PROCESGEDREVEN GRC-AANPAK EFFECTIEVER

Vergelijkbare documenten
IN 5 STAPPEN VOLDOEN AAN DE AVG / GDPR WHITEPAPER

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Actualiteitendag Platform Deelnemersraden Risicomanagement

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Business Continuity Management conform ISO 22301

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Risk & Compliance Charter Clavis Family Office B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode!

Een platformaanpak voor moderne architectuurontwikkeling

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

EFFECT NIEUWE ISO-NORMEN MANAGEMENTSYSTEEM OP ISO 19011

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

STRATAEGOS CONSULTING

Governance, Risk and Compliance (GRC) tools

Procestool; sleutel tot succes?

PROCESBEHEER en ORGANISATIEBEHEERSING. bij MOD DAR-iV Strategic seminars 10 september 2010

process mapping, waarom?

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

Praktijkcase Migratie van Livelink naar Sharepoint. Copyright Open Docs bv

Lean & ISO A match made in heaven?

Bestuur en management in control

Governance en Business Intelligence

PRESTATIEMANAGEMENT. Volgens de Watch-methodiek

ISO 9001: Business in Control 2.0

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

voor bestuurders Business Performance Management Hoe past u uw Corporate Governance opdracht toe? Corporate Governance your partner in performance

Certificeren Waardevol?? KVGM B.V.

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Generieke systeemeisen

Themaboek IBL2 Beleidsadviseur 5

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Kwaliteitsmanagement: de verandering communiceren!

Langetermijndenken - De toekomst van Verantwoord Beleggen. IM seminar, Amstelveen 10 mei Lars Kurznack, Senior Manager KPMG Sustainability

Integraal risicomanagement

COMPLIANCE MANAGEMENT VOLDOEN AAN WET- EN REGELGEVING COMPLIANCE MANAGEMENT. Vereenvoudigde verantwoording aan in- en externe stakeholders

Controlstatuut Havensteder

BROCHURE Cursus Prestatiemanagement. Prestatiemanagement (BSC) Sales Force Consulting

ISO 14001:2015 Readiness Review

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

DPIA. Natasja Pieterman Strategisch adviseur AVG

Strategisch Risicomanagement

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Klachten en Meldingen. Managementdashboard

STUDIEDAG De wereld verandert bent u er klaar voor? Bereid u voor op Continu Verbeteren

5-daagse bootcamp IT Risk Management & Assurance

BETERE INTERNE BEHEERSING DANKZIJ INTEGRAAL RISICOMODEL

Wat zijn de risicomanagement eisen uit IORP II en wat is de bestuurlijke impact?

Grip op fiscale risico s

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen

SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm

HRM SCORECARD. PRESENTATIE/WORKSHOP WATCH-Consultancy in samenwerking met REEF/deelt kennis Woensdag 17 november 2010

Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Realiseer uw inkoopambities met behulp van Data Workshop Dun & Bradstreet

Hoe bouw je een high performance financiële organisatie?

over ons PHOCUS, is al decennialang actief op het gebied van HR & salaris.

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Advies inzake Risicobenadering

Rollen in Risk Management

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Figuur 1 Model Operational Excellence

De nieuwe ISO-normen: meer dan KAM-management alleen!

Overheidsorganisatie van het jaar

bedrijfsfunctie Harm Cammel

BPM: wie is de baas over het proces?

EXB 360 MOBILE App. Bevorder betrokkenheid. Veel onderdelen; veel mogelijk

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Sturen op continu verbeteren is slim veranderen

De kracht van BI & Architectuur

Welkom bij de workshop Contractmanagement (CM) Rolf Zwart Kwaliteitszorgmedewerker IFV

Inleiding 11 DEEL 1 BESCHRIJVING VAN DE RISICO S 23

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Nota Risicomanagement en weerstandsvermogen BghU 2018

Terug naar de bedoeling met ISO 9001:2015

De ISO High Level Structure (HLS) en de nieuwe ISO 22000

Gedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018

Risico s in beeld. Wat nu? Door Ilona Hoving 1

Hoofdlijnen Corporate Governance Structuur

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

Hoofdlijnen Corporate Governance Structuur Stek

BENT U ER KLAAR VOOR?

