Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance,...

29
NNR Amsterdam, 25 oktober 2016 Governance, Risk & Compliance (GRC) Build muscle, lose fat! Energie geef je samen door!

Transcript of Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance,...

Page 1: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

NNR

Amsterdam, 25 oktober 2016

Governance, Risk & Compliance (GRC)

Build muscle, lose fat! Energie geef je samen door!

Page 2: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Programma

1. Waar komen we vandaan

2. Wie zijn wij

3. Wat doen wij

4. Hoe werken wij

Page 3: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

3

Page 4: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

4

Page 5: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

1. Waar komen we vandaan (GRC)

5

Page 6: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

1. Waar komen we vandaan?

6

Page 7: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

1. Uitdaging: Kansen benutten

Organisatie en

functionele silo’s Gebrek aan

overzicht

Geen integratie Duplicatie van

werkzaamheden

Hoge

kosten?

Overload aan

informatie

Fragmentatie

Voldoende integriteit?

Cultuur

Gebrek aan

informatie

Onnodige

complexiteit

Verwarring

7

Integriteit Cultuur

Overzicht

Integrale

rapportage

& analyse

iGRC

Betrouwbare

informatie

Technologie, methoden, infrastructuur,

definities / vocabulaire

Integrale risico

en beheers

activiteiten

Van silo’s naar

Page 8: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

1. Rumours talk…

8

Page 9: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

2. Wie zijn wij

9

Page 10: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

GRC kennislunch

10

Page 11: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Governance, Risk & Compliance (GRC)

Samen waarmaken!

Missie Kernwaarden Visie

Alliander wil

transparant,

betrouwbaar,

voorspelbaar blijven

en verantwoord

ondernemen. Dit

geeft vertrouwen en

rust bij haar

stakeholders.

Doel

GRC is een competentie

die Alliander in staat stelt:

haar doelstellingen

(governance) te bereiken,

met onzekerheden en

kansen om te gaan

(risicomanagement &

beheersing) , integer te

handelen (compliance),

met de juiste kwaliteit

(quality assurance) en dit

willen we duurzaam doen

(continuïteit).

Onze professionals

staan midden in de

samenleving. Onze

kernwaarden zijn:

• Sensitief

• Samen

• Slim

• Creatief

• Pragmatisch

• Integer

Het gezamenlijk behalen van

de strategische doelen van

Alliander en Liander, GRC

helpt en ondersteunt hierbij.

GRC medewerkers vertonen

voorbeeldgedrag, zijn zelf

lerend en streven naar

continue verbetering als

“trusted advisor”.

Het doel is om als Center of

Excellence toonaangevend te

zijn op het gebied van GRC

binnen en buiten Alliander.

GRC activiteiten zijn

diep geworteld binnen

Alliander, zijn een

vanzelfsprekendheid en

behoren tot het DNA

van de medewerker.

Ambitie

Ondersteunen

Monitoren

Beleid

Risicomanagement & Beheersing

• Enterprise Risk Management (ERM)

• Credit risk

• Action tracking

• Business Control Framework (BCF)

• Procesmanagement

Quality Assurance

• Portfolio

• Programma

• Projecten

• Processen

Compliance

• Wet- en regelgeving (E, G, overig)

• Beleid (interne regelgeving)

• Integriteit

Continuïteit

• Crisis

• Business Continuity

• Privacy

• Security

• Data-governance

Governance

• In Control Statement • Interne Governance

Page 12: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

3. Wat doen wij

12

Page 13: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

GRC kennislunch

13

Page 14: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

3. Wat doen wij (GRC)

Ondersteunen

Monitoren

Beleid

Risicomanagement & Beheersing

• Enterprise Risk Management (ERM)

• Credit risk

• Action tracking

• Business Control Framework (BCF)

• Procesmanagement

Quality Assurance

• Portfolio

• Programma

• Projecten

• Processen

Compliance

• Wet- en regelgeving (E, G, overig)

• Beleid (interne regelgeving)

• Integriteit

Continuïteit

• Crisis

• Business Continuity

• Privacy

• Security

• Data-governance

Missie Kernwaarden Visie Doel Ambitie

Governance

• In Control Statement • Interne Governance

Page 15: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Governance Risk en Compliance - Producten en diensten Samen waarmaken!

