Wat is een risico? 2 ORM Retail
Wat is een risico? 3 ORM Retail
Wat is een risico? 4 ORM Retail
Wat is een risico? 5 ORM Retail
Waarom risicomanagement? Dreigingen Virussen Eisen Sarbanes Oxley Act (SOX) Code Tabaksblat Wet Financiele Dienstverlening Boetes Claims Gevangenis Vergunning Toezichthouders De Nederlandse Bank (DNB) Autoriteit Financiele Markten (AFM) Securities & Exchange Commission (SEC) 6 Sancties
Waarom risicomanagement? Verminderen kosten operationele schades Verlagen operationeel risicokapitaal (criteria toezichthouders) Inzichtelijk maken operationele risico s (incidenten) Beschermen reputatie Handhaven huidige ratings 7
Waarom Basel II? Financiële stabiliteit Kapitaal Intern risico management Risico modellering en meting Berekening van het vereiste kapitaal Toezichthouder Rapportage aan de toezichthouder Eisen ten aanzien van risicobeheersing Rol van de toezichthouder Markt Eisen ten aanzien van openbaar maken van informatie Transparantie: markt kan risico beter beoordelen Pijler 1 Pijler 2 Pijler 3 8
Krediet risico Basel II Krediet risico: Het risico voor de krediet verstrekker dat de krediet nemer niet aan zijn verplichtingen kan voldoen 9
Markt risico Basel II Markt risico: Het risico van onverwachte bewegingen in de financiële markten 10
Operationeel risico Basel II Operationeel risico: Het risico van direct of indirect verlies als gevolg van falende of inadequate interne processen, mensen, systemen, projecten en/of externe gebeurtenissen 11
Wat is een operationeel risico? Unauthorised activity Internal criminal activity External criminal activity Information security failure Processing failure System failure Operational risk (Basel II) Control failure Clients, products business malpractice Employment malpractice Workplace safety Business disruption Project 12
Informatiebeveiliging vs operationeel risico Confidentiality Integrity Confidentiality Integrity Confidentiality Integrity Confidentiality Integrity Integrity Availability Information risk (CIA) Confidentiality Integrity Availability Integrity Availability Integrity Availability Project 13
Waarom risicomanagement in projecten? Organisatie Processen 14
Risicoprofielen van bedrijfsprocessen High level risk assessments Risico hoog Risico laag Risico midden 15
Kenmerk Retail organisatie: veel projecten Projecten 16
Projectresultaat beïnvloedt risicoprofiel Veel incidenten zijn het gevolg van een project 17
Project result risk Operationeel risico inherent aan de aard van het bedrijfsproces of product in de SOLL situatie IST Identificatie risico s & treffen van maatregelen tijdens (her)ontwerp bedrijfsproces of product Project result risico treedt op in gewijzigd bedrijfsproces of product SOLL Proces A Project A Proces A 18
Projectuitvoering beïnvloedt risicoprofiel 19
Projectuitvoering beïnvloedt risicoprofiel Aard en uitvoering kan leiden tot incidenten (desinvesteringen) Uitvoering kan leiden tot operationele incidenten 20
Project execution risk Operationeel risico inherent aan de aard en uitvoering van een project Identificatie risico s & treffen van maatregelen Risico s kunnen zowel in project (tijd, geld) als in gewijzigd bedrijfsproces (kwaliteit) optreden IST Proces A Project A SOLL Proces A 21
Wie is verantwoordelijk? Business ORM Prince2 ORM framework Interne audit ORM framework geïntegreerd in bedrijfsprocessen Quality mgt. Risk mgt. Uitvoering van risicomanagement proces Begeleiding en facilitatie van proces Onafhankelijke audit / review op kwaliteit proces 22
ORM Framework Identification Risicoprofielen Business Impact Assessments Risk & Control Self Assessments Mitigation Measurement Implementation R&CSA actionplan Follow up on KRI & audit findings Implementing controls Incident reporting & analyses KRI reporting Action tracking Monitoring ORC Committee KRI-, Incident-, Audit findings, R&CSA-reporting 23
