Paul

Het duurde nog even voor de deadline van GDPR/AVG in zicht kwam (mei 2018). Veel bedrijven hebben inmiddels wel een project gestart om de implementatie in goede banen te leiden. Belangrijk is echter hoe de processen die hieruit voortvloeien, verankerd kunnen worden in de organisatie. Een tool zorgt ervoor dat uw proces wordt geborgd in de organisatie. CERRIX geeft u de mogelijkheid om gegevens verwerkingsprocessen te visualiseren, privacy gevoelige data elementen in relatie te brengen met deze processen en verantwoordelijke functionarissen, Privacy Impact Assessments (PIA’s) uit te voeren, datalek meldingen te verzamelen (met worklow) en E-learnings te verzorgen.

Risico-informatie als stuurmiddel voor het behalen van uw bedrijfsdoelstellingen.

Risicomanagement beperkt zich al lang niet meer tot het periodiek identificeren, beoordelen en managen van risico’s. Risicomanagement is een continu proces dat onderdeel is van de dagelijkse processen van de onderneming. Gedegen risico-informatie kan samen met performance informatie gebruikt worden als stuurmiddel voor het behalen van uw bedrijfsdoelstellingen. Wij zien dan ook een steeds grotere behoefte aan real-time risico-informatie die samen met de performance informatie visueel en begrijpelijk gepresenteerd kan worden zodat gedegen beslissingen genomen kunnen worden. Het betreft hier o.a. risico-informatie omtrent: real-time gemelde risico’s en incidenten/verliezen in de bedrijfsprocessen en transacties, data omtrent de werking van uw beheersmaatregelen, key risico-indicatoren en de status van uitgezette verbetermaatregelen.

Hoe komen we van risicodata naar risico-informatie?

Om de risicodata om te vormen tot relevante risico-informatie die bruikbaar is voor u als verantwoordelijke is het allereerst van belang om uniforme datadefinities te definiëren. Als bijvoorbeeld iedereen binnen de organisatie begrip heeft van wat de definitie van een incident of verlies is dan zal dit in het algemeen leiden tot bedrijfsbrede begripsvorming van en uniformiteit bij de vastlegging van incidenten en verliezen.

Tevens dient bepaald te worden welke risico-informatie van toegevoegde waarde kan zijn voor welk echelon. Door de relaties te leggen tussen bijvoorbeeld doelstellingen, gerelateerde processen en gerelateerde risicocategorieën enerzijds en de benodigde gerelateerde risico-informatie anderzijds kan worden bepaald welke risico-data er nodig is om deze informatie te creëren.

Hoe behalen we efficiency in de totstandkoming van risico-informatie?

Nu we weten welke risico-informatie er benodigd is dienen we ons in een volgende stap te focussen op het behalen van efficiencyslagen bij de totstandkoming van de risico-informatie. Risicodata wordt nu vaak nog handmatig verzameld uit vele verschillende bronnen (incidentregistratiesystemen, Excel, risicomanagementsystemen, bronsystemen, etc) en wordt vervolgens handmatig omgezet naar relevante risico-informatie dan wel rapportages. Een eerste stap is om de vastlegging van alle relevante risicodata zoveel mogelijk te centraliseren in 1 risicomanagementsysteem of respository. Dit biedt voordelen omdat op deze wijze relaties tussen verschillende soorten risicodata efficiënter gelegd kunnen worden.  Een tweede stap is om de vastlegging van risicodata zoveel mogelijk te automatiseren door risicodata vanuit de bronsystemen via interfaces naar het centrale risicomanagementsysteem of repository te transporteren.

Hoe presenteren we de beschikbare risico-informatie?

Tenslotte verdient de presentatie van de risico-informatie aan de gebruiker speciale aandacht. De risico-informatie is het best bruikbaar als deze visueel zowel horizontaal als verticaal gelaagd of in een combinatie van deze twee gepresenteerd kan worden. Het beste in de vorm van een flexibel dashboard. Met verticaal gelaagde presentatie wordt bedoeld dat de risico-informatie organisatorisch van het hoogste naar het laagste echelon gefilterd/geaggregeerd kan worden. Met horizontale gelaagde presentatie wordt bedoeld dat de risico-informatie bijvoorbeeld op doelstellingniveau, proces(keten)niveau of risico categorie gefilterd/geaggregeerd kan worden.

Wilt u meer weten over hoe u uw risico-informatievoorziening kunt inrichten in uw organisatie? Neem dan contact op met Maurits Toet van CERRIX op tel 06-55781325 of via maurits.toet@cerrix.com.

De risico conferentie die CERRIX op 23 juni 2016 heeft georganiseerd in Hotel Karel V in Utrecht was druk bezocht. De verschillende thema’s die door de sprekers aan de orde werden gesteld, hebben veel discussies opgeleverd onder de aanwezigen. Duidelijk werd dat er nog veel verschillen zijn in het risico volwassenheidsniveau bij de diverse  organisaties. De koppeling van GRC systemen met operationele systemen wordt als een belangrijke nieuwe stap gezien in de verdere ontwikkeling van GRC systemen. Ook daar zal CERRIX een volgende keer de resultaten laten zien.