Rollen GRC en klant

Trusted advisor Sparring partner GRC Coach Trainer

Sponsor Partner Zelfbeoordeling Ontwikkeling Klant

Extern

• Belangen

behartigen in

externe gremia

en waar nodig

beïnvloeden.

• Relatie-

management

van toezicht-

houders en

andere

stakeholders

zoals de NEN

commissie en

Netbeheer NL

• Kennis

overbrengen

van buiten

naar binnen en

vice versa.

• Ontwikkelen

van trend-

analyses.

• Relatie-

management

op alle niveaus

• Ophalen van

interne

ontwikkelingen

en verbeter-

punten.

• Signaleren

van best

practices

• Signaleren van

behoefte aan

(nieuwe) GRC

producten en

diensten

Intern Beleid / kaders

coördinatie Governance

Advies en

ondersteunen Kennisdeling

• Opleidingen

en trainingen:

risk, privacy,

audit benefit

tracking,

AO/IC,

integriteit,

portfoliomngt

• Oefeningen

voor o.a.

crisis, privacy

• Kennis-

sessies

(vaktechniek)

• Intranet

publicaties

• Kennis-

platforms

(kwaliteit,

P3M)

• Coachen

• Regierol bij

externe audits

• BCF

implementatie

• Implemen-

tatie van

beleid

• Adviseren en

begeleiden bij

incidenten en

onderzoeken.

• Integriteits-

vraagstukken

• Inventa-

riseren van in-

en externe

risico’s

• Toepassen

van GRC

tooling

• Regierol bij het

ontwikkelen

van beleid en

implementatie-

plannen

• Opstellen van

integrale

auditplanning

• Publiceren van

beleids-

documenten

• (Mede)

opstellen van

BCF- en

normenkaders

• Beheren van

het GRC

raamwerk

• Coördineren

van informatie-

verzoeken van

toezichthouder

.

• Opzetten en

beheren van

de interne

governance:

governance

manual,

functional

guidance en

charters

• Faciliteren

strategische en

tactische

gremia zoals

ARC, IKS,

APSO en het

DGL overleg

• Coördinatie

van het

incontrol

statement

Continue

bewaking

• Interne audits

• (impact)

analyses

• Volwassen-

heidsmetingen

(GRC scan)

• In control

verklaring

• Self-

assesments

• Benefit

tracking

• Quick scans

• Stuurgroep-

evaluaties

• Vertrouwens

scans

Review / Audit

• QA rapporten

• Risico-

rapportages

• Voortgang

rapportages

• Integrale

evaluaties

• Actiontracking

van o.a.

ketenaudits,

QA reviews,

certificerings-

audits

• GRC

dashboard

‘Buiten wereld

naar binnen’

‘Helpende

hand’ ‘Richtlijnen voor

uniformiteit’

‘leerpunten

en acties’ ‘Realiseren

deugdelijk bestuur’

‘Ontwikkeling door

kennisdeling’ ‘Weten wat

er speelt’

‘In korte tijd alle as-

pecten beoordeeld’

Continu Verbeteren

Beleid Ondersteunen Monitoren Omgeving

GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business continuity

Page 16: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

4. Hoe werken wij

16

Page 17: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

GRC kennislunch

17

Page 18: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Beleid Organiseren Implementeren Monitoren

Effort

To be

As is

Transformation

to 1st line Development

2nd line

Development

2nd line

Ondersteunen

4. Hoe werken wij

18

Page 19: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Strategisch

Tactisch

Operationeel

FIN

Audit

Stuurgroep Auditcie

BCF

CBL

comittee

Disclosure

Committee DT Liander

EBA

EBA Board

ELT

Jaarverslag

Risico mgnt

Cie (RMC

RvB TRC

Alliander

ACM

TRC

Liander

ACM

DGC

FRO

Public

Affairs

EPM

ASC

DQ_Team

s Kwartaalove

rleg SHM KCD

Complexe Overlegstructuren

31 overleggen (inner circle)

311 deelnemers en

165 individuen (outer circle)

+ onduidelijke overlap

aan onderwerpen OTO

Overige SoDM DPO SBIT

NTA8120

Coordinator

en Ovl DQ-

Team EPM

Crisis

Trainingen Datagovern

ance Leads

FRO

Wet&Rglg

eving

TSC

ASC

BCM

Witte

Vlekken

19

4. Hoe werken wij: voorbeeld Governance

Page 20: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Strategisch

Tactisch

Operationeel

Strategisch

Tactisch

Operationeel

FIN

Audit

Stuurgroep Auditcie

BCF

CBL

comittee

Disclosure

Committee

DT Liander

EBA

EBA Board

ELT

Jaarverslag

Risico mgnt

Cie (RMC

RvB TRC

Alliander

ACM

TRC

Liander

ACM

DGC

FRO

Public

Affairs

EPM

ASC

DQ_Team

s Kwartaalove

rleg SHM

KCD

OTO Overige SoDM DPO

SBIT

NTA8120

Coordinator

en Ovl DQ-

Team

EPM

Crisis

Trainingen Datagovern

ance Leads

FRO

Wet&Rglg

eving

TSC

ASC

BCM

PSO: Privacy & Security

BCO: Business Continuity

DGL: Data Governance

CMO: Crisismanagement

Aandachtsgebieden

20

RICHTEN INRICHTEN VERRICHTEN

ST

RA

TE

GIS

CH

TA

CT

ISC

H

OP

ER

AT

ION

EE

L

FEEDBACKLOOP

4. Hoe werken wij: voorbeeld Governance

Page 21: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Str

ate

gic

2015

Ta

ctica

l O

pe

ratio

na

l

2015

2015

DPO BCO DGL CMO

PSO: Privacy & Security

BCO: Business Continuity

DGL: Data Governance Leads

CMO: Crisis

GRC GRC GRC GRC

MT

DT

RvB

Realisation

TO

Str

ate

gis

ch

2016

Ta

ctisch

O

pe

ratio

ne

el

CPL : Compliance

QA: Quality Assurance

KWA: Quality

RMO: Risk

FIN : Finance

… : ????

2016

2016

201.

201.

RMO QAS CPL KWA FIN …

GRC GRC GRC GRC GRC GRC

201.

Alliander Resilience Committee (ARC)

21

IQS

4. Hoe werken wij: voorbeeld Governance

Page 22: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Str

ate

gic

Ta

ctica

l O

pe

ratio

na

l

22

Alliander

Resilience

Commissie

Doel/relatie:

Adviseren van de RvB

ten aanzien van de aan

continuïteit

gerelateerde risico’s

Deelnemers:

CFO (vrz.), COO, dir.

Klant & Markt, dir.

Asset Management,

dir. GRC

Wat:

Bijv.: Bespreken

dashboard, adviseren

m.b.t. actuele

thematiek (bijv. crisis

beleid)

Risico

Management

Commissie

Doel/relatie: adviseren

van de RvB ten

aanzien van de

werking van risk

management en

compliance

Deelnemers:

CFO (vrz.), mngr.

Corporate Control,

General Counsel, dir.

Internal Audit, mngr

Risk Management,

mngr Compliance

Wat:

Bijv.: Voorbespreken

risico mngt rapport,

rapport action traking,

voortgang BCF,

voortgang In Control

status

Integraal

Kwaliteits

Systeem

Doel/relatie:

bewaken van de

integrale

assetmanagement

prestaties en sturing

over de continue

verbetering hiervan

Deelnemers:

Dir. AM (vrz.), Dir.

Operatie, Dir. Liandon

en dir. GRC

Wat:

Bijv.: Bespreken

actuele thematiek (bijv.

kwaliteitsbeleid),

bewaken niveau NTA

8120

Legenda:

Risk & Beheersing

Compliance

Continuïteit (crisesbeheersing, BCM, Privacy, Security, Data Governance)

Quality Assurance (Running & Changing the business)

G R C

Internal Audit

Audit

Commissie

Doel/relatie:

voorbereiden

besluitvorming RvC ten

aanzien van de

werking van de

performance cyclus en

risk management

Deelnemers:

RvC (3 leden), CFO,

mngr. Corporate

Control, dir. Internal

Audit, dir. GRC

Wat:

Bijv.: performance en

risico's m.b.t.

ondernemingsactiviteit

en, opzet/werking

interne beheersings-

systemen, naleving

van de wet- en

regelgeving

4. Hoe werken wij: voorbeeld Governance

Page 23: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

4. Samen, slim (slank) overleg Hoe organiseert GRC relatiemanagement?

Strategisch

Managerial

Operational

23

Strategisch

Managerial

Operational

Director GRC Directeur BO

Relatiemgr GRC* MT

Aanspreekpunten

kwaliteit en risico

GRC-experts

Kwaliteitscoördinator/

-portefeuillehouder

Coördinator

risicomanagement

Experts

Min. 1x1/2jaar

Min. 1xkwartaal

Min. 1xkwartaal

Ad hoc/op verzoek

* Relatiemanager (MT-lid GRC) zorgt voor afstemming binnen GRC van alle initiatieven rondom één BO

GRC BO

Intranet

mail

12GRC

Platforms

Evaluaties

KTO

Page 24: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

1. Fragmented &

Inconsistent

Proactive

Inte

gra

ted

Behavior Passive

Eff

ec

tive

ne

ss

F

rag

me

nte

d

Maturity model GRC

2. Organized & Reactively

3. Optimized & Proactive

4. Integrated & Rooted

4. Hoe werken wij

24

Page 25: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Risico Gericht

Ondernemen

Page 26: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

SAMEN

IN

CONTROL CRISIS

BCM

26

bepalen

context vaststellen

doelen

communiceren

over (interne)

beheersing

inventariseren

onzekerheden

vergelijken

met risico

bereidheid

uitvoeren

van geplande

toetsing

communiceren

over risico

management

treffen

van

maatregelen

plannen

van toetsing

nakomen

van afspraken

over bijsturing

bepalen

waarschijnlijk-

heid, snelheid

en impact

leren

van

ervaringen

SAMEN

IN

CONTROL

Legenda:

Risk

Compliance

Continuïteit

Quality Assurance

G R C

‘met de blik van’:

• Compliance

• Privacy

• Security

• Kwaliteit

• Risk (algemeen)

• Financial Report

• Etc.

Action Tracking

rapport, SAP

Issue Mngt

Alliander Risico rapport

Performance cycle (Corp. Control)

Audit punten,

ML, etc.

AO / IC, processenhuis,

BCF

Koers en Kalender,

Beleid, KPI’s,

(keten)processen

Integraal

auditplan

ACM, SodM,

IA, Deloitte/PwC

Management

Review

Governance,

Integriteit

Page 27: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

27

• Met talent win je wedstrijden, maar met teamwork en intelligentie win je kampioenschappen (Michael Jordan)

• We zijn geen team omdat we samenwerken, we zijn een team omdat we elkaar respecteren, vertrouwen en voor elkaar zorgen (SR)

Samen is het nieuwe ik

Page 28: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Questions

Page 29: Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business

Sander Reinderink: Director Governance,

Risk & Compliance

Mobiel: +31621595345

E-mail: [email protected]

Thank you for

your attention!

Vragen

https://www.deitauditor.nl/business-en-it/governance-risk-compliance-samen-naar-de-top