Geef handen en voeten aan performance management

Impact Investing: Hoe positieve impact op maatschappij te vergroten met beleggingen. 7 september 2017

De onmisbare actuaris. VSAE congres 20 september 2011 Sabijn Timmers

Uitvoering van rechtstreeks verzekerde regelingen

Risico s managen is mensenwerk

2 volgens het boekje

RISICOMANAGEMENT BIJ WONINGCORPORATIES

Assetmanagement. Resultaten maturityscan. 14 januari 2015

Transcriptie:

Organisatie en processen Risicomanagement PROCESGEDREVEN GRC-AANPAK EFFECTIEVER In veel organisaties is er geen direct verband tussen de strategie en de governance, risk en compliance. Vaak zijn performance management, riskmanagement, compliance en audit ondergebracht in aparte silo s. Weinig effectief, aldus de auteur. Een geïntegreerde aanpak van deze onderdelen is veel effectiever. Bedrijven bereiken betere resultaten door te focussen op een bindende factor: het bereiken van business process excellence. DOOR SVEN ROELEVEN Een procesgedreven governance, risk en compliance (GRC-)aanpak is gericht op het creëren van synergie tussen performance management, riskmanagement en compliance management. Een groot aantal rollen binnen het bedrijf is betrokken bij GRC: directeuren van businessunits, riskmanagers, proceseigenaren, medewerkers interne controle, interne en externe auditors en de afdeling Legal. Door al deze rollen De siloaanpak heeft directe invloed op het dagelijkse werk van de riskmanager samen te brengen binnen een gemeenschappelijk enterprise risk management (ERM-)raamwerk en een gemeenschappelijke taal in te voeren, is het mogelijk een single point of truth voor alle betrokken partijen te creëren. Sleutelrol business process excellence Om de sleutelrol van business process excellence beter te begrijpen, is het nuttig om eerst te kijken hoe compliance, risk en performance management zich verhouden tot elkaar. Met performance management identificeert een bedrijf de belangrijkste kritische succesfactoren en -indicatoren. Het is dan mogelijk om de bedrijfsprocessen te meten op de prestatie- indicatoren, om zo de processen te verbeteren. Door de inzet van procesperformance management zijn kwaliteit (zoals inconsistenties of uitval), productiviteit en efficiency te vergroten. Dat is allereerst mogelijk doordat het werkelijk uitgevoerde proces inzichtelijk wordt gemaakt (statistisch en visueel). Daarnaast is het makkelijker om knelpunten te analyseren, een verbeterd proces te (her)ontwerpen en simuleren en om de procesverbeteringen continu te monitoren. Riskmanagement is gericht op het identificeren en beoordelen van risico s op waarschijnlijkheid en financiële impact. Risico s zijn af te leiden uit gebeurtenissen en te meten op basis van risico-indicatoren. Compliance management omvat globaal drie stappen: ~ het vaststellen van de scope van de compliance (welke regelgeving, wetten en standaarden zijn van toepassing?); ~ het analyseren en interpreteren van regels en deze vertalen naar specifieke controledoelen zodat compliance gewaarborgd is; ~ het inbouwen van de controles in de bedrijfsprocessen. Door deze drie stappen te volgen, is het eenvoudiger om anderen, inclusief externe auditors, uit te leggen welke regels van invloed zijn op de organisatie, hoe de organisatie de regels moet interpreteren en welke controlemechanismen in gebruik zijn om compliance te waarborgen. Door de 36 FEBRUARI 2013

