Onze visie op Risk Self Assessment
Self Assessment als continue thermometer
Het uitvoeren van risk self assessments (CRSA/ RSA) is een ideale manier om snel een beeld te krijgen van risico’s, controls en de status t.a.v. normen en wetten. Dit geldt voor de interne organisatie, maar ook voor alle partijen waarmee samengewerkt wordt. Door continu de spreekwoordelijke temperatuur te meten kan kostbare tijd besteed worden aan die zaken die er toe doen.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
De drie stappen van een self assessment
Vragenlijst opstellen
Een doeltreffende vragenlijst ontstaat door zaken als een norm, control of risico te vertalen naar een eenduidige set vragen. Het doel is daarbij dat deze vragenlijst breed kan worden uitgezet; zowel binnen als buiten de organisatie.
Self assessment uitzetten
In de ideale wereld worden vragenlijsten digitaal verspreidt onder de beoogde doelgroep. Respondenten kunnen vervolgens op een eenvoudige wijze een vragenlijst beantwoorden. Op een moment en locatie die voor hen het beste past.
Resultaten analyseren en opvolgen
De verkregen antwoorden worden geaggregeerd en gescoord. Met dit overzicht is de organisatie vervolgens in staat om de self assessments te analyseren, risico’s te prioriteren en een actieplan te definiëren.
Krijg zicht op risico’s, controls en compliance
Voldoen afdelingen, leveranciers en partners aan de GRC-kaders waaraan de organisatie zich committeert? Die vraag staat telkens centraal bij het uitvoeren van risk self assessments. Het is daarom een doeltreffend middel dat makkelijk, schaalbaar en frequent ingezet kan worden. Het helpt – optimaal en objectiveerbaar – zicht te krijgen op risico’s, controls en compliance. Door één set van vragen uit te zetten bij verschillende afdelingen, leveranciers of partners ontstaat daardoor een eenduidig beeld. De resultaten kunnen vervolgens worden afgezet tegen de meetlat van de organisatie. Hiermee wordt prioriteit en focus bepaald voor de acties en opvolging die noodzakelijk is om in control te zijn én te blijven. Door het repeterende karakter ontstaat een boeiend inzicht in de wijze waarop risicoprofielen zich in de tijd ontwikkelen.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Respondent-vriendelijke vragenlijsten opstellen
De kwaliteit van een self assessment kan aanzienlijk verhoogd worden wanneer gebruiks-vriendelijke vragenlijsten als basis worden gebruikt. Hulpteksten, duidelijke verwachtingen en voortgangsindicatie zijn manieren om dit te bereiken. NARIS GRC maakt het mogelijk om voor respondenten GRC kaders uit te zetten en te beantwoorden. Deadlines, tussentijds opslaan en notificaties begeleiden de respondent om op tijd de vragen te beantwoorden en het proces succesvol af te ronden
Herbruikbare vragenlijst met één druk op de knop uitzetten
De meerwaarde van self assessments wordt vergroot wanneer deze frequent worden ingezet. Herbruikbare vragenlijsten maken het mogelijk om met één druk op de knop een self assessment te herhalen. Het gebruik van GRC software geeft daarnaast inzicht in de aanwezig vragenlijsten en NARIS GRC gaat zelfs een stap verder door een basis set ter beschikking te stellen. Of het nu gaat om een DPIA of een uitvraag aan verbonden partijen; dergelijke self assessments hoeven niet telkens opnieuw uitgewerkt te worden. Hierdoor wordt het eenvoudig met een bepaalde frequentie dezelfde vragenlijst uit te zetten en de resultaten (met voorgaande momenten) te vergelijken.
Direct inzicht in resultaten
Visuele rapportages helpen om diverse inzichten te creëren en in één oogopslag perspectieven te krijgen in de mate waarin voldaan wordt aan de GRC kaders. Niet alleen het verbeterpotentieel, maar ook de positieve resultaten zorgen voor een bijdrage aan de risico en compliance cultuur. Het onderbrengen van self assessments in professionele GRC software helpt om een totaalbeeld van de organisatie te visualiseren. Daarnaast kan ingezoomd worden op afdelingen, teams en externe partijen. Verder zijn benchmarks en vergelijkingen beschikbaar om zo de organisatie te helpen verbeteringen door te voeren of maatregelen te nemen. Zo worden de GRC kaders continu bewaakt en verbeterd.
Inspiratie rondom self assessments.
Di. 3 dec 2024 – Three Lines Model: Hoe volwassen wil je zijn of worden?
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie. Wat zijn randvoorwaarden
Wo. 4 dec 2024 – Naris Intervisie Zoetermeer: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Kijk bijvoorbeeld
Nieuwe verduidelijking rondom de verklaring omtrent risicobeheersing (VOR)
Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA UPDATE 20 november 2024: Het IIA heeft de VOR nog
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Kim:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
