Rollen in Risk Management 10 oktober 2009 1 Inleiding In de afgelopen maanden heeft de Enterprise Risk Management-werkgroep een tweetal columns op de IIA website gepubliceerd: 1. Een algemene inleiding

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

BluefieldFinance. BluefieldFinance. Sense Template. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Sense Template. Toegevoegde waarde vanuit inhoud Sense Template BluefieldFinance Toegevoegde waarde vanuit inhoud De Organisatie Opgericht 2007 Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions

Efficiënter inkopen en meer controle over uw uitgaven en kasstromen. Purchase-to-Pay Canon Business Solutions Efficiënter inkopen en meer controle over uw uitgaven en kasstromen Purchase-to-Pay Canon Business Solutions Automatiseer uw Purchase-to-Payproces voor een betere afstemming tussen Inkoop en Finance Uw

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Staff Workload Planner. Verbeter de inzet van academisch personeel

Staff Workload Planner. Verbeter de inzet van academisch personeel Staff Workload Planner Verbeter de inzet van academisch personeel Zet docenten effectiever in met gebruik van de software Staff Workload Planner van Scientia. Nu instellingen van het hoger en voortgezet

Nadere informatie

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken Leiderschap 1. De directie heeft vastgelegd en is eindverantwoordelijk voor het

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive

Ad Hoc rapportage of constante sturing. Presentatie door: Paul Brands Regional Account Executive 1 Ad Hoc rapportage of constante sturing Presentatie door: Paul Brands Regional Account Executive Agenda 2 Wie zijn wij? Duurzaam ondernemen / Informatie voorziening. Veranderende inzichten. Knelpunten

Nadere informatie

research manager wij maken kwaliteit in de zorg meetbaar

research manager wij maken kwaliteit in de zorg meetbaar research manager wij maken kwaliteit in de zorg meetbaar research manager is een product van: Cloud9 Software B.V. www.cloud9software.nl wij maken kwaliteit in de zorg meetbaar U kunt via onderstaande

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden De nieuwe generatie E-HRM systemen onderscheidt zich niet alleen door gebruikersgemak

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Smart Power Networks. Energie Management. Bas de Koningh - HARTING B.V.

Smart Power Networks. Energie Management. Bas de Koningh - HARTING B.V. Smart Power Networks Energie Management Bas de Koningh - HARTING B.V. Motivatie Politieke doelen Reductie CO2-Uitstoot nucleare energie fase out Meer renewable energie duurzame energieefficiëntie in de

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie