Module 5: Inrichting risicomanagement en inleiding risicoanalyse

Vergelijkbare documenten
Module 7: Inrichting risicomanagement en inleiding risicoanalyse

Module 5: Inrichting risicomanagement en inleiding risicoanalyse

Module 5: Inrichting risicomanagement en inleiding risicoanalyse

Module 7: Inrichting risicomanagement en inleiding risicoanalyse

Monitoren van Compliance Risk

Het wat en hoe van risicomanagement. LOKmml-bijeenkomst donderdag 24 maart 2016

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

Business as (un)usual

LCOZ M2 Monitoring & handhaving. Cora Wielenga, 8 februari 2018

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

02/10/2015. Co-operative Compliance en de rol van Compliance Management Systemen

Implementeren van complianceen risicomanagement met Panoptys

2 e webinar herziening ISO 14001

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seriously Seeking Security

Wat komt er op ons af?

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Opleiding PECB ISO 9001 Quality Manager.

ISO 9001: Business in Control 2.0

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

2010 Integrated reporting

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

NBA Waardecreatie, Integrated Thinking en Integrated Reporting. 17 januari 2017 Paul Hurks

HET GAAT OM INFORMATIE

LCP Customer Due Diligence Module 3 7 juni mr. Musa Elmas CCP

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

IT risk management voor Pensioenfondsen

Meerwaarde Internal Audit functie. 16 maart 2017

BizPlan SIRA. & Risicomonitoring. Asya Oosterwier. Module 5 D2 Nederlands Compliance Instituut

Opleiding PECB IT Governance.

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

Management 2.0. Maak je organisa2e proces- driven en je governance integraal!

Corporate presentation. Risicomanagement Jeroen Baart

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

Impact en disseminatie. Saskia Verhagen Franka vd Wijdeven

Compliance risicoanalyse

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

LCP module 5 Monitoren. Marieke van Maarseveen

Safety Management System

UITBESTEDING DOOR VERZEKERAARS: EFFECTEN OP HET SOLVABILITEITSBESLAG. # Het begint met een idee

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Wim Eysink Deloitte IIA Raad van Advies. Voorstellen herziene Corporate Governance Code

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Geïntegreerd jaarverslag Gasunie 2013

Bent u 100% in Compliance?

Offshore Outsourcing van Infrastructure Management

E-learning maturity model. Hilde Van Laer

5-daagse bootcamp IT Risk Management & Assurance

De nieuwe ISO-normen: meer dan KAM-management alleen!

Gemeente Ridderkerk Controle jaarrekening Ridderkerk 4 juli 2019 Jesper van Koert Reinier Moet Rein-Aart van Vugt

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Training risicomanagement bedrijfsleven

Denken in processen. Peter Matthijssen. Business Model Innovation. Business Process Management. Lean Management. Enterprise Architecture

NOG TE WEINIG INTEGRAAL RISICOMANAGEMENT IN DE GEZONDHEIDSZORG

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

CORPORATE BRANDING AND SOCIAL MEDIA: KEY FINDINGS FOR DUTCH CONSUMERS Theo Araujo

Compliance risicoanalyse

Van Risicomanagement naar Waarde Creatie. Duurzaam Inkopen 3.0

Ondernemen dankzij 3 lines of defense. Hoe 3 lines of defense ondernemerschap binnen uw organisatie kan stimuleren

Volwassen Informatiebeveiliging

Identity & Access Management & Cloud Computing

De nieuwe compliance norm ISO en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

over cultuur .10 toezichtsvragen

(Big) Data in het sociaal domein

Welkomstwoord. Leen Paape. - Hoogleraar Corporate Governance - Voorzitter van het Nyenrode Corporate Governance Instituut

Risk & Requirements Based Testing

GOVERNMENT NOTICE. STAATSKOERANT, 18 AUGUSTUS 2017 No NATIONAL TREASURY. National Treasury/ Nasionale Tesourie NO AUGUST

Informatiebeveiliging & ISO/IEC 27001:2013

PLANET AGILE. Projecten opleveren met het oog op toekomstige generaties: Hoe doe je dat met Agile? Manfred van Veghel 17E BPUG SEMINAR

ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert

Montae kennissessie 4 juli Rob Kragten

Berry Kok. Navara Risk Advisory

Readiness Assessment ISMS

Post Transactie Monitoring NOREA round table

De ISO High Level Structure (HLS) en de nieuwe ISO 22000

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

General info on using shopping carts with Ingenico epayments

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Martin Dees Algemene Rekenkamer. Performance Auditing

JOB OPENING OPS ENGINEER

Hello map Ocean. To view animation put this slide in full screen mode (Shift + F5 on keyboard) 21 maart 2007 Slide 1 Next slide.

De toekomst van de Tax Assurance Provider

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support

Advies inzake Risicobenadering

Een brug slaan tussen Enterprise Risk. systemen. Guus Koomen, senior adviseur Milieu & Veiligheid - Industrie

Project integriteitrisicoanalyse

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Transcriptie:

Module 5: Inrichting risicomanagement en inleiding risicoanalyse Mr drs. Peter Steenwijk Nederlands Compliance Instituut

Even voorstellen: Peter Steenwijk Bedrijfskunde, Ondernemingsrecht en Internal Auditing Docent en onderzoeker Haagse Hogeschool Risicomanagement, Compliance, Corporate Governance en Ethiek. Research: witwassen en terrorisme financiering

Programma Introductie Definities Standaardenen Systemen Meten, Analyseren en Beheersen Compliance Risico Monitoring Cultuur en Risico Volwassenheid Focus: DNB en Risk Management Terugblik en Afsluiting

Aanpak 1. Leerdoelen 2. Combinatie van theorie en praktijk 3. Werkvorm: interactief voldoende gelegenheid tot het stellen van vragen

What the..?

Risico Management Risico Management is. Jouw definitie?

Stellingen: 1. Ik maak elk jaar een risico analyse 2. De compliance risico analyse wordt alleen door de CO uitgevoerd

Het belang van risicomanagement https://www.youtube.com/watch?v=prhcyu4t afw

Risk versus Return

Definitie van Risico (J. Hopkin) An event with the ability to impact the mission, strategy, projects, routine operations, objectives, core processes, key dependencies and/or the delivery of stakeholder expectations

Anders gezegd..anything that can impact the fulfilment of corporate objectives

Stakeholders In paren: Wat zijn de relevante stakeholders van jouw organisatie? Wat is het belang van SH s bij risico management?

Risks & Opportunities Risk Negative Positive Threat Opportunity

Risico Categorieën Hazard risk downside Control risk onzekerheid Opportunity risk upside Compliance risk Alles of Niets...

Types of risk Strategic risk Operational Risk Credit risk Market risk Reputation risk Compliance risk IT risk.

Risico Components Een organisatie beoordeelt elk individueel risico op: - Risico factor - Risico object - Likelihood (kans) - Impact (Gevolg)

Bruto versus Netto risico Bruto risico = inherent risk Voor beheersings maatregelen Netto risico = residu risico Na beheersings maatregelen

Dimensions of Risk - Coso Risk Appetite the desired level of risk that an entity will take in pursuitof itsmission Risk Tolerance the acceptable variation in outcomes related to specific performance measures linked to objectives the entity seeks to achieve Risk Capacity the amount and type of risk an organisation is able to support 19

Appetite, Tolerance, Capacity en Key Risks Kans Zeer hoog 5 10 15 20 25 Hoog 4 8 12 16 20 Gemiddeld 3 6 9 12 15 Laag 2 4 6 8 10 Zeer laag 1 2 3 4 5 Gevolg

Risico attitude Drie risico attitude types: - Agressief - Neutraal - Averse

Definitie Risico Management (J. Hopkin) The set of activities within an organisation undertaken to deliver the most favourable outcome and reduce the volatility or variability of that outcome (Hopkin, 2010)

Waarom Risico Management? Focus on belangrijke issues Leaner en meaner Faciliteert in control statement Juiste keuzen maken Vergroot transparantie Verbetert management in het algemeen

Risico StandaardenenSystemen ISO COSO FIRM Bow Tie PESTLE Alternatieve benaderingen Simons De Caluwe (Verandermanagment en Cultuur)

Vraag: Wat zijn de belangrijkste kenmerken van een slecht werkende risicomanagement systeem?

ISO-31000 Establish context Communication and Consoliadtion Risk Assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and Review

Het COSO Framework: ERM en IC

COSO en risico management Risk Assessment -the identification and analysis of relevant risks to the achievement of objectives, forming a basis for how the risks should be managed

ERM versus de silo benadering van risico management

COSO Enterprise Risk Management Enterprise risk management is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

ERM en Holistische aanpak versus Silo Silo-benaderingvan risico s heeftaantoonbaar nietgewerkt Toezichthouder: Gebrekkig functioneren en deskundigheid van bestuur Gebrek aan overzicht / transparantie Onvoldoende zijn risico s in onderlinge samenhang beoordeeld door organisaties

In control Statement As the Board of Management of ASML Holding N.V. ("ASML" or the "Company"), we hereby state that we are responsible for the design, implementation and operation of the Company's internal risk management and control systems. The purpose of these systems is to adequately and effectively manage the significant risks to which the Company is exposed. Such systems can never provide absolute assurance regarding achievement of corporate objectives, nor can they provide an absolute assurance that material errors, losses, fraud and the violation of laws or regulations will not occur.

