Förberedelser inför GRC-systemimplementering
-
Upload
transcendent-group -
Category
Leadership & Management
-
view
206 -
download
0
Transcript of Förberedelser inför GRC-systemimplementering
Agenda
• Generellt
• Förberedelseområden:– Ramverk
– Organisation
– Processer
– GRC-arbetsflöden
– Risker och riskkategorier
– Kontroller och kontrollmål
– Ägarskap och roller
– System och dataflöden
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Integrerad
rapportering
Ett GRC-system
för hantering av
information
Integrerad GRC information
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Integrerat GRC-system
RapportRapport
Rapport
Ett gemensamt ramverk och system som återanvänder information för att sedan kunna
rapportera samma information ur olika synvinklar för olika ändamål.
Informations-
insamling sker
en gång
Ledning Staber IS/ITAvdelning
A
Avdelning
B
Avdelning
C
Intern kontroll
Internrevision
Risk managament
Compliance
Risker
Kontrollbeskrivningar
Incidenter
Anmärkningar/brister
Förbättringsområden
Åtgärdsplaner
Processflöden
Legala enheter
Intern kontroll
Compliance
Förutsätter gemensamt språk för GRC
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Internrevision
Risk management
Förutsättningarna omfattar primärt
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Ramverk
Organisation
Årscykel, målformulering, styrande dokument, definitioner, värderingsskala,
förväntad rapportering.
Legal, funktionell, geografisk struktur och hierarkier.
ProcesserBruttoprocesslista med processer och sub-processer som skapar en
hanterbar helhetsbild.
Risker och
riskkategorier
Riskuniversum med generiska risker uppdelat i kategorier relevanta för
företaget.
Ägarskap och
roller
Roller och ägarskap i GRC-arbetet samt användargrupper i GRC-
processerna.
System och
dataflöden
Grundläggande förståelse för system och dataflöden samt dess koppling till
risker, processer och organisationsstruktur.
Kontroller och
kontrollmålKontroller kopplade till risker, processer och system.
GRC- ArbetsflödenAktiviteter och processer som säkerställer företagets
GRC-arbete.
Ramverk
• Årscykel med definierade och tidsbestämda GRC-aktiviteter för
dokumentera, mäta, följa upp och rapportera finns på plats.
• GRC-ramverk och aktiviteter baseras på policys och riktlinjer som är
avstämda mot varandra samt att kontrollfunktionerna har samsyn och
är koordinerade.
• Definitioner för risk, kontroll, processer, ägarskap, brister, åtgärder,
etcetera används konsekvent av alla funktioner inom företaget.
• En gemensam värderingsskala används konsekvent av alla funktioner
inom företaget.
• Företaget har explicit målsättning för GRC samt vilken information
som ska kunna rapporteras, i vilket format och vid vilka tillfällen och
tidpunkter.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ramverk
Organisation
• Företaget har en klar definierad organisationsstruktur med
konsekvent använd benämning och hierarki. Organisations-
strukturen finns dokumenterad avseende: legala enheter,
funktioner/divisioner/avdelningar samt geografisk närvaro.
• Företaget har tydligt definierat var och på vilka nivåer specifik
GRC-information ska kunna aggregeras och rapporteras inom
organisationen.
• Pågående projekt samt externa intressenter (exempelvis
väsentliga kunder och leverantörer) är kartlagda och tydligt
kopplade till organisationsstruktur, processer och relevanta
risker.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Organisation
ProcesserProcesser
• Företaget har en definierad bruttoprocesslista med processer och sub-processer vars process-hierarki användas konsekvent av hela organisationen.
• Inom företaget finns det samsyn på:
– Vilka (process)steg processerna innehåller.
– Var processerna börjar och var de slutar.
– Vem som är processägare och är därmed ansvarig för processen.
– Hur processer relaterar till organisationsstrukturen (det vill säga vilka organisatoriska delar ska se och verka inom en process).
• Processer på nivå 1 och 2 samt relationer till organisationsstrukturen är dokumenterad.
• Styrande dokument, IT-system, risker och kontroller kan tydligt kopplas till processerna.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
GRC-Arbetsflöden
• Företaget har tydligt definierade aktiviteter och processer som säkerställer företagets GRC-arbete.
• Inom företaget finns det samsyn om vem gör vad med vilken målsättning, allt ur ett GRC-perspektiv.
• Exempelvis incidenthantering där arbetsflödet besvarar:
– vem får registrera en incident och vem utför det?
– vem granskar, kategoriserar och godkänner incidenten och inom vilken tidsram?
– vem är ansvarig för incidenten och upprättar åtgärdsplan?
– hur sätts deadline och vem följer upp på den?
– vem åtgärdar incidenten och när anses den vara fullt åtgärdad?
– vad händer om deadline inte hålls?
– hur ska incidenten rapporteras och när?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
GRC-
Arbetsflöden
Risker och riskkategorier
• Företaget har ett konsekvent definierat riskuniversum med tydliga
riskkategorier.
• Riskkategorierna är definierade på så sätt att de kan tydligt mappas mot
existerande ramverk - exempelvis Basel-regelverkets Event Types för
operationell risk.
• Inom riskkategorierna har företaget tydligt definierade generiska risker
som minsta nivå med krav på hantering i hela organisationen.
• Specifika risker relevanta för processer, funktioner, legala enheter
etcetera kan läggas till förutsatt att de kan mappas mot fördefinierade
riskkategorier.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Risker och
riskkategorier
Kontroller och kontrollmål
• Inom företaget existerar förväntade kontroller och kontrollmål
kopplade till risker, processer och system.
• Kontrollerna är dokumenterade och dess effektivitet följs upp och
rapporteras regelbundet.
• Kontroller och kontrollmål har definierats för hantera företagets risker
inom:
– operationell effektivitet
– regelefterlevnad
– finansiell rapportering
– IT.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kontroller och
kontrollmål
Ägarskap och roller
• Roller och ägarskap är explicit definierade i styrande dokument.
• Företaget har tydliggjort ägarskapet för minst processer, risker,
kontroller och system.
• Företaget har tydliggjort GRC-användargrupper – detta är inte roller
utan grupperingar av användare i ett framtida GRC-system.
Exempelvis:
– Avdelningschefer
– Incidentrapportörer
– Risk manager
– Lokal compliance-samordnare
– Internkontroll-ansvarig per avdelning
– Internrevisionsgranskare
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ägarskap och
roller
System och dataflöden
• Företaget har en tydlig dokumenterad systemflora och dataflöden
kopplade till organisationsstruktur, processer och risker.
• Applikationer har samma namn inom organisationen, ägarskap är
definierat samt att applikationens användningsområde är tydligt
definierat.
• Väsentlig och affärskritisk data och dataflöden är identifierade.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
System och
dataflöden