FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel gezonde wereld na. BKR heeft ruim 100 gedreven en integere professionals in dienst die zich binnen hun expertise inzetten voor het financieel welzijn van consumenten. BKR verstrekt en beheert privacygevoelige informatie en onderhoudt hiertoe verschillende systemen waarvan het Centraal Krediet Informatiesysteem het grootste en het bekendste is. BKR informeert hierover aan zowel aangesloten organisaties als aan consumenten rechtstreeks over de in het CKI geregistreerde informatie. Zie ook: www.bkr.nl Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. Voor het aandachtsgebied Security betekent dit het operationeel en administratief ondersteunen van de teammanager Compliance op het gebied van securitymanagement en informatiebeveiliging en de continuïteit van de bedrijfsvoering. BKR is ISO 27001 gecertificeerd, alle activiteiten rondom deze certificering vallen onder de verantwoordelijkheid van de medewerker. Voor het aandachtsgebied Risk betekent dit specifiek het leveren van een bijdrage aan het ontwikkelen en uitvoeren van het Ondernemings Risico Management beleid en het creëren van een risicobewustzijn bij de managers en medewerkers dat past bij de ambities en bedrijfsactiviteiten van BKR en dat voldoet aan de eisen en verwachtingen. Organisatorische positie De Compliance Officer Security & Risk ontvangt hiërarchisch leiding van de Teammanager Compliance. De Compliance officer Security & Risk geeft zelf geen leiding. Algemene kenmerken afdeling Compliance De afdeling Compliance draagt zorg voor de naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die BKR heeft opgesteld. Dit geldt zowel in- als extern. Alleen door professioneel en integer te handelen, kan BKR het vertrouwen van haar deelnemers, stakeholders en haar goede reputatie versterken en borgen. Binnen de afdeling wordt vanuit de verschillende disciplines naar een thema gekeken. Uitgangspunt hierbij is dat de afdeling in eerste instantie is ingericht om risico s te mitigeren. Bij alle vraagstukken wordt de vraag gesteld wat het risico voor BKR is. Op basis hiervan wordt gezocht naar mitigerende maatregelen. De afdeling kent onder meer de kern competenties Risk, Legal, Privacy, Security, Audit en Deelnemertoezicht. 1
Algemene kenmerken van de functie De Compliance Officer betreft een uitvoerende functie, waarbij de werkzaamheden zelfstandig worden uitgevoerd. Dit binnen vastgestelde procedures en richtlijnen, waarbij inhoudelijke terugval mogelijk is op de Teammanager Compliance. Iedere Compliance Officer krijgt één of meerdere primaire rollen toegewezen voor de uitvoering van de functie. Daarnaast zullen, als back-up, aan de Compliance Officer secundaire rollen worden toegewezen, zodat ook bij afwezigheid er een aanspreekpunt binnen de afdeling is. Algemene kenmerken van de rol Security (0,8 fte) De Compliance Officer Security & Risk verricht beleidsvoorbereidende en adviserende werkzaamheden op het gebied van securitymanagement en informatiebeveiligingsbeleid. Resultaatgebieden 1. Algemeen voor iedere Compliance Officer: Risicobeheersing Beheerst op proactieve wijze de risico s die BKR loopt, met name maar niet uitsluitend op het vakgebied waar de Compliance Officer vanuit zijn rol(len) voor staat opgesteld. Voert dit op proactieve wijze uit, schakelt actief met collega s in de rest van de organisatie en het team. Rapporteert transparant over de mate waarin de risico s worden beheerst. Resultaat: De rol van Compliance Officer ingevuld volgens de gedefinieerde regels. 2. Informatiebeveiligingsbeleid opgesteld en uitgevoerd Ontwikkelt in nauwe samenwerking met de Teammanager Compliance een op de organisatie toegesneden Informatiebeveiligingsbeleid en legt dit vast in een beleidsdocument. Onderzoekt, signaleert en analyseert wettelijke regelingen, jurisprudentie, maatschappelijke ontwikkelingen en trends op het gebied van informatiebeveiliging zaken, informeert/ adviseert de Teammanager Compliance hieromtrent en vertaalt dit in aanpassingsvoorstellen voor het Informatiebeveiligingsbeleid. Bewaakt de uitvoer van het beveiligingsbeleid van BKR Geeft ondersteuning aan en adviseert alle leidinggevenden bij de uitvoering van het Informatiebeveiligingsbeleid. Draag zorg voor de professionalisering van de Security organisatie Verbetert de Security Awareness in de gehele organisatie Stelt de overkoepelende Security rapportages op. Hierbij maak je gebruik van de inhoudelijke rapportages vanuit de business. Coördineert de opvolging en afhandeling van beveiligingsincidenten Begeleid de verschillende bedrijfsonderdelen in het managen van de beveiligingsrisico's gedurende de complete levenscyclus van het betreffende bedrijfsproces. 2