Alternatieven voor COSO en ISO Firm Bow-Tie Pestle Simons De Caluwe

Andere benadering: Bow-Tie

Het Monitoren van Compliance Risico s

4 Stellingen 1. Bij ons is de compliance monitoring goed ingericht 2. De compliance officer monitort wel, maar controleert niet 3. Compliance monitoring is saai 4. Monitoring is een taak voor compliance officer en Internal Auditor

Monitoren stap 7 in het COSO Framework

Monitoren door de Compliance Officer Het op systematische wijze verzamelen van overtuigende informatie over de naleving van (interne) wet- en regelgeving om vast te stellen in hoeverre de organisatie voldoet aan (interne) wet- en regelgeving om over de naleving te rapporteren en adviseren aan het management.

Waarom Monitoren? Business test of risico beheersing (controls) werkt Ontwikkelingen bijhouden Profileren t.o.v. andere bedrijven in de sector Medewerkers en management bij de les houden Organisatie blijvend uitdagen, scherp houden Agenda van voortdurende verbetering

Wat wil je vaststellen met compliance monitoring Werking van beheersingsmaatregelen; wordt beleid nageleefd Zijn er afdoende maatregelen geformuleerd of is er behoefte aan aanvullende maatregelen/beleid

Three lines of defense (*) (*) Swedbank

Controleren en monitoren (1) Controleren Activiteit of proces met als doel de tijdige identificatie en bijstellingvan fouten Monitoren Activiteit of proces met als doel de tijdige identificatie en bijstelling van de oorzaak (rootcause) van fouten COSO Guidance on Monitoring September 2007

Compliance Auditing Volgt na identificatie, beoordeling key compliance risico s en en monitoring van de controls. Volgende stap, namonitoring, inhetbeheersingsproces Onafhankelijk oordeel over compliance met in- en externe regelgeving Steun management voor continue compliance en identificatie van compliance risico s Check op bias of overrulen door operationeel management Aanvulling op interne monitoringssysteem

Elkaar aanvullen: Monitoren en Audit Output van monitoring= input ten behoeve van controles Output van controles = input ten behoeve van monitoring

Uitgangspunten monitoring plan Focus op kritische en hoge compliance risico s (inherent en netto) Tijdigidentificeren root cause van non-compliance Belangrijke compliance risico mitigeringsactiviteiten Routine business transacties met compliance risico of eisen Implementatie en borgingvan compliance beleid en borging Compliance met wet- en regelgeving, gedragsregels en business principes

Ontwerp variabelen Complexiteit en en schaal van de business Risico profiel en eisen toezichthouder Rollen (wie doetwat), frequentie,infrastructuur en kennis Voor, gedurende of naeenbusinessactiviteit High level (kritieke risico s) of detail monitoring (minor risks) Waar zitten de key risico s Wat wil de top?

Variabelen (2) Aantal transacties in een bepaald proces Kosten van monitoring Uitvoeringsaspecten (automatiseren/handmatig) Risico van non-compliance (hoog/laag) Motieven voor medewerkers om niet compliant te werken Wel of geen zelf-monitoring

Voorbeeld Compliance Rapportage

Risk Maturity IACCM Business Risk Management Maturity Model (BRM3)

Hoe mature is jouw organisatie??

Focus: Het vernieuwde toezicht van DNB

Focus in een notendop 1. Lessen uit de crisis van 2008 2. Instellingoverstijgend 3. Aandacht voor kwaliteit en strategie 4. Indringend en vasthoudend toezicht 5. Betere in enexterne toetsing enverantwoording

5 toezichtsklassen

Analyse van macro naar micro

Beoordelingskaders

Risicoscores

Sluitstuk: interventie keuze DNB

Tenslotte.. Terugblik Vragen Afsluiting

Idealiter: risico s in normaalverdeling

Maar pas op voor Black Swans

Black Swan gebeurtenissen Komen altijd onverwacht (voor de waarnemer) Zeer grooteffect Na de gebeurtenis rationalisering ( ik wist het wel). Alsof de data beschikbaar waren op basis waarvan de gebeurtenis had kunnen worden voorzien. Dit geldt ook voor de persoonlijke perceptie van individuen.

Monitoring versus Audit Monitoring en Compliance audits volgen logisch na uitvoeren risk assessment Werken de interne control maatregelen? Monitoring faciliteert compliance met interne en externe regelgeving, door: Tijdigsignaleren van ongewenst en onwettig gedrag Verzamelen en analyserenvan informatie zoals: Incident rapportages (lessons learnt) Trends in klachten van klanten Rapportages van de toezichthouder Meldingen hotline door medewerkers Overschrijding drempelwaarden van belangrijke risico indicatoren Op zoek naar de root cause van een risico

Het Waarom van Compliance Monitoring COSO: periodiek testen van de effectiviteit van de controls Wft: Artikel 31C BGFO/21 Bpr Solvency II Quality assurancevan de dagelijkse activiteiten van de lijn Zekerheid verschaffen aan het management 1e en 2 e lijns verantwoordelijkheid

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback