{"id":5576,"date":"2021-07-27T15:54:37","date_gmt":"2021-07-27T12:54:37","guid":{"rendered":"https:\/\/naris-prod.azurewebsites.net\/governance-code-van-maanen-copy\/"},"modified":"2021-12-10T18:28:09","modified_gmt":"2021-12-10T15:28:09","slug":"watermeloen-model-als-basis-voor-risk-control","status":"publish","type":"post","link":"https:\/\/www.naris.com\/nl\/watermeloen-model-als-basis-voor-risk-control\/","title":{"rendered":"Watermeloen Model als basis voor risk control"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5576\" class=\"elementor elementor-5576\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-966b1f elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"966b1f\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-745d6e0b\" data-id=\"745d6e0b\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-4941fdeb elementor-widget elementor-widget-text-editor\" data-id=\"4941fdeb\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p><strong>In deze blog leg ik het watermeloen model verder uit. Eerder heeft Erik van Marle dit model omschreven in zijn blog\u00a0\u201c<\/strong><a href=\"https:\/\/old.naris.com\/de-kracht-van-de-2e-lijn\/\" target=\"_blank\" rel=\"noopener\"><strong>Verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model\u201d<\/strong><\/a><strong>. Met deze aanvullende uitleg weet jij als controller of auditor precies hoe jij dit model kan inzetten voor het <a href=\"http:\/\/naris.com\/nl\/grc-software\/risk-control-management\/\" target=\"_blank\" rel=\"noopener\">risicomanagement<\/a> binnen jouw organisatie.<\/strong><\/p><p>Maar eerst; waar komt de term watermeloen model vandaan? De kern ligt in het feit dat veel organisaties onderliggende afdelingen laten rapporteren met stoplichtkleuren; rood, oranje en groen. Het gedrag dat hiermee opgeroepen wordt, is dat iedereen zijn of haar afdeling zo groen mogelijk presenteert; met ons gaat alles goed en wij zijn in control. Maar hoe groener een afdeling zich presenteert hoe meer je moet opletten. Groen van buiten kan heel goed rood van binnen zijn, vandaar te term watermeloen.<\/p><h3>Over welke risico\u2019s gaat het<\/h3><p>Het gaat hier om de operationele of te voorkomen risico\u2019s van organisaties. Voor de strategische en externe risico\u2019s van de organisaties is een andere aanpak noodzakelijk.<\/p><p>Operationele risico\u2019s zijn risico\u2019s die door de organisatie be\u00efnvloedbaar zijn en hebben te maken met interne processen, mensen en systemen. Door dergelijke risico\u2019s kunnen organisaties in grote problemen komen en bijv. hun licence to operate verliezen. Bij organisaties met veel processen en verschillende processtappen zijn er vooral heel veel operationele risico\u2019s. Hoe houd je het overzicht en hoe haal je de noodzakelijke informatie uit de organisatie? Dat zijn vragen die je je namens de gehele organisatie moet afvragen.<\/p><h3>Hoe haal je informatie op<\/h3><p>Het watermeloen model richt zich op de wijze waarop de\u00a0<a href=\"https:\/\/robertthart.risicomanagement.nl\/2019\/03\/23\/three-lines-of-defense-risicomanagement-model\/\" target=\"_blank\" rel=\"noopener\">2<sup>e<\/sup>\u00a0lijn informatie ophaalt bij de eerste lijn<\/a>. Dit werkt vaak niet goed doordat:<\/p><ul><li>De 1e lijn een andere focus heeft. De eerste lijn is druk bezig met de business. Mensen binnen de eerste lijn zitten dus vaak niet te wachten op lastige vragen. Als naar risico\u2019s wordt gevraagd zullen zij het liefst globale antwoorden geven of juist risico\u2019s noemen die nu net niet belangrijk zijn.<\/li><li>Er een gebrek is aan formats en risicodialogen wat vervolgens leidt tot een rommelig risicoprofiel met risico\u2019s rijp en groen door elkaar.<\/li><li>Er een gebrek is aan kennis over <a href=\"https:\/\/www.naris.com\/nl\/risicomanagement\/\">risicomanagement<\/a> en definities (oorzaak-gebeurtenis-gevolg) waardoor de kwaliteit van hetgeen dat aangeleverd wordt onvoldoende is.