Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance,...
Transcript of Governance, Risk & Compliance (GRC)...GRC: governance, risicomanagement & beheersing, compliance,...
NNR
Amsterdam, 25 oktober 2016
Governance, Risk & Compliance (GRC)
Build muscle, lose fat! Energie geef je samen door!
Programma
1. Waar komen we vandaan
2. Wie zijn wij
3. Wat doen wij
4. Hoe werken wij
3
4
1. Waar komen we vandaan (GRC)
5
1. Waar komen we vandaan?
6
1. Uitdaging: Kansen benutten
Organisatie en
functionele silo’s Gebrek aan
overzicht
Geen integratie Duplicatie van
werkzaamheden
Hoge
kosten?
Overload aan
informatie
Fragmentatie
Voldoende integriteit?
Cultuur
Gebrek aan
informatie
Onnodige
complexiteit
Verwarring
7
Integriteit Cultuur
Overzicht
Integrale
rapportage
& analyse
iGRC
Betrouwbare
informatie
Technologie, methoden, infrastructuur,
definities / vocabulaire
Integrale risico
en beheers
activiteiten
Van silo’s naar
1. Rumours talk…
8
2. Wie zijn wij
9
GRC kennislunch
10
Governance, Risk & Compliance (GRC)
Samen waarmaken!
Missie Kernwaarden Visie
Alliander wil
transparant,
betrouwbaar,
voorspelbaar blijven
en verantwoord
ondernemen. Dit
geeft vertrouwen en
rust bij haar
stakeholders.
Doel
GRC is een competentie
die Alliander in staat stelt:
haar doelstellingen
(governance) te bereiken,
met onzekerheden en
kansen om te gaan
(risicomanagement &
beheersing) , integer te
handelen (compliance),
met de juiste kwaliteit
(quality assurance) en dit
willen we duurzaam doen
(continuïteit).
Onze professionals
staan midden in de
samenleving. Onze
kernwaarden zijn:
• Sensitief
• Samen
• Slim
• Creatief
• Pragmatisch
• Integer
Het gezamenlijk behalen van
de strategische doelen van
Alliander en Liander, GRC
helpt en ondersteunt hierbij.
GRC medewerkers vertonen
voorbeeldgedrag, zijn zelf
lerend en streven naar
continue verbetering als
“trusted advisor”.
Het doel is om als Center of
Excellence toonaangevend te
zijn op het gebied van GRC
binnen en buiten Alliander.
GRC activiteiten zijn
diep geworteld binnen
Alliander, zijn een
vanzelfsprekendheid en
behoren tot het DNA
van de medewerker.
Ambitie
Ondersteunen
Monitoren
Beleid
Risicomanagement & Beheersing
• Enterprise Risk Management (ERM)
• Credit risk
• Action tracking
• Business Control Framework (BCF)
• Procesmanagement
Quality Assurance
• Portfolio
• Programma
• Projecten
• Processen
Compliance
• Wet- en regelgeving (E, G, overig)
• Beleid (interne regelgeving)
• Integriteit
Continuïteit
• Crisis
• Business Continuity
• Privacy
• Security
• Data-governance
Governance
• In Control Statement • Interne Governance
3. Wat doen wij
12
GRC kennislunch
13
3. Wat doen wij (GRC)
Ondersteunen
Monitoren
Beleid
Risicomanagement & Beheersing
• Enterprise Risk Management (ERM)
• Credit risk
• Action tracking
• Business Control Framework (BCF)
• Procesmanagement
Quality Assurance
• Portfolio
• Programma
• Projecten
• Processen
Compliance
• Wet- en regelgeving (E, G, overig)
• Beleid (interne regelgeving)
• Integriteit
Continuïteit
• Crisis
• Business Continuity
• Privacy
• Security
• Data-governance
Missie Kernwaarden Visie Doel Ambitie
Governance
• In Control Statement • Interne Governance
Governance Risk en Compliance - Producten en diensten Samen waarmaken!
Rollen GRC en klant
Trusted advisor Sparring partner GRC Coach Trainer
Sponsor Partner Zelfbeoordeling Ontwikkeling Klant
Extern
• Belangen
behartigen in
externe gremia
en waar nodig
beïnvloeden.
• Relatie-
management
van toezicht-
houders en
andere
stakeholders
zoals de NEN
commissie en
Netbeheer NL
• Kennis
overbrengen
van buiten
naar binnen en
vice versa.
• Ontwikkelen
van trend-
analyses.
• Relatie-
management
op alle niveaus
• Ophalen van
interne
ontwikkelingen
en verbeter-
punten.
• Signaleren
van best
practices
• Signaleren van
behoefte aan
(nieuwe) GRC
producten en
diensten
Intern Beleid / kaders
coördinatie Governance
Advies en
ondersteunen Kennisdeling
• Opleidingen
en trainingen:
risk, privacy,
audit benefit
tracking,
AO/IC,
integriteit,
portfoliomngt
• Oefeningen
voor o.a.
crisis, privacy
• Kennis-
sessies
(vaktechniek)
• Intranet
publicaties
• Kennis-
platforms
(kwaliteit,
P3M)
• Coachen
• Regierol bij
externe audits
• BCF
implementatie
• Implemen-
tatie van
beleid
• Adviseren en
begeleiden bij
incidenten en
onderzoeken.
• Integriteits-
vraagstukken
• Inventa-
riseren van in-
en externe
risico’s
• Toepassen
van GRC
tooling
• Regierol bij het
ontwikkelen
van beleid en
implementatie-
plannen
• Opstellen van
integrale
auditplanning
• Publiceren van
beleids-
documenten
• (Mede)
opstellen van
BCF- en
normenkaders
• Beheren van
het GRC
raamwerk
• Coördineren
van informatie-
verzoeken van
toezichthouder
.
• Opzetten en
beheren van
de interne
governance:
governance
manual,
functional
guidance en
charters
• Faciliteren
strategische en
tactische
gremia zoals
ARC, IKS,
APSO en het
DGL overleg
• Coördinatie
van het
incontrol
statement
Continue
bewaking
• Interne audits
• (impact)
analyses
• Volwassen-
heidsmetingen
(GRC scan)
• In control
verklaring
• Self-
assesments
• Benefit
tracking
• Quick scans
• Stuurgroep-
evaluaties
• Vertrouwens
scans
Review / Audit
• QA rapporten
• Risico-
rapportages
• Voortgang
rapportages
• Integrale
evaluaties
• Actiontracking
van o.a.
ketenaudits,
QA reviews,
certificerings-
audits
• GRC
dashboard
‘Buiten wereld
naar binnen’
‘Helpende
hand’ ‘Richtlijnen voor
uniformiteit’
‘leerpunten
en acties’ ‘Realiseren
deugdelijk bestuur’
‘Ontwikkeling door
kennisdeling’ ‘Weten wat
er speelt’
‘In korte tijd alle as-
pecten beoordeeld’
Continu Verbeteren
Beleid Ondersteunen Monitoren Omgeving
GRC: governance, risicomanagement & beheersing, compliance, quality assurance, crisismanagement, privacy & security, datagovernance, business continuity
4. Hoe werken wij
16
GRC kennislunch
17
Beleid Organiseren Implementeren Monitoren
Effort
To be
As is
Transformation
to 1st line Development
2nd line
Development
2nd line
Ondersteunen
4. Hoe werken wij
18
Strategisch
Tactisch
Operationeel
FIN
Audit
Stuurgroep Auditcie
BCF
CBL
comittee
Disclosure
Committee DT Liander
EBA
EBA Board
ELT
Jaarverslag
Risico mgnt
Cie (RMC
RvB TRC
Alliander
ACM
TRC
Liander
ACM
DGC
FRO
Public
Affairs
EPM
ASC
DQ_Team
s Kwartaalove
rleg SHM KCD
Complexe Overlegstructuren
31 overleggen (inner circle)
311 deelnemers en
165 individuen (outer circle)
+ onduidelijke overlap
aan onderwerpen OTO
Overige SoDM DPO SBIT
NTA8120
Coordinator
en Ovl DQ-
Team EPM
Crisis
Trainingen Datagovern
ance Leads
FRO
Wet&Rglg
eving
TSC
ASC
BCM
Witte
Vlekken
19
4. Hoe werken wij: voorbeeld Governance
Strategisch
Tactisch
Operationeel
Strategisch
Tactisch
Operationeel
FIN
Audit
Stuurgroep Auditcie
BCF
CBL
comittee
Disclosure
Committee
DT Liander
EBA
EBA Board
ELT
Jaarverslag
Risico mgnt
Cie (RMC
RvB TRC
Alliander
ACM
TRC
Liander
ACM
DGC
FRO
Public
Affairs
EPM
ASC
DQ_Team
s Kwartaalove
rleg SHM
KCD
OTO Overige SoDM DPO
SBIT
NTA8120
Coordinator
en Ovl DQ-
Team
EPM
Crisis
Trainingen Datagovern
ance Leads
FRO
Wet&Rglg
eving
TSC
ASC
BCM
PSO: Privacy & Security
BCO: Business Continuity
DGL: Data Governance
CMO: Crisismanagement
Aandachtsgebieden
20
RICHTEN INRICHTEN VERRICHTEN
ST
RA
TE
GIS
CH
TA
CT
ISC
H
OP
ER
AT
ION
EE
L
FEEDBACKLOOP
4. Hoe werken wij: voorbeeld Governance
Str
ate
gic
2015
Ta
ctica
l O
pe
ratio
na
l
2015
2015
DPO BCO DGL CMO
PSO: Privacy & Security
BCO: Business Continuity
DGL: Data Governance Leads
CMO: Crisis
GRC GRC GRC GRC
MT
DT
RvB
Realisation
TO
Str
ate
gis
ch
2016
Ta
ctisch
O
pe
ratio
ne
el
CPL : Compliance
QA: Quality Assurance
KWA: Quality
RMO: Risk
FIN : Finance
… : ????
2016
2016
201.
201.
RMO QAS CPL KWA FIN …
GRC GRC GRC GRC GRC GRC
201.
Alliander Resilience Committee (ARC)
21
IQS
4. Hoe werken wij: voorbeeld Governance
Str
ate
gic
Ta
ctica
l O
pe
ratio
na
l
22
Alliander
Resilience
Commissie
Doel/relatie:
Adviseren van de RvB
ten aanzien van de aan
continuïteit
gerelateerde risico’s
Deelnemers:
CFO (vrz.), COO, dir.
Klant & Markt, dir.
Asset Management,
dir. GRC
Wat:
Bijv.: Bespreken
dashboard, adviseren
m.b.t. actuele
thematiek (bijv. crisis
beleid)
Risico
Management
Commissie
Doel/relatie: adviseren
van de RvB ten
aanzien van de
werking van risk
management en
compliance
Deelnemers:
CFO (vrz.), mngr.
Corporate Control,
General Counsel, dir.
Internal Audit, mngr
Risk Management,
mngr Compliance
Wat:
Bijv.: Voorbespreken
risico mngt rapport,
rapport action traking,
voortgang BCF,
voortgang In Control
status
Integraal
Kwaliteits
Systeem
Doel/relatie:
bewaken van de
integrale
assetmanagement
prestaties en sturing
over de continue
verbetering hiervan
Deelnemers:
Dir. AM (vrz.), Dir.
Operatie, Dir. Liandon
en dir. GRC
Wat:
Bijv.: Bespreken
actuele thematiek (bijv.
kwaliteitsbeleid),
bewaken niveau NTA
8120
Legenda:
Risk & Beheersing
Compliance
Continuïteit (crisesbeheersing, BCM, Privacy, Security, Data Governance)
Quality Assurance (Running & Changing the business)
G R C
Internal Audit
Audit
Commissie
Doel/relatie:
voorbereiden
besluitvorming RvC ten
aanzien van de
werking van de
performance cyclus en
risk management
Deelnemers:
RvC (3 leden), CFO,
mngr. Corporate
Control, dir. Internal
Audit, dir. GRC
Wat:
Bijv.: performance en
risico's m.b.t.
ondernemingsactiviteit
en, opzet/werking
interne beheersings-
systemen, naleving
van de wet- en
regelgeving
4. Hoe werken wij: voorbeeld Governance
4. Samen, slim (slank) overleg Hoe organiseert GRC relatiemanagement?
Strategisch
Managerial
Operational
23
Strategisch
Managerial
Operational
Director GRC Directeur BO
Relatiemgr GRC* MT
Aanspreekpunten
kwaliteit en risico
GRC-experts
Kwaliteitscoördinator/
-portefeuillehouder
Coördinator
risicomanagement
Experts
Min. 1x1/2jaar
Min. 1xkwartaal
Min. 1xkwartaal
Ad hoc/op verzoek
* Relatiemanager (MT-lid GRC) zorgt voor afstemming binnen GRC van alle initiatieven rondom één BO
GRC BO
Intranet
12GRC
Platforms
Evaluaties
KTO
1. Fragmented &
Inconsistent
Proactive
Inte
gra
ted
Behavior Passive
Eff
ec
tive
ne
ss
F
rag
me
nte
d
Maturity model GRC
2. Organized & Reactively
3. Optimized & Proactive
4. Integrated & Rooted
4. Hoe werken wij
24
Risico Gericht
Ondernemen
SAMEN
IN
CONTROL CRISIS
BCM
26
bepalen
context vaststellen
doelen
communiceren
over (interne)
beheersing
inventariseren
onzekerheden
vergelijken
met risico
bereidheid
uitvoeren
van geplande
toetsing
communiceren
over risico
management
treffen
van
maatregelen
plannen
van toetsing
nakomen
van afspraken
over bijsturing
bepalen
waarschijnlijk-
heid, snelheid
en impact
leren
van
ervaringen
SAMEN
IN
CONTROL
Legenda:
Risk
Compliance
Continuïteit
Quality Assurance
G R C
‘met de blik van’:
• Compliance
• Privacy
• Security
• Kwaliteit
• Risk (algemeen)
• Financial Report
• Etc.
Action Tracking
rapport, SAP
Issue Mngt
Alliander Risico rapport
Performance cycle (Corp. Control)
Audit punten,
ML, etc.
AO / IC, processenhuis,
BCF
Koers en Kalender,
Beleid, KPI’s,
(keten)processen
Integraal
auditplan
ACM, SodM,
IA, Deloitte/PwC
Management
Review
Governance,
Integriteit
27
• Met talent win je wedstrijden, maar met teamwork en intelligentie win je kampioenschappen (Michael Jordan)
• We zijn geen team omdat we samenwerken, we zijn een team omdat we elkaar respecteren, vertrouwen en voor elkaar zorgen (SR)
Samen is het nieuwe ik
Questions
Sander Reinderink: Director Governance,
Risk & Compliance
Mobiel: +31621595345
E-mail: [email protected]
Thank you for
your attention!
Vragen
https://www.deitauditor.nl/business-en-it/governance-risk-compliance-samen-naar-de-top