Risicovolle projecten in projectportfolio P R O B A B I L I T Y Risk# Description Risk P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11P12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. Pn = Probability scores from Participant number n I M P A C T Risk# Description I1 I2 I3 I4 I5 I6 I7 I8 I9 I10 I11 I12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. In = Impact scores from Participant number n P R O B A B I L I T Y Risk# Description Risk P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11P12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. Pn = Probability scores from Participant number n I M P A C T Risk# Description I1 I2 I3 I4 I5 I6 I7 I8 I9 I10 I11 I12 AVERAGE STDEV 1 <title risk 1> #DEEL/0! ##### 2 <title risk 2> #DEEL/0! ##### 3 <title risk 3> #DEEL/0! ##### 4 <title risk 4> #DEEL/0! ##### 5 <title risk 5> #DEEL/0! ##### etc. In = Impact scores from Participant number n Speerpunt projecten High Risico profiel Low Retail project portfolio Impact assessm High Low R&CSA Projectmanager 24
Risicoprofiel -> Governance proces Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risicoprofiel Advies risicoprofiel Advies risicoprofiel Risk Assessment KRI: Project portfolio Project Totaal Tijd Geld Kwal Risico A B C D Risklog 25
Portfoliomanagement (fictieve portfolio) A B Risico management NPV NPV C D Low Medium High Maximum Execution / Result Risk Execution / Result Risk 26
Impact assessments Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risico profiel Advies risico profiel Advies risico profiel hoog Risk Assessment BIA Risklog 27
Business Impact Assessment Business Impact Assessment SPRINT 1. Concurrentie positie 2. Management beslissingen 3. Verlies van business 4. Publieksvertrouwen 5. Recovery 6. Wet- en regelgeving 7. Fraude 8. Externe gebeurtenissen 9. Motivatie R&CSA Impact rating Acceptabel A B C D O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O O Vertrouwelijkheid Integriteit Beschikbaarheid ORM faciliteert en speelt advocaat vd duivel Bepalen impact in worst case door eigenaar 28
Risk & Control Self Assessment Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risico profiel Advies risico profiel Advies risico profiel hoog Risk Assessment BIA hoog R&CSA Risklog 29
R&CSA vs Business case Invoering Project Baten (+) Tijd Kosten (-) Ontwikkel kosten Exploitatie kosten 30
R&CSA workshop 1. Identificatie 2. Assessment 3. Mitigatie Almost certain P R O Likely B A B I Possible L I T Unlikely Y Rare Moderate High Moderate High Low Moderate Low Low Low risico s acceptabel Low Extreme Extreme High High Moderate Moderate risico s Extreme niet acceptabel High High High Extreme Extreme Extreme Extreme Extreme ORM faciliteert en speelt advocaat vd duivel Insignificant Minor Eigenaar accepteert mitigatie plan en restrisico Moderate IMPACT Major Catastrophic 31
Risk assurance (eisen/maatregelen) Project Mandate Starting Project brief PID Next stage plan End project & Lessons learned Initiating Managing Closing Advies risicoprofiel Advies risicoprofiel Advies risicoprofiel hoog Risk Assessment BIA hoog R&CSA Risk assurance (SOX, IRM, WFD, compliance) Risklog 32
Ervaringen - Risicoprofielen, impact assessments, en RCSA s leiden in vroegtijdig stadium tot awareness en attentie van het management - Intensieve samenwerking tussen ORM en CAS (interne audit) is belangrijk en bespaart tijd - Self assessments creëren draagvlak bij business en projecten om maatregelen uit voeren - Benader informatiebeveilings risico s vanuit een business perspectief (kosten/baten/alternatieven) en zet ze in een vroegtijdig stadium op de agenda - ORM is zelf geen risico, maar ondersteunt om risico s vroegtijdig expliciet te maken en incidenten te voorkomen (v.b. personal risk voor projectmanager) - Think big, start simple (BIA is goed vertrekpunt) en onderzoek de behoefte van de business (waar vinden de grootste incidenten plaats) 33
Onze uitdaging... Appetite Business Focus Balans Impact rating Business Impact Almost certain P R O B A B I L I T Y Likeky Possible Unlikely Rare Schade risico s niet acceptabel risico s acceptabel Insignificant Minor Moderate Major IMPACT Acceptabel Catastrophic BU Capital (net) If the BU is more in control, the capital decreases 800 Kapitaal reductie 780 760 740 720 700 680 660-30% 0% 30% Control 34
Vragen: rene.stad@mail.ing.nl 35