CERRIX maintenant également adapté au GDPR

Il a fallu un certain temps avant que la date limite GDPR / AVG ne soit atteinte (mai 2018). Depuis, de nombreuses entreprises ont lancé un projet visant à orienter la mise en œuvre dans la bonne direction. Cependant, il est important que les processus qui en résultent puissent être ancrés dans l'organisation. Un outil garantit que votre processus est sauvegardé dans l'organisation. CERRIX vous offre la possibilité de visualiser les processus de traitement des données, d'apporter des éléments de données confidentiels relatifs à ces processus et aux agents responsables, d'effectuer des évaluations des facteurs de protection de la vie privée (PIA), de collecter des rapports sur les violations de données (avec worklow) et d'organiser des sessions de formation en ligne. .

L'information sur les risques en tant qu'outil de pilotage

Les informations sur les risques en tant qu'outil de pilotage pour atteindre vos objectifs commerciaux.

Pendant longtemps, la gestion des risques ne se limite plus à l'identification, à l'évaluation et à la gestion périodiques des risques. La gestion des risques est un processus continu qui fait partie des processus quotidiens de l'entreprise. Des informations fiables sur les risques ainsi que des informations sur les performances peuvent être utilisées comme un outil de pilotage pour atteindre vos objectifs commerciaux. Nous constatons donc un besoin croissant d'informations sur les risques en temps réel qui, associées aux informations sur les performances, peuvent être présentées de manière visuelle et compréhensible, de manière à permettre la prise de décisions judicieuses. Cela concerne, entre autres, les informations de risque concernant: les risques et incidents / pertes signalés en temps réel dans les processus et les transactions, les données sur le fonctionnement de vos mesures de contrôle, les indicateurs de risque clés et l'état des mesures d'amélioration mises en œuvre.

Comment pouvons-nous passer des données de risque aux informations de risque?

Afin de convertir les données de risque en informations de risque pertinentes que vous pouvez utiliser en tant que responsable du traitement, il est tout d'abord important de définir des définitions de données uniformes. Par exemple, si tous les membres de l'organisation comprennent la définition d'un incident ou d'une perte, cela entraînera généralement une compréhension et une uniformisation de l'ensemble de la société pour l'enregistrement des incidents et des pertes.

Il faut également déterminer quelles informations sur les risques peuvent présenter une valeur ajoutée pour quel échelon. En établissant les relations entre, par exemple, les objectifs, les processus associés et les catégories de risque associées, d’une part, et les informations de risque connexes requises, d’autre part, il est possible de déterminer les données de risque nécessaires pour créer cette information.

Comment pouvons-nous être efficaces dans la préparation des informations sur les risques?

Maintenant que nous savons quelles informations sur les risques sont nécessaires, nous devons, dans la prochaine étape, nous concentrer sur l'efficacité dans la préparation des informations sur les risques. Les données sur les risques sont maintenant souvent collectées manuellement auprès de nombreuses sources différentes (systèmes d’enregistrement des incidents, Excel, systèmes de gestion des risques, systèmes sources, etc.) et sont ensuite converties manuellement en informations ou rapports de risque pertinents. La première étape consiste à centraliser autant que possible l’enregistrement de toutes les données de risque pertinentes dans un système de gestion des risques ou un référentiel. Cela présente des avantages car, de cette manière, des relations entre différents types de données sur les risques peuvent être établies plus efficacement. Une deuxième étape consiste à automatiser autant que possible l'enregistrement des données de risque en transportant les données de risque des systèmes sources via des interfaces vers le système ou le référentiel central de gestion des risques.

Comment présentons-nous les informations de risque disponibles?

Enfin, la présentation des informations sur les risques à l'utilisateur mérite une attention particulière. Les informations sur les risques sont mieux utilisées si elles peuvent être superposées visuellement à la fois horizontalement et verticalement ou par une combinaison des deux. Le meilleur sous la forme d'un tableau de bord flexible. Par présentation en couches verticales, on entend que les informations sur les risques peuvent être filtrées / agrégées de manière organisationnelle du niveau le plus élevé au niveau le plus bas. La présentation en couches horizontales signifie que les informations sur les risques peuvent être filtrées / agrégées, par exemple au niveau de l'objectif, du processus (chaîne) ou de la catégorie de risque.

Voulez-vous en savoir plus sur la manière dont vous pouvez organiser votre fourniture d'informations sur les risques dans votre organisation? Ensuite, contactez Maurits Toet de CERRIX au 06-55781325 ou via maurits.toet@cerrix.com.

Conférence sur les risques bien suivie

La conférence sur les risques organisée par CERRIX le 23 juin 2016 à l'hôtel Karel V à Utrecht a attiré de nombreux participants. Les différents sujets abordés par les orateurs ont conduit à de nombreuses discussions entre les participants. Il est devenu évident qu'il existe encore de nombreuses différences dans le risque de niveau de maturité entre les différentes organisations. Le couplage des systèmes GRC avec les systèmes opérationnels est considéré comme une nouvelle étape importante dans la poursuite du développement des systèmes GRC. CERRIX y présentera également les résultats la prochaine fois.

Agrégation des risques et reporting des risques

Principe directeur BCBS 239: Agrégation des données de risque et des rapports de risque.

Le Comité de Bâle a publié l'article 239 en janvier 2013. Cet article décrit 11 principes d’agrégation efficace des données de risque et de reporting des risques. L’article a un impact majeur sur la flexibilité et la solidité des banques à court terme, l’essentiel étant qu’une banque doit à tout moment avoir accès à tous les types de données sur les risques, quel que soit leur niveau d’agrégation souhaité. Les principes des 11 principes sont résumés ci-dessous: • La gouvernance de l'organisation des risques, de l'architecture de données et de l'infrastructure informatique doit permettre un accès flexible, fiable et robuste aux données de risque et la création de rapports à leur sujet.
• Les données doivent être disponibles à tout niveau et à tout moment. Ces données sont très exigeantes en termes d'exactitude, d'exhaustivité et d'intégrité. Ces données de risque doivent être réconciliables à tout moment et compatibles avec les données financières de l'entreprise.
• Sur la base de ces données, il est nécessaire de générer des rapports de risque répondant aux exigences d’exactitude, d’intégralité, de distribution de fréquence, de clarté et d’utilité, et DNB examine actuellement la manière dont cette directive devrait être mise en œuvre au sein des institutions financières. On s’attend à ce que cela devienne clair en 2016. Les banques sont bien avisées de ne pas attendre et agir maintenant sur cette directive. L'article complet est disponible ici: http://www.bis.org/publ/bcbs239.pdf

DNB utilise le cadre d'évaluation ORM

Les critères d'évaluation

La DNB est ouverte sur la manière dont elle évalue les banques qui utilisent l'approche standard. Le cadre d'évaluation (Cadre de référence 2015) est disponible pour la banque elle-même afin de pouvoir effectuer périodiquement une auto-évaluation de sa propre organisation (parties) sur la base des critères du présent cadre d'évaluation. L'évaluation est basée sur un certain nombre de sujets tels que:

Culture de risque;
Oprisk Appetite;
La gouvernance;
Politiques et procédures;
Identification et évaluation;
Rapports, surveillance et divulgation;
Contrôle et atténuation;
Gestion du changement;
Audit interne.

Le niveau de maturité par critère est déterminé par le degré auquel un critère peut être rempli. Une échelle ordinale à quatre points est utilisée à cet effet. En fin de compte, l’évaluation donne une idée globale des possibilités d’amélioration.

Est-il utile d'effectuer cette auto-évaluation?

Nous le pensons Cela donne une bonne idée de la façon dont le régulateur vous regarde. Nous pensons que ce cadre d'évaluation est un cadre relatif à la conception et à l'existence de l'ORM, mais il ne dit rien sur le fonctionnement de votre banque. En pratique, les banques ont bien sûr mis en place de nombreuses mesures de contrôle pour éviter les risques.

Comment CERRIX peut-il vous aider?

Nous pouvons vous aider à réaliser cette auto-évaluation et à préparer un rapport à ce sujet. Il est préférable que nous puissions traiter cette auto-évaluation dans nos outils CERRIX. Dans ce cas, nous utiliserons le cadre d'évaluation DNB en standard Cadre de contrôlelivrer le long. Dans ce cas, vous pouvez réévaluer périodiquement l'évaluation afin de pouvoir contrôler correctement dans quelle mesure vous augmentez la maturité d'ORM dans votre organisation. Les actions d'amélioration peuvent être surveillées de près. Il est évident que cela vous aidera également à rendre compte à l'organisme de réglementation.

Un fonds de pension investit dans le tableau de bord des risques

Un important fonds de pension sectoriel utilise CERRIX pour la gestion de ses risques depuis plusieurs années. Récemment, le nouveau module de tableau de bord CERRIX a été acheté. Il présente les informations de gestion en temps réel. Le tableau de bord est subdivisé en un certain nombre de blocs dans lesquels les informations sont présentées. Par exemple, le profil de risque actuel peut être présenté et comparé à la période précédente, le niveau de contrôle basé sur les tests récents, le statut des indicateurs de Riks par rapport à l'appétit pour le risque prédéfini, des informations sur les incidents et les actions en attente. Ces informations peuvent différer selon les comités du conseil et peuvent donc également être filtrées par comité et / ou catégorie de risque. Les parties prenantes peuvent laisser des commentaires pour chaque élément d'information. poster découle de commentaire. Cela empêche l'envoi de documents PDF dans les deux sens et rend le tableau de bord interactif afin qu'il soit utilisé plus souvent. En bref, cela profite au final au processus de contrôle des risques.

fr_FR