O R M Wat is een risico? Retail 2

Wat is een risico? 2 ORM Retail

Wat is een risico? 3 ORM Retail

Wat is een risico? 4 ORM Retail

Wat is een risico? 5 ORM Retail

Waarom risicomanagement? Dreigingen Virussen Eisen Sarbanes Oxley Act (SOX) Code Tabaksblat Wet Financiele Dienstverlening Boetes Claims Gevangenis Vergunning Toezichthouders De Nederlandse Bank (DNB) Autoriteit Financiele Markten (AFM) Securities & Exchange Commission (SEC) 6 Sancties

Waarom risicomanagement? Verminderen kosten operationele schades Verlagen operationeel risicokapitaal (criteria toezichthouders) Inzichtelijk maken operationele risico s (incidenten) Beschermen reputatie Handhaven huidige ratings 7

Waarom Basel II? Financiële stabiliteit Kapitaal Intern risico management Risico modellering en meting Berekening van het vereiste kapitaal Toezichthouder Rapportage aan de toezichthouder Eisen ten aanzien van risicobeheersing Rol van de toezichthouder Markt Eisen ten aanzien van openbaar maken van informatie Transparantie: markt kan risico beter beoordelen Pijler 1 Pijler 2 Pijler 3 8

Krediet risico Basel II Krediet risico: Het risico voor de krediet verstrekker dat de krediet nemer niet aan zijn verplichtingen kan voldoen 9

Markt risico Basel II Markt risico: Het risico van onverwachte bewegingen in de financiële markten 10

Operationeel risico Basel II Operationeel risico: Het risico van direct of indirect verlies als gevolg van falende of inadequate interne processen, mensen, systemen, projecten en/of externe gebeurtenissen 11

Wat is een operationeel risico? Unauthorised activity Internal criminal activity External criminal activity Information security failure Processing failure System failure Operational risk (Basel II) Control failure Clients, products business malpractice Employment malpractice Workplace safety Business disruption Project 12

Informatiebeveiliging vs operationeel risico Confidentiality Integrity Confidentiality Integrity Confidentiality Integrity Confidentiality Integrity Integrity Availability Information risk (CIA) Confidentiality Integrity Availability Integrity Availability Integrity Availability Project 13

Waarom risicomanagement in projecten? Organisatie Processen 14

Risicoprofielen van bedrijfsprocessen High level risk assessments Risico hoog Risico laag Risico midden 15

Kenmerk Retail organisatie: veel projecten Projecten 16

Projectresultaat beïnvloedt risicoprofiel Veel incidenten zijn het gevolg van een project 17

Project result risk Operationeel risico inherent aan de aard van het bedrijfsproces of product in de SOLL situatie IST Identificatie risico s & treffen van maatregelen tijdens (her)ontwerp bedrijfsproces of product Project result risico treedt op in gewijzigd bedrijfsproces of product SOLL Proces A Project A Proces A 18

Projectuitvoering beïnvloedt risicoprofiel 19

Projectuitvoering beïnvloedt risicoprofiel Aard en uitvoering kan leiden tot incidenten (desinvesteringen) Uitvoering kan leiden tot operationele incidenten 20

Project execution risk Operationeel risico inherent aan de aard en uitvoering van een project Identificatie risico s & treffen van maatregelen Risico s kunnen zowel in project (tijd, geld) als in gewijzigd bedrijfsproces (kwaliteit) optreden IST Proces A Project A SOLL Proces A 21

Wie is verantwoordelijk? Business ORM Prince2 ORM framework Interne audit ORM framework geïntegreerd in bedrijfsprocessen Quality mgt. Risk mgt. Uitvoering van risicomanagement proces Begeleiding en facilitatie van proces Onafhankelijke audit / review op kwaliteit proces 22

ORM Framework Identification Risicoprofielen Business Impact Assessments Risk & Control Self Assessments Mitigation Measurement Implementation R&CSA actionplan Follow up on KRI & audit findings Implementing controls Incident reporting & analyses KRI reporting Action tracking Monitoring ORC Committee KRI-, Incident-, Audit findings, R&CSA-reporting 23

Risicovolle projecten in projectportfolio P R O B A B I L I T Y Risk# Description Risk P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11P12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. Pn = Probability scores from Participant number n I M P A C T Risk# Description I1 I2 I3 I4 I5 I6 I7 I8 I9 I10 I11 I12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. In = Impact scores from Participant number n P R O B A B I L I T Y Risk# Description Risk P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11P12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. Pn = Probability scores from Participant number n I M P A C T Risk# Description I1 I2 I3 I4 I5 I6 I7 I8 I9 I10 I11 I12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. In = Impact scores from Participant number n Speerpunt projecten High Risico profiel Low Retail project portfolio Impact assessm High Low R&CSA Projectmanager 24

Risicoprofiel -> Governance proces Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risicoprofiel Advies risicoprofiel Advies risicoprofiel Risk Assessment KRI: Project portfolio Project Totaal Tijd Geld Kwal Risico A B C D Risklog 25

Portfoliomanagement (fictieve portfolio) A B Risico management NPV NPV C D Low Medium High Maximum Execution / Result Risk Execution / Result Risk 26

Impact assessments Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risico profiel Advies risico profiel Advies risico profiel hoog Risk Assessment BIA Risklog 27

Business Impact Assessment Business Impact Assessment SPRINT 1. Concurrentie positie 2. Management beslissingen 3. Verlies van business 4. Publieksvertrouwen 5. Recovery 6. Wet- en regelgeving 7. Fraude 8. Externe gebeurtenissen 9. Motivatie R&CSA Impact rating Acceptabel A B C D O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O Vertrouwelijkheid Integriteit Beschikbaarheid ORM faciliteert en speelt advocaat vd duivel Bepalen impact in worst case door eigenaar 28

Risk & Control Self Assessment Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risico profiel Advies risico profiel Advies risico profiel hoog Risk Assessment BIA hoog R&CSA Risklog 29

R&CSA vs Business case Invoering Project Baten (+) Tijd Kosten (-) Ontwikkel kosten Exploitatie kosten 30

R&CSA workshop 1. Identificatie 2. Assessment 3. Mitigatie Almost certain P R O Likely B A B I Possible L I T Unlikely Y Rare Moderate High Moderate High Low Moderate Low Low Low risico s acceptabel Low Extreme Extreme High High Moderate Moderate risico s Extreme niet acceptabel High High High Extreme Extreme Extreme Extreme Extreme ORM faciliteert en speelt advocaat vd duivel Insignificant Minor Eigenaar accepteert mitigatie plan en restrisico Moderate IMPACT Major Catastrophic 31

Risk assurance (eisen/maatregelen) Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risicoprofiel Advies risicoprofiel Advies risicoprofiel hoog Risk Assessment BIA hoog R&CSA Risk assurance (SOX, IRM, WFD, compliance) Risklog 32

Ervaringen - Risicoprofielen, impact assessments, en RCSA s leiden in vroegtijdig stadium tot awareness en attentie van het management - Intensieve samenwerking tussen ORM en CAS (interne audit) is belangrijk en bespaart tijd - Self assessments creëren draagvlak bij business en projecten om maatregelen uit voeren - Benader informatiebeveilings risico s vanuit een business perspectief (kosten/baten/alternatieven) en zet ze in een vroegtijdig stadium op de agenda - ORM is zelf geen risico, maar ondersteunt om risico s vroegtijdig expliciet te maken en incidenten te voorkomen (v.b. personal risk voor projectmanager) - Think big, start simple (BIA is goed vertrekpunt) en onderzoek de behoefte van de business (waar vinden de grootste incidenten plaats) 33

Onze uitdaging... Appetite Business Focus Balans Impact rating Business Impact Almost certain P R O B A B I L I T Y Likeky Possible Unlikely Rare Schade risico s niet acceptabel risico s acceptabel Insignificant Minor Moderate Major IMPACT Acceptabel Catastrophic BU Capital (net) If the BU is more in control, the capital decreases 800 Kapitaal reductie 780 760 740 720 700 680 660-30% 0% 30% Control 34

Vragen: rene.stad@mail.ing.nl 35