SlideShare une entreprise Scribd logo

Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad

Transcendent Group
Transcendent Group

Presentation från GRC 2016 den 19 maj. Kontakta gärna talaren om du har några frågor.

Économie & finance
1  sur  16
Télécharger pour lire hors ligne
GRC-succéfaktorer Hur får man ut mer värde av GRC än enbart regelefterlevnad? Josefin Nordlander Chef Koncernsäkerhet & Kontroll GRC Dagarna Transcendent Group 19 maj 2016
Riskhantering är nyckeln till framgång! Strategiska risker Externa risker Risker som kan undvikas Dessa risker kan inte transfereras eller elimineras. Riskhanteringen blir därmed beroende av tydliga risktoleranser, framtagande av möjliga scenarios som skulle kunna inträffa samt monitorering av KRIer (key risk indicators). Dessa risker ligger utom organisationens kontroll. Riskhanteringen fokuseras därmed mot att begränsa riskexponering och potentiell skada om en risk realiseras. Detta är finansiella och operativa risker som en organisation bör försöka eliminera, transferera eller förebygga eftersom en realiserad risk alltid kommer resultera i negativa konsekvenser. Kostnadseffektiva kontroller är A & O!
Styrelsen bestämmer ultimat risktagandet Styrelsen sätter ofta ramarna för bolagets risktagande genom att fastställa: • Riskstrategi (riskfilosofi, riskstyrning och önskade risknivåer). • Riskaptitmått och limiter. • Regler för hur bolaget får placera tillgångar. • Ägarinstruktioner (relevant för moderbolag för styrning av dotterbolag) etc. Vanliga misstag i finansiella sektorn: • Riskhantering ses endast som en nödvändighet för att möta regelkrav och