Onze visie op compliance
Rule based of risk based
In het compliance wespennest zijn sommige regels dubbel of zelfs tegenstrijdig. Met risicosturing en nauwkeurige administratie heb je overzicht en controle over de risico’s binnen jouw organisatie die ook nog eens stuurt op naleving.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
Stappen in juridisch risicomanagement
Stap 1
Bepaal de juridische scope: welke wetgeving is van belang, welke komt eraan, welke type controls
Stap 2
Risicoanalyse: inventariseer de belangrijkste juridische risico’s en schat de kans en impact in
Stap 3
Bepaal de risicobereidheid om te bepalen welke risico’s acceptabel zijn en welke niet
Stap 4
Beheersing: tref aanvullende beheersmaatregelen waar nodig
Stap 5
Monitor bestaande en nieuwe beheersmaatregelen
Een nieuwe cultuur rondom risk & compliance
De bedrijfsjuristen zijn steeds belangrijker om de license to operate van de organisatie te bewaken. Het probleem hierbij is dat steeds meer toezichthouders bewijsmateriaal willen zien dat men zich aan de regelgeving houdt. Het managen van al die compliancy kost veel tijd waardoor er al snel onvoldoende capaciteit beschikbaar is om 100% compliant te zijn. Een risicogestuurde benadering (zoals de ISO 19600 omschrijft) houdt het overzichtelijk door de focus op de key risks en controls te leggen. Dit is de basis voor bewustwording en een nieuwe cultuur rondom risk & compliance.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Maak of importeer een compliance Framework
Comply or explain. Dit betekent dat je de naleving van wetgeving zoals de AVG, Wwft, ISO-27001, ISO27002, BIO, Norea, ISMS, ISAE 3402, SIRA, moet kunnen aantonen. Veel wetgeving kan worden vertaald naar processen, risico’s en bijhorende controls. Met NARIS GRC bouw of importeer je risk & control frameworks die makkelijk uit te vragen zijn bij de verschillende organisatieonderdelen.
Watermeloen Model als basis voor risk control >
Bouw een juridisch risicoregister
Een claim, een boete, een fout in een contract. Dit zijn allemaal risico’s die uiteindelijk juridische gevolgen hebben. Met NARIS GRC bouw je een juridisch risicoregister waar je per risico een dossier aanlegt, waarbij je alles gemakkelijk terug kunt vinden. Vanuit het register kun je gemakkelijk bijv. alle risico’s vanuit de AVG inladen en uitzetten naar je organisatie.
Start met een juridische workflow
Wetgeving moet geïmplementeerd worden binnen de organisatie. Dit geldt voor onderzoek, het ontwerp van een Risk & Compliance framework, maar ook de implementatie van trainingen en de opvolging van aanbevelingen. NARIS GRC helpt organisaties door bedrijfsinformatie te verzamelen waarmee risicoanalyses en audits uitgevoerd kunnen worden. Hiermee kan vervolgens gemakkelijk de opvolging worden gemonitord.
Inspiratie rondom compliance.
Naris introduceert de functie Verzekeringen in haar platform
Naris introduceert binnenkort de functie Verzekeringen in haar GRC-platform NEXT. Met Naris Verzekeringen voegen wij de laatste nog ontbrekende NARIS
Do. 12 feb 2026 – Volwassenheidsmodel Three Lines Model
Een ‘vervolg’ webinar op het nieuwe Three Lines Model voor de overheids- en non-profit sector in samenwerking met de Vrije
Do. 5 maart 2026 – Financieel risicomanagement – Welke stappen moet je zetten?
Hoe maak je aannames ten aanzien van de kans en mogelijke financiële impact? Welke stappen moet je zetten om tot
Nederland
Plantageweg 1C
3833 AZ Leusden
Auke Vleerstraat 8
7521 PG Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