Richtlijn BCBS 239: Aggregatie van risico data en risk reporting.

Het Basel Comité heeft in januari 2013 artikel 239 gepubliceerd. In dit artikel worden 11 Principles for effective risk data aggregation and risk reporting beschreven. Het artikel heeft op korte termijn grote impact op de flexibiliteit en robuustheid van banken.De kern van BCBS 239 is dat een bank te allen tijde iedere dwarsdoorsnede van risicodata op ieder gewenste aggregatieniveau beschikbaar en inzichtelijk moet hebben. De uitgangspunten van de 11 principles worden hieronder samengevat:• De ‘governance’ van de risk organisatie, data architectuur en de IT infrastructuur moeten een flexibele, betrouwbare robuuste ontsluiting van en rapportage over risk data ondersteunen.
• Data moet op ieder gewenst niveau en op ieder gewenst moment beschikbaar zijn. Aan deze data worden hoge eisen gesteld ten aanzien van juistheid, volledigheid en integriteit. Deze risk data moeten te allen tijde te reconciliëren en aan te sluiten zijn bij de finance data van de onderneming.
• Op basis van deze data moeten risk rapportages worden gegenereerd die voldoen aan de eisen van Accuracy, Comprehensiveness, Frequency Distribution, Clarity and Usefulness.DNB is zich aan het beraden hoe deze richtlijn doorgevoerd moet worden binnen financiële instellingen. De verwachting is dat hierover in 2016 duidelijkheid komt. Banken doen er goed aan om niet af te wachten maar nu al te acteren op deze richtlijn.Het volledige artikel vindt u hier: http://www.bis.org/publ/bcbs239.pdf

De Toetsingscriteria

De DNB is open over de wijze waarop zij de toetsing pleegt op banken die de standardised approach hanteren. Het toetsingskader (Reference Framework 2015) is beschikbaar voor de bank zelf zodat deze in staat is periodiek een Self Assessment uit te voeren voor haar eigen organisatie (onderdelen) aan de hand van de criteria van dit Toetsingskader. De toetsing is gebaseerd op een aantal onderwerpen zoals:

Het volwassenheidsniveau per criterium wordt bepaald door de mate waarin aan een criterium kan worden voldaan. Hiervoor wordt een vier-punts ordinale schaal gebruikt. Uiteindelijk leidt de assessment tot een overall beeld van mogelijke ruimte tot verbetering.

Is het zinvol dit Self Assessment uit te voeren ?

Wij denken van wel. Het geeft een goed beeld hoe de toezichthouder naar u kijkt. Wij zijn wel van mening dat dit toetsingskader een raamwerk is over de opzet en het bestaan van ORM, maar niets zegt over de werking in uw bank. In de praktijk hebben banken natuurlijk tal van beheersingsmaatregelen geïmplementeerd om de risico’s te mijden.

Hoe kan CERRIX hierbij helpen ?

Wij kunnen u helpen met het uitvoeren van dit Self Assessments en hiervoor een rapportage op te stellen. Beter is het wanneer we dit Self Assessment kunnen verwerken in ons CERRIX tooling. Wij zullen in dat geval het DNB Toetsingskader als standaard Control Frameworkmee leveren. In dat geval kan u periodiek de toetsing opnieuw re-assessen zodat u goed kunt volgen in welke mate u de volwassenheid van ORM in uw organisatie laat toenemen. Verbeteracties kunnen nauwgezet worden opgevolgd. Het is evident dat dit u ook gaat helpen in de rapportage aan de toezichthouder.

Een groot Bedrijfstakpensioenfonds maakt al enkele jaren gebruik van CERRIX voor haar Risk Management. Recent is de nieuwe CERRIX Dashboard module aangeschaft dat de management informatie realtime presenteert. Het dashboard is onderverdeeld in een aantal blokken waarin de informatie wordt gepresenteerd. Zo kan het actuele risicoprofiel worden gepresenteerd en vergeleken met de vorige periode, de mate van beheersing op basis van de recente tests, de status van Riks Indicators in relatie tot de vooraf gedefinieerde Risk Appetite, informatie over incidenten en openstaande acties. Deze informatie kan per verantwoordelijke bestuurscommissie verschillen en is daarom ook te filteren per commissie en/of risicocategorie. Per informatieonderdeel kunnen belanghebbenden commentaar achterlaten zodat een post ontstaat van commentaar. Dit voorkomt het heen-en-weer zenden van PDF-documenten en maakt het dashboard interactief zodat het vaker gebruikt zal gaan worden. Kortom, dit komt het Risk Control proces uiteindelijk weer ten goede.