Resultaat: Het Informatiebeveiligingsbeleid is ontwikkeld en vastgelegd in een uitvoerbaar beleidsplan, in lijn met de visie, strategie en doelstelling van BKR en belanghebbenden zijn hierover tijdig en correct geadviseerd. 3. Certificering ISO 27001 behouden en verbeteringen doorgevoerd Voert de regie over alle relevante zaken die betrekking hebben op de certificering conform ISO 27001 Doet verbetervoorstellen en stelt beheersmaatregelen op die vanuit de ISO 27001 certificering worden gesteld Voert testen/audits uit en rapporteert daarover richting de Teammanager Compliance Resultaat: Certificering ISO 27001 blijft behouden en de benodigde verbeteringen en actualisaties doorgevoerd. 4. Bijdrage leveren ontwikkeling en uitvoering ondernemings Risico Management beleid Bereidt in nauwe samenspraak met de Teammanager Compliance het Ondernemings Risico Management beleid, de kaders en richtlijnen voor en laat dit via de Teammanager Compliance vaststellen door de Directie/MT. Is verantwoordelijk voor het namens de Directie/MT ondersteunen bij het inrichten van het Ondernemings Risico Management binnen BKR. Bewaakt de kwaliteit van het Ondernemings Risico Management binnen BKR. Bewaakt een goede balans tussen ondernemerschap en het verantwoord en transparant omgaan met risico s. Ondersteunt de Risicomanagers bij het uitvoeren van het risicomanagement beleid en risico analyses in de 1 e lijn. Ontwikkelt, beheert en bewaakt de Ondernemings Risico Management methoden, technieken, procesbeschrijvingen, etc. Coördineert, faciliteert en ondersteunt de jaarlijkse evaluatie van het Ondernemings Risico Management beleid. Draagt actief bij aan het creëren van een goede Ondernemings Risico Management cultuur, draagvlak en een heldere risk governance tussen de 1e en de 2e lijn. Resultaat: Bijdrage is geleverd aan de ontwikkeling en het uivoeren van Ondernemings Risico Management beleid, zodanig dat kaders en richtlijnen zijn voorbereid en geëvalueerd, Ondernemings Risico Management methoden, technieken, procesbeschrijvingen zijn ontwikkeld, ten behoeve van de kwaliteit van Ondernemings Risico Management binnen BKR en een heldere risk governance is ontwikkeld tussen 1e en 2e lijn mede ten behoeve van een goede Ondernemings Risico Management cultuur. 5. Informatie beschikbaar stellen Draagt zorg voor een heldere en eenduidige rapportagestructuur op het gebied van Ondernemings Risico Management, die aansluit op de interne planning & control cyclus en de eventuele externe verantwoordingseisen. Consolideert en analyseert de risicoanalyses en rapportages van de Kernfuncties en de Staf over risico s en interne beheersing 3
Rapporteert periodiek via de Teammanager Compliance aan de Directie/ MT over de risicoanalyse en controls. Consolideert de aangeleverde risicorapportages en levert informatie aan over de naleving van het Ondernemings Risico Management beleid, kaders en richtlijnen aan belanghebbenden. Draagt zorg voor het trainen, begeleiden en coachen van de Risicomanagers in goed Ondernemings Risico Management, levert procesmatige en inhoudelijke ondersteuning en fungeert als vraagbaak. Resultaat: Informatie is beschikbaar gesteld, zodanig dat belanghebbenden tijdig over de juiste informatie beschikken. Een eenduidige rapportagestructuur is ingericht voor Ondernemings Risico Management, aansluitend op interne planning & control cyclus, periodieke rapportages zijn opgesteld en Risicomanagers worden voldoende ondersteund en begeleid tijdens het uitvoeren van het Risico Management proces in de eerste lijn. 6. Risicoanalyses Directie/MT coördineren en faciliteren Coördineert, faciliteert en ondersteunt samen met de Teammanager Compliance de risicoanalyse door de Directie/MT. Ondersteunt en adviseert samen met de Teammanager Compliance de Directie/MT bij het bepalen van actieplannen naar aanleiding van de risicoanalyse. Documenteert de uitkomsten van de risicoanalyse en de geformuleerde actieplannen. Bewaakt en is actief betrokken bij de opvolging van de acties naar aanleiding van de risicoanalyse. Resultaat: Risicoanalyses Directie/ MT gecoördineerd en gefaciliteerd, zodanig dat uitkomsten van de risicoanalyse juist zijn gedocumenteerd en gerapporteerd en geformuleerde actiepunten naar aanleiding van de risicoanalyse door de Directie/MT en actieve betrokkenheid bij de opvolging van deze acties is uitgevoerd. Profiel van de functie Afgeronde relevante HBO/WO opleiding HBO/WO werk- en denkniveau Minimaal 5 jaar werkervaring op het gebied van informatiebeveiliging Certificering (bijvoorbeeld CISSP, CISA en CISM) Kennis van relevante certificering vereisten, zoals ISO 27001 Kennis van privacywetgeving Kennis van auditing, risicomanagement en relevante wet- en regelgeving. Globale kennis van werkprocessen van deelnemers in relatie tot de dienstverlening van BKR. Goede beheersing van de Nederlandse taal in woord en geschrift Goede beheersing van de Engelse taal in woord en geschrift 4
Competentieprofiel Probleemanalyse Oordeelsvorming Organisatiesensitiviteit Overtuigingskracht Kwaliteitsgerichtheid Onafhankelijkheid Initiatief Organisatiebewustzijn Voortgangsbewaking Verantwoordelijkheid 5