Intern gedreven Procesgedreven GRC met convergerende onderwerpen Performance management Efficiency, QA, klanttevredenheid COO, CEO Riskmanagement Business continuity, voorkom schandalen CRO, CFO Compliance management Certificering, integriteit CCO, CFO Extern gedreven Proces organisatie Methodologie Tooling Governance Figuur 1 Overzicht koppeling bedrijfsprestaties Vaak is meer dan één beheersmaatregel nodig om een risico te mitigeren controlemechanismen regelmatig te auditen en te testen is compliance te allen tijde aan te tonen. De ingebouwde controlemechanismen zorgen ervoor dat bedrijfsprocessen beter presteren en risico s kleiner worden. Controlemechanismen kunnen ook worden ingezet om verschillende wet- en regelgeving ineens af te dekken. Allemaal vastgelegd in processen op weg naar operational excellence. Integreren GRC Veel organisaties opereren nog in silo s, zonder een geïntegreerd GRC-systeem dat is afgestemd op de corporate strategie en doelen. Dit vormt een probleem voor het topmanagement van een onderneming dat zoekt naar een GRC-strategie die gelijkloopt met de corporate doelen. Ook heeft de siloaanpak directe invloed op het dagelijkse werk van de riskmanager. Deze beroepsgroep heeft te maken met veel verschillende risico s, zoals financiële, strategische, operationele, juridische en compliancegerelateerde. Om al deze risico s te kunnen afdekken, is brede domeinkennis nodig en een geïntegreerde risicobenadering. Daarom is het van belang de risicosilo s af te breken en te vervangen door één methodologie voor alle bedrijfsprocessen (zie figuur 2). Zonder deze geïntegreerde benadering hebben businessmanagers vaak veel moeite om risico-informatie te vinden en te onderhouden Deze informatie is in de regel opgeslagen in Excel- of Word-bestanden. De kans is groot dat content gedateerd is. Dat betekent dat er geen duidelijkheid is over de vraag of alle risico s adequaat afgedekt zijn. Met een holistische benadering van alle corporate risico s is dat te voorkomen. Zowel procesmanagers, riskmanagers als compliance managers en audit managers verwijzen naar dezelfde eenduidige processen, risico s en controles en profiteren daarvan. Risk governance: lessons learned Benoem een Chief Risk Officer Aangezien een hoofd Risicomanagement normaal gesproken niet direct aan de CEO rapporteert, staan risico-issues niet altijd op het netvlies van de bedrijfstop. Dit probleem verergert wanneer verschillende risicoafdelingen aan verschillende FEBRUARI 2013 37 WWW.FINANCE-CONTROL.NL

Definieer strategie (balanced score card) Strategiedoelstellingen (doelstellingendiagram) Identificeer risico s die doelbereik voorkomen Identificeer proces(sen) waar de risico s voorkomen Figuur 2 Geïntegreerde benadering van bedrijfsprocessen managers rapporteren, die op hun beurt aan de CEO verantwoording afleggen. Op deze manier heeft het risicomanagement geen sterke positie binnen de organisatie. De kans neemt toe dat bepaalde issues geen aandacht krijgen. Dit is te voorkomen door een Chief Risk Officer (CRO) te benoemen, die direct rapporteert aan de CEO. Het is eventueel ook mogelijk om de CRO te laten rapporteren aan de CFO die verantwoordelijk is voor riskmanagement en business process management (BPM). Door deze twee disciplines bij één persoon te beleggen, zijn de integratie van processen en risico s en eenduidige vastlegging hiervan beter in de hand te houden. De organisatie met al haar disciplines kan dan adequater reageren op issues, onvolkomenheden in bedrijfsprocessen of veranderende regelgeving. De ultieme manier om excellente processen te ontwerpen. Creëer een risicocultuur Veel organisaties zien weinig in het creëren van een risicocultuur. Niettemin kan een juiste aanpak hiervan een organisatie maken of breken. Ook afspraken over welk risicogedrag wel en niet getolereerd wordt en welke bonusstructuur gehanteerd Het gaat er in een concurrerende markt vooral om wie zich het snelst kan aanpassen dient te worden, zijn hier onderdeel van. Zonder een dergelijke cultuur raken risico-assessments gemakkelijk uit het zicht. Wanneer medewerkers gevoelig zijn voor het herkennen van risico s en deze betrekken in hun dagelijkse werk is er sprake van de juiste risicocultuur. Het is in dit verband van belang dat risicomanagers medewerkers continu trainen en met hen communiceren over de risico s. Bepaal een risicomanagementstrategie Om te bepalen welke gebeurtenissen een organisatie afhouden van het bereiken van de doelstellingen is het allereerst nodig om de bedrijfsdoelen nauwkeurig vast te stellen. Het is niet genoeg om alleen een missie, visie en strategische doelen vast te stellen. Het is noodzakelijk om deze ook te specificeren. Daarbij is het zaak om per kritische succesfactor te bepalen hoe deze met behulp van prestatie-indicatoren meetbaar zijn in de processen. Het is ook mogelijk om hierbij gebruik te maken van een balanced scorecard voor het vaststellen en visualiseren van strategische doelen vanuit verschillende perspectieven, zoals de klant of financiën. Met moderne modeleringssoftware zijn diagrammen te maken die strategische doelen concreet maken. Kritische succesfactoren en subdoelen zijn te definiëren en te koppelen aan de bedrijfsprocessen die het behalen van een specifiek doel ondersteunen. Door deze aanpak is het mogelijk een formele risicostrategie te creëren. Die zorgt voor het noodzakelijke kompas, dat tot nu toe bij veel bedrijven ontbreekt. Risico vaststellen, beoordelen, analyseren Hoe ziet risicomanagement er in de praktijk uit? Het gaat grofweg om drie stappen: ~ het identificeren van de risico s; ~ het beoordelen van de risico s; ~ het analyseren van de risico s en het bepalen van het juiste antwoord. Begin met de corporate doelen en de gerelateerde procescontext. Bepaal ook de gebeurtenissen die van invloed kunnen zijn op de doelen. Gebeurtenissen met een positieve impact zijn te benoemen als kansen en horen een plaats te krijgen in het proces van het bepalen van doelen. Gebeurtenissen met een potentieel negatief effect zijn te bestempelen als risico s. Cluster de risico s in categorieën om er zeker van te zijn dat alle informatie over de gebeurtenissen bekend is. Met een procesgedreven GRC-benadering is het voor alle risicomanagers gemakkelijk om onderling contact te houden. Zij kunnen taken op het gebied van risicomanagement toewijzen 38 FEBRUARI 2013

