Förberedelser inför

GRC-system-

implementering

Alex Hofmann och Claes Holmberg

20 maj 2015

Agenda

• Generellt

• Förberedelseområden:– Ramverk

– Organisation

– Processer

– GRC-arbetsflöden

– Risker och riskkategorier

– Kontroller och kontrollmål

– Ägarskap och roller

– System och dataflöden

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Generellt

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Integrerad

rapportering

Ett GRC-system

för hantering av

information

Integrerad GRC information

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Integrerat GRC-system

RapportRapport

Rapport

Ett gemensamt ramverk och system som återanvänder information för att sedan kunna

rapportera samma information ur olika synvinklar för olika ändamål.

Informations-

insamling sker

en gång

Ledning Staber IS/ITAvdelning

A

Avdelning

B

Avdelning

C

Intern kontroll

Internrevision

Risk managament

Compliance

Risker

Kontrollbeskrivningar

Incidenter

Anmärkningar/brister

Förbättringsområden

Åtgärdsplaner

Processflöden

Legala enheter

Intern kontroll

Compliance

Förutsätter gemensamt språk för GRC

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Internrevision

Risk management

Förutsättningarna omfattar primärt

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Ramverk

Organisation

Årscykel, målformulering, styrande dokument, definitioner, värderingsskala,

förväntad rapportering.

Legal, funktionell, geografisk struktur och hierarkier.

ProcesserBruttoprocesslista med processer och sub-processer som skapar en

hanterbar helhetsbild.

Risker och

riskkategorier

Riskuniversum med generiska risker uppdelat i kategorier relevanta för

företaget.

Ägarskap och

roller

Roller och ägarskap i GRC-arbetet samt användargrupper i GRC-

processerna.

System och

dataflöden

Grundläggande förståelse för system och dataflöden samt dess koppling till

risker, processer och organisationsstruktur.

Kontroller och

kontrollmålKontroller kopplade till risker, processer och system.

GRC- ArbetsflödenAktiviteter och processer som säkerställer företagets

GRC-arbete.

Förberedelseområden

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Ramverk

• Årscykel med definierade och tidsbestämda GRC-aktiviteter för

dokumentera, mäta, följa upp och rapportera finns på plats.

• GRC-ramverk och aktiviteter baseras på policys och riktlinjer som är

avstämda mot varandra samt att kontrollfunktionerna har samsyn och

är koordinerade.

• Definitioner för risk, kontroll, processer, ägarskap, brister, åtgärder,

etcetera används konsekvent av alla funktioner inom företaget.

• En gemensam värderingsskala används konsekvent av alla funktioner

inom företaget.

• Företaget har explicit målsättning för GRC samt vilken information

som ska kunna rapporteras, i vilket format och vid vilka tillfällen och

tidpunkter.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Ramverk

Organisation

• Företaget har en klar definierad organisationsstruktur med

konsekvent använd benämning och hierarki. Organisations-

strukturen finns dokumenterad avseende: legala enheter,

funktioner/divisioner/avdelningar samt geografisk närvaro.

• Företaget har tydligt definierat var och på vilka nivåer specifik

GRC-information ska kunna aggregeras och rapporteras inom

organisationen.

• Pågående projekt samt externa intressenter (exempelvis

väsentliga kunder och leverantörer) är kartlagda och tydligt

kopplade till organisationsstruktur, processer och relevanta

risker.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Organisation

ProcesserProcesser

• Företaget har en definierad bruttoprocesslista med processer och sub-processer vars process-hierarki användas konsekvent av hela organisationen.

• Inom företaget finns det samsyn på:

– Vilka (process)steg processerna innehåller.

– Var processerna börjar och var de slutar.

– Vem som är processägare och är därmed ansvarig för processen.

– Hur processer relaterar till organisationsstrukturen (det vill säga vilka organisatoriska delar ska se och verka inom en process).

• Processer på nivå 1 och 2 samt relationer till organisationsstrukturen är dokumenterad.

• Styrande dokument, IT-system, risker och kontroller kan tydligt kopplas till processerna.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

GRC-Arbetsflöden

• Företaget har tydligt definierade aktiviteter och processer som säkerställer företagets GRC-arbete.

• Inom företaget finns det samsyn om vem gör vad med vilken målsättning, allt ur ett GRC-perspektiv.

• Exempelvis incidenthantering där arbetsflödet besvarar:

– vem får registrera en incident och vem utför det?

– vem granskar, kategoriserar och godkänner incidenten och inom vilken tidsram?

– vem är ansvarig för incidenten och upprättar åtgärdsplan?

– hur sätts deadline och vem följer upp på den?

– vem åtgärdar incidenten och när anses den vara fullt åtgärdad?

– vad händer om deadline inte hålls?

– hur ska incidenten rapporteras och när?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

GRC-

Arbetsflöden

Risker och riskkategorier

• Företaget har ett konsekvent definierat riskuniversum med tydliga

riskkategorier.

• Riskkategorierna är definierade på så sätt att de kan tydligt mappas mot

existerande ramverk - exempelvis Basel-regelverkets Event Types för

operationell risk.

• Inom riskkategorierna har företaget tydligt definierade generiska risker

som minsta nivå med krav på hantering i hela organisationen.

• Specifika risker relevanta för processer, funktioner, legala enheter

etcetera kan läggas till förutsatt att de kan mappas mot fördefinierade

riskkategorier.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Risker och

riskkategorier

Kontroller och kontrollmål

• Inom företaget existerar förväntade kontroller och kontrollmål

kopplade till risker, processer och system.

• Kontrollerna är dokumenterade och dess effektivitet följs upp och

rapporteras regelbundet.

• Kontroller och kontrollmål har definierats för hantera företagets risker

inom:

– operationell effektivitet

– regelefterlevnad

– finansiell rapportering

– IT.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Kontroller och

kontrollmål

Ägarskap och roller

• Roller och ägarskap är explicit definierade i styrande dokument.

• Företaget har tydliggjort ägarskapet för minst processer, risker,

kontroller och system.

• Företaget har tydliggjort GRC-användargrupper – detta är inte roller

utan grupperingar av användare i ett framtida GRC-system.

Exempelvis:

– Avdelningschefer

– Incidentrapportörer

– Risk manager

– Lokal compliance-samordnare

– Internkontroll-ansvarig per avdelning

– Internrevisionsgranskare

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Ägarskap och

roller

System och dataflöden

• Företaget har en tydlig dokumenterad systemflora och dataflöden

kopplade till organisationsstruktur, processer och risker.

• Applikationer har samma namn inom organisationen, ägarskap är

definierat samt att applikationens användningsområde är tydligt

definierat.

• Väsentlig och affärskritisk data och dataflöden är identifierade.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

System och

dataflöden

Frågor?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

www.transcendentgroup.com