Onze visie op compliance
Rule based of risk based
In het compliance wespennest zijn sommige regels dubbel of zelfs tegenstrijdig. Met risicosturing en nauwkeurige administratie heb je overzicht en controle over de risico’s binnen jouw organisatie die ook nog eens stuurt op naleving.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
Stappen in juridisch risicomanagement
Stap 1
Bepaal de juridische scope: welke wetgeving is van belang, welke komt eraan, welke type controls
Stap 2
Risicoanalyse: inventariseer de belangrijkste juridische risico’s en schat de kans en impact in
Stap 3
Bepaal de risicobereidheid om te bepalen welke risico’s acceptabel zijn en welke niet
Stap 4
Beheersing: tref aanvullende beheersmaatregelen waar nodig
Stap 5
Monitor bestaande en nieuwe beheersmaatregelen
Een nieuwe cultuur rondom risk & compliance
De bedrijfsjuristen zijn steeds belangrijker om de license to operate van de organisatie te bewaken. Het probleem hierbij is dat steeds meer toezichthouders bewijsmateriaal willen zien dat men zich aan de regelgeving houdt. Het managen van al die compliancy kost veel tijd waardoor er al snel onvoldoende capaciteit beschikbaar is om 100% compliant te zijn. Een risicogestuurde benadering (zoals de ISO 19600 omschrijft) houdt het overzichtelijk door de focus op de key risks en controls te leggen. Dit is de basis voor bewustwording en een nieuwe cultuur rondom risk & compliance.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Maak of importeer een compliance Framework
Comply or explain. Dit betekent dat je de naleving van wetgeving zoals de AVG, Wwft, ISO-27001, ISO27002, BIO, Norea, ISMS, ISAE 3402, SIRA, moet kunnen aantonen. Veel wetgeving kan worden vertaald naar processen, risico’s en bijhorende controls. Met NARIS GRC bouw of importeer je risk & control frameworks die makkelijk uit te vragen zijn bij de verschillende organisatieonderdelen.
Watermeloen Model als basis voor risk control >
Bouw een juridisch risicoregister
Een claim, een boete, een fout in een contract. Dit zijn allemaal risico’s die uiteindelijk juridische gevolgen hebben. Met NARIS GRC bouw je een juridisch risicoregister waar je per risico een dossier aanlegt, waarbij je alles gemakkelijk terug kunt vinden. Vanuit het register kun je gemakkelijk bijv. alle risico’s vanuit de AVG inladen en uitzetten naar je organisatie.
Start met een juridische workflow
Wetgeving moet geïmplementeerd worden binnen de organisatie. Dit geldt voor onderzoek, het ontwerp van een Risk & Compliance framework, maar ook de implementatie van trainingen en de opvolging van aanbevelingen. NARIS GRC helpt organisaties door bedrijfsinformatie te verzamelen waarmee risicoanalyses en audits uitgevoerd kunnen worden. Hiermee kan vervolgens gemakkelijk de opvolging worden gemonitord.
Inspiratie rondom compliance.
Di. 5 nov 2024 – ESG – Prioriteren op basis van risicomanagement
ESG-risicomanagement is een benadering waarbij bedrijven potentiële en actuele risico’s op gebied van milieubewustzijn, sociale verantwoordelijkheid en goed bestuur meten, rapporteren
Do. 14 nov 2024 – Naris Intervisie Heusden: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Robert ’t
Di. 3 dec 2024 – Three Lines Model: Hoe volwassen wil je zijn of worden?
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie. Wat zijn randvoorwaarden
Laten we praten.
Heb je vragen over onze oplossingen voor jouw organisatie? Neem vrijblijvend contact met ons op
Vul het formulier in of
bel met Kim:
Neem vrijblijvend contact op
Wil je weten wat we voor jouw woningcorporatie kunnen betekenen? Vul onderstaand formulier in.