Onze visie op control
Werken aan de balans tussen hard en soft controls
Van de business control mag worden verwacht dat hij of zij alles doet om de organisatie in control te krijgen of te houden. Met data-analyses zijn hard controls gelukkig steeds beter meetbaar voor organisaties. Wil je echt proactief kunnen handelen dan moeten ook de soft controls beter inzichtelijk zijn.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
Stappen op weg naar
meer inzicht en control
Stap 1
Analyseer de belangrijkste risico’s die de strategie of de license to operate van de organisatie in gevaar brengen.
Stap 2
Analyseer de oorzaken van deze key risks op basis van historische data, fouten en analyses.
Stap 3
Stel prioriteiten aan de belangrijkste oorzaken en benoem controls en waarschuwingssignalen (key risk indicators).
Stappen naar in control statement
Soft controls zijn een essentieel onderdeel binnen control aangezien 80% van de risico’s ontstaat als gevolg van menselijke fouten. Dit onderdeel binnen risicomanagement gaat dus om het risicobewustzijn van organisaties.
Soft controls zijn te relateren aan houding en gedrag van medewerkers binnen een organisatie. Het aanspreken, de alertheid en het voorbeeldgedrag zijn hierbij belangrijke onderdelen. Door de focus op soft controls te leggen wordt het realiseren en behalen van doelstellingen gestimuleerd. Ook bevordert dit het managen van risico’s aangezien soft controls waardevolle informatie geven waardoor er sneller proactief kan worden bijgestuurd. Het gesprek aangaan over risico’s is ook al een belangrijke control.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Combineer hard en soft controls
De controlemix wordt gebouwd door een combinatie te vinden tussen hard en soft controls. Met NARIS Next is het mogelijk om deze verschillende informatiebronnen met elkaar te combineren en te presenteren in 1 overzichtelijk dashboard. Informatie ophalen wordt vervolgens gedaan door het inrichten van een CRSA, de incidenten app of de risk workshop.
Bouw of importeer control framework
Bespaar tijd op de inrichting/ ontwerp van je audit door gebruik te maken van standaard templates op basis van normen (onder andere ISO31000, 27001/27002/90001, NEST)), frameworks (NOREA) en wet- en regelgeving (AVG, BIO) . Met NARIS Next haak je aan bij wat andere organisaties al uitgewerkt hebben zodat jij je aandacht kunt richten op het specifiek maken van controls.
Vergroot risicobewustzijn
Om te checken of de kern processen binnen een organisatie in control en zijn de maatregelen (processen) effectief ingericht zijn is het belangrijk om bewijslast te verzamelen. Deze bewijslast is eenvoudig op te halen met NARIS Next waarmee periodiek vragenlijsten of checklists uitgezet worden naar je organisatie. Hierdoor blijft er meer tijd over voor data-analyse en voor organisatieonderdelen die minder in control zijn.
Het Watermeloen Model
Is uw controlomgeving alleen groen van buiten?
Inspiratie rondom control.
Di. 3 dec 2024 – Three Lines Model: Hoe volwassen wil je zijn of worden?
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie. Wat zijn randvoorwaarden
Wo. 4 dec 2024 – Naris Intervisie Zoetermeer: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Kijk bijvoorbeeld
Nieuwe verduidelijking rondom de verklaring omtrent risicobeheersing (VOR)
Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA UPDATE 20 november 2024: Het IIA heeft de VOR nog
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Kim:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
