Begrippen GRC en Risicomanagement

De praktijk leert dat jargon vraagtekens oproept. Wij hebben daarom een lijst met risico management begrippen opgesteld. Heb je meer vragen rondom risico management? Neem dan contact met ons op!

Wat is GRC software? Wat is een GRC tool?

GRC software is de verzameling van software die Governance, Risk en Compliance (GRC) activiteiten ondersteund. GRC is de integrale verzameling van capaciteiten die een organisatie in staat stelt om met vertrouwen doelstellingen te behalen, onzekerheid te adresseren en integer te handelen.

Moderne GRC software ondersteunt naast de GRC activiteiten ook de mogelijkheid om een audit uit te voeren, incidenten af te handelen en mitigatie strategieën te ondersteunen zoals door middel van verzekeringen en contracten met derden. Een leverancier van GRC software dient uiteraard zelf ook gecertificeerd zijn zoals de ISO 27001 norm.

Actiehouder
De persoon of organisatie(onderdeel), die is aangewezen om de risicobeheersmaatregel uit te voeren onder verantwoordelijkheid van de risicobeheerder.

Actor
Zie actiehouder

Beheerder
Zie risico-beheerder

Beheersmaatregel
Een activiteit die zich op enige wijze richt op het elimineren, vermijden of verkleinen van de oorzaak of het gevolg van een ongewenste gebeurtenis >> zie NARIS® Risicomanagement

Bruto risico
Risico zonder beheersmaatregelen

Correctieve maatregel
Een maatregel die als doel heeft om na het optreden van een ongewenste gebeurtenis alsnog de beoogde doelstellingen gerealiseerd kunnen worden

Endogeen risico
Een risico waarvan de beïnvloedbaarheid en verantwoordelijkheid binnen de eigen organisatie ligt (gezien vanaf degene die er over rapporteert)

Ernst
Zie gevolg

Eigenaar
Zie risico-eigenaar

ERM model of risicomanagement model
Een standaard risicomanagement model. Bijvoorbeeld; COSO Enterprise Risk Management (integraal), ISO 31000 richtlijnen (integraal), RISMAN (projecten), Management of Risk (M_o_R)

Exogeen risico
Een risico waarvan de beïnvloedbaarheid en verantwoordelijkheid buiten de eigen organisatie ligt (gezien vanaf degene die er over rapporteert).

Facilitator
Een persoon die risicobijeenkomsten begeleidt. Procesbegeleider

Gebeurtenis
Een voorval dat invloed heeft of kan hebben op het behalen van de beoogde doelstellingen.

Gevolg
Het effect dat voortvloeit uit het optreden van een risico.

GRC framework
Governance risk en compliance is een model waarbij de risico’s gekoppeld worden aan de governance en compliance activiteiten van de organisatie. Daardoor wordt het beter geintegreerd in de organisatie.

Initieel risico
De inschatting van het risico zonder de effecten van beheersmaatregelen.

Invalshoeken
Perspectieven om op verschillende manieren naar een project te kijken als hulpmiddel bij de identificatie van risico’s.

Impact
Zie gevolg

Incident
Zie gebeurtenis

Interne beheersing
Processen die erop gericht zijn redelijke zekerheid te verschaffen over het realiseren van doelstellingen.

Kans
De mogelijkheid dat een gebeurtenis zich voordoet uitgedrukt in een waarde tussen 0 en 1.

Kwalitatieve risicoanalyse
Een risicoanalyse waarbij de risico’s op basis van een kwalitatieve beoordeling in volgorde van belangrijkheid worden gezet.

Kwantitatieve risicoanalyse
Een risicoanalyse waarbij de omvang van de kans en van het gevolg van de risico’s en onzekerheden kwantitatief, dus in getallen, worden ingeschat.

Mitigerende maatregel

Zie beheersmaatregel

Netto risico
Risico inclusief beheersmaatregel, ook wel rest risico genoemd

Ongewenste gebeurtenis
Een voorval dat negatieve invloed heeft of kan hebben op het behalen van de beoogde doelstellingen.

Ongewenste topgebeurtenis
Een voorval dat in de risicoanalyse wordt gehanteerd als de meest ongewenste gebeurtenis.

Onzekerheid
Onbekendheid met de feitelijke en/of toekomstige situatie.

Operationeel Risico management
Operationeel risico betreft het risico dat ontstaat als gevolg van het falen of tekortschieten van interne processen, menselijke en technische tekortkomingen, en onverwachte externe gebeurtenissen. De risico’s zijn bekend en vooral belangrijk of de beheersmaatregelen (controls) daadwerkelijk operationeel zijn.

Organisatie

  • Een georganiseerde groep activiteiten, middelen en mensen die toewerken naar gezamenlijke doelen. Stakeholders
  • Groepen en personen wier belangen door de organisatie worden behartigd of beïnvloed.
  • Bestuurslichaam – Degenen die aan stakeholders verantwoording afleggen voor het succes van de organisatie.
  • Management – De personen, teams en ondersteunende functies die zijn aangewezen om producten en/of diensten te leveren aan de klanten van de organisatie.
  • Internal audit – Personen die onafhankelijk van het management opereren om assurance te verschaffen over en inzicht te geven in de toereikendheid en effectiviteit van governance en risicomanagement (inclusief interne beheersing).

Oorzaak
Een gebeurtenis of situatie die kan leiden tot het optreden van een ongewenste gebeurtenis.

Preventieve maatregel
Een maatregel die als doel heeft om het risico vooraf te elimineren, vermijden of verkleinen. Zie ook beheersmaatregel.

 

Quikscan
Een globale risicoanalyse gericht op het verkrijgen van een globaal beeld van de risico’s. >> zie NARIS® Self-assessment 

Restrisico
De inschatting van het risico met medeneming van de effecten van beheersmaatregelen.

Risico

Een onzekere gebeurtenis die kan leiden tot het afwijken van de gestelde doelstellingen en eisen. De zwaarte van het risico wordt bepaald door een combinatie van de waarschijnlijkheid dat een gebeurtenis plaatsvindt en de impact ervan op doelstellingen en eisen.

Risicoallocatie
De verdeling over betrokken partijen van de verantwoordelijkheid van het beheer van het risico en voor het dragen van de gevolgen indien een  risico optreedt.

Risicoanalyse
Systematische inventarisatie en analyse gericht op het verkrijgen van de risico’s die kunnen leiden tot een vooraf vastgestelde ongewenste gebeurtenis.

Risk appetite / risicobereidheid
Uitspraak van het bestuur -na een risicoanalyse- welke risico’s het bereid is te nemen in de realisatie van haar strategische doelstellingen. Risk appetite helpt de organisatie in het richten van de organisatie, mensen en processen op het ontwerpen van de infrastructuur die nodig is om effectief op risico’s te reageren en deze te monitoren.

Risicobeheerder
De persoon die operationeel verantwoordelijk is voor het risico. De risicobeheerder stuurt de actiehouder aan en rapporteert aan de risico-eigenaar.

Risicobeschrijving
Een beschrijving van een risico waarbij de bijzondere gebeurtenis of normale onzekerheid, de oorzaak ervan en het gevolg ervan zijn opgenomen.

Risicocategorieën
Zie invalshoeken. Ook wel soorten risico’s/risicobrillen genoemd 

Risicocriteria
Referentiekader aan de hand waarvan de belangrijkheid van een risico wordt beoordeeld.

Risicodatabase
Een hulpmiddel ten behoeve van risicomanagement waarin een overzicht wordt bijgehouden van ten minste de risico’s, de status van de risico’s en de beheersmaatregelen

Risicodrager
De persoon of organisatie(onderdeel), aan wie het risico gealloceerd is.

Risico-eigenaar
De persoon die eindverantwoordelijk is voor het risico en er over rapporteert.

Risico-evaluatie
Proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is.

Risicohouding
Benadering van een organisatie bij de beoordeling en het uiteindelijk nastreven, behouden, nemen of vermijden van risico’s.

Risico-identificatie
Proces waarmee risico’s worden opgespoord, herkend en beschreven.

Risicokaart
Weergave van risico’s in kans * impact grafiek. Ook wel risk map / heat map genoemd.

Risicomanagement
Het geheel van activiteiten en maatregelen gericht op het expliciet en systematisch omgaan met en het beheersen van risico’s.

Risicomanagementbeleid

Verklaring van de algemene bedoeling en richting van een organisatie met betrekking tot risicomanagement.

Risicomanagementproces
Systematische toepassing van beleidslijnen, procedures en werkwijzen op de activiteiten met betrekking tot communicatie, overleg, vaststelling  van de context, en het identificeren, analyseren, evalueren, behandelen, monitoren en beoordelen van risico’s.

Risicomanager
Een persoon in een projectteam die het risicomanagement-proces faciliteert, bewaakt en continueert onder verantwoordelijkheid van de eindverantwoordelijke van het project.

Risicoprofiel
Een maat (kwalitatief of kwantitatief) voor het geheel aan risico’s van het betreffende project, proces, programma, etc.

Risico tolerantie
Het risico dat de organisatie kan en wil dragen. Vooraf wordt goedkeuring gegeven op de drempelniveaus van blootstelling aan risico’s. Bij overschrijding dient er bijvoorbeeld het naar het management ge-escaleerd te worden.

Risicoverantwoordelijke
Zie risicodrager

Three Lines Model
Het model dat eerder bekend stond onder de naam de ‘Three Lines of Defense’ of ‘Three Lines of Defence’.