<\/li><li>Er onvoldoende kennis is over de verschillende typen risico\u2019s. Als 1<sup>e<\/sup>\u00a0lijn is het lastig de actualiteiten bij te houden over cyberrisico\u2019s, informatiebeveiliging, fraude, juridisch, privacy en financi\u00ebn.<\/li><\/ul><h3>Het watermeloen model<\/h3><p>Het Watermeloen model richt zich meer op de kwaliteit en volledigheid van bekende risico\u2019s en controls. Deze operationele risico\u2019s en controls worden vastgesteld door de 2<sup>e<\/sup>\u00a0lijn. De 1<sup>e<\/sup>\u00a0lijn zal moeten aangeven welke risico\u2019s al dan niet van toepassing zijn en ook welke controls \u2018in place\u2019 zijn. Vervolgens bepalen zij ook of risico\u2019s geaccepteerd worden. Het vraagt dus nadrukkelijk meer voorbereidingstijd van de 2<sup>e<\/sup>\u00a0lijn. Daarbij moet de 2e lijn zeer direct communiceren naar de 1<sup>e<\/sup>\u00a0lijn. De 2<sup>e<\/sup>\u00a0lijn dient keuzes te maken en prioriteiten te stellen met betrekking tot het bepalen van welke risico\u2019s en controls het belangrijkste zijn voor het voorbestaan van de organisatie.<\/p><h3>Stappen op weg naar watermeloen model<\/h3><p>1 Vaststellen van risk confrol framework;<br \/><em>a. Doelstelling<\/em><br \/><em>b. Standaard processen, risico\u2019s en controls.<\/em><br \/><em>c. Noodzakelijke reporting intern maar ook extern.<\/em><\/p><p>2. Breng processen in beeld. Dit mag op hoofdlijnen zijn.<\/p><p>3. Stel de key risks en key controls per proces. Dit proces vraagt wel een samenwerking van de verschillende 2<sup>e<\/sup> lijn activiteiten. Ook moet het een groeimodel zijn waarbij niet elke 2<sup>e<\/sup> lijn specialist 100 risico\u2019s en controls wil uitvragen.<\/p><p>4. Begeleiding van de RCF naar de eerste lijn. Dit is een wereld op zich waarbij het in de kern draait om dat de 1<sup>e<\/sup> lijn geholpen moet worden. Ook dient er een ritme te ontstaan van informatie ophalen, valideren en rapporteren.<\/p><p>5. Integrale RCF of dashboard. Het integrale beeld zorgt in een bepaalde mate voor groepsdruk binnen de organisatie. De ene afdeling heeft meer controls dan de ander.<\/p><h3>Watermeloen+ Model<\/h3><p>Een uitbreiding op het Watermeloen model kan door de 1<sup>e<\/sup>\u00a0lijn nog meer informatie te vragen. Hierbij gaat het dan vooral over de assurance van controls. De 1<sup>e<\/sup>\u00a0lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1<sup>e<\/sup>\u00a0lijn. De 2<sup>e<\/sup>\u00a0lijn vervult een duidelijk rol van adviseur en begeleider. De 3<sup>e<\/sup>\u00a0lijn kan een objectief advies geven over opzet, bestaan en werking.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>In deze blog leg ik het watermeloen model verder uit. Eerder heeft Erik van Marle dit model omschreven in zijn&#8230;<\/p>\n","protected":false},"author":18,"featured_media":12582,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[45,52],"class_list":["post-5576","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-control","tag-risicomanagement-modellen"],"_links":{"self":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/users\/18"}],"replies":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/comments?post=5576"}],"version-history":[{"count":31,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5576\/revisions"}],"predecessor-version":[{"id":14441,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/posts\/5576\/revisions\/14441"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media\/12582"}],"wp:attachment":[{"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/media?parent=5576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/categories?post=5576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.naris.com\/nl\/wp-json\/wp\/v2\/tags?post=5576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}