Statistieken voor risico assessment per risicocategorie UMGEN 11 7 6 Catastrofisch 3 12 Hoog Ernst van de schade Gemiddeld 1 2 14 2 Overtreding vier-ogenprincipe data-invoer 13 8 9 Laag 4 5 10 Onbelangrijk Zeer laag Laag Gemiddeld Hoog Zeer hoog Voorvalfrequentie 1 Overtreding vier-ogenprincipe registreren betaling 3 Verkeerd kredietbeleid 5 Overtreding vier-ogenprincipe invoer kredietdata 7 Risico van brand 9 Overtreding van scheiding van taken kredietgoedkeuring 11 Systeem falen proces 13 Risico op beroving 2 Overtreding vier-ogenprincipe data-invoer 4 Incorrecte betaaldata 6 Incorrecte balansopmaak 8 Negeren van autoriteit 10 Incorrecte kredietdata 12 Overtreding vier-ogenprincipe autorisatie betaling 14 Overtreding scheiding van taken data-invoer Figuur 3 Het in kaart brengen van risico s in risicocategorieën De risicowaarden zijn kwalitatief en kwantitatief te scoren en de afronding van taken monitoren. Door taken aan procesmanagers toe te wijzen, zijn ze te linken aan bedrijfsprocessen. Als er geen zekerheid is of alle risico s afgedekt zijn, is het mogelijk een vragenlijst uit te sturen naar alle proceseigenaren met de vraag of zij nog potentiële risico s missen. Op deze manier is de hele organisatie bij dit proces te betrekken, ook de medewerkers zonder risicomanagementtraining. De volgende stap is het identificeren van de risico s op basis van hun impact, de kans dat ze zich echt voordoen en de effectiviteit van de controlemechanismen. Voor iedere dimensie is een standaardscoreniveau te bepalen dat bedrijfsbreed geldt. De risicowaarden zijn kwalitatief te scoren (bijvoorbeeld in categorieën als laag, medium en hoog, zie figuur 3) en kwantitatief in percentages of in financiële data. Wijzigingen in de score zijn over bepaalde periodes te analyseren. Het is belangrijk om overeenstemming te bereiken over de richtlijnen voor het consistent uitvoeren van deze assessments. Alleen dan zijn de verkregen data goed te vergelijken. Deze gegevens zijn voor risicomanagers en leidinggevenden van belang om beter inzicht te krijgen in strategie en prioriteiten. Wanneer een organisatie hier een gemeenschappelijke taal en een gemeenschappelijk platform inzet, is het eenvoudiger om risico s te identificeren, beoordelen en mitigeren. Procesgedreven GRC als business enabler Op het moment dat alle risico s in kaart zijn gebracht, is het FEBRUARI 2013 39 WWW.FINANCE-CONTROL.NL

Hoog Kans op risico Figuur 4 Antwoordenkwadrant Reduceren Accepteren Voorkomen Delen Laag Financiële impact Hoog tijd voor een analyse van de trends met behulp van risicotrendanalyses. Daarmee is uiteindelijk te bepalen of een investering in risicoresponse loont. Een eis vooraf is dat alle resultaten van de risicobeoordeling, de resultaten van de testen van de controlemechanismen en de procesresultaten zijn vastgelegd in een repository. Dat maakt beslissingen over risicoresponse veel eenvoudiger. Op basis van de output van de risk assessment zijn verschillende antwoorden mogelijk voor wat betreft het beoordeelde risico. De risico s zijn te voorkomen, accepteren, reduceren of delen. Het is meestal het lijnmanagement, dat samen met de businessrisicomanager, bepaalt welk antwoord wordt gekozen. Het antwoord kan ook zijn om een aantal maatregelen te combineren. Het antwoordenkwadrant kan hierbij behulpzaam zijn (zie figuur 4). Vier mogelijke risicoresponses zijn: ~ reduceren van risico: door bijvoorbeeld het implementeren van een beheersmaatregel; ~ delen van risico s: door het sluiten van een verzekering; ~ accepteren van het risico: een reden van accepteren kan zijn dat de kosten van het voorkomen van het risico hoger zijn dan de impact ervan; ~ voorkomen van risico s: bijvoorbeeld door het verkopen van een risicovolle businessunit of het stopzetten van een risicovol proces. Samenvatting Om effectief risicomanagement te realiseren gaat het er voornamelijk om de bedrijfsdoelstellingen niet uit het oog te verliezen. Anders riskeert een organisatie out of business te raken. Performance management kan daarbij helpen, zodat er continu inzicht is in de werkelijk uitgevoerde processen en hun procesprestaties. Risicomanagement mag niet los gezien worden van de processen. De risico s zijn immers geidentificeerd in de eigen bedrijfsprocessen en de risicostrategie dient bij te dragen aan het behalen van de doelen. De risico s kunnen worden gereduceerd op vier verschillende manieren, waaronder reductie door beheersmaatregelen, terwijl de beheersmaatregelen ook interpretaties kunnen zijn van bepaalde wet- en regelgeving. Het implementeren van een beheersmaatregel die verschillende regelgeving afdekt en verschillende risico s reduceert is erg efficiënt. Of het nu om doelen, risico s, processen of controlemaatregelen gaat, ze dienen allemaal eenduidig vastgelegd te worden binnen een uniforme methodiek. Dat biedt een gemeenschappelijk kader voor verschillende belanghebbenden en maakt het mogelijk om als organisatie snel te kunnen reageren en veranderen. Ten slotte gaat het er in een concurrerende markt vooral om wie zich het snelst kan aanpassen. Daarbij gaat het om het aanpassen aan continu veranderende wetgeving, of aan tegenvallende procesprestaties of aan plotselinge bedrijfsrisico s. De eenduidige vastlegging en transparantie van procesgedreven GRC kan daarbij een onderscheidend vermogen zijn en biedt organisaties een kans om de beste te worden. Sven Roeleven, Vice President Consulting Benelux Nordics bij Software AG. Na deze keuzes is actie nodig in de vorm van het implementeren van een beheersmaatregel die inspeelt op een van deze keuzen. Vaak is meer dan een beheersmaatregel nodig om een risico te mitigeren. Het is van belang te bepalen of de kosten van de maatregel opwegen tegen de effecten van het risico zelf. Ook is het nodig vast te stellen hoe vaak en op welke wijze een controlemaatregel getest wordt. Om te voorkomen dat risicomanagers verdrinken in maatregelen is het raadzaam scherp te kijken naar die gebieden waar de impact klein is en waar maatregelen te consolideren zijn. De praktijk wijst uit dat op die manier wel een derde van de benodigde tijd voor het beoordelen, mitigeren en monitoren van risicoactiviteiten te besparen is. 40 FEBRUARI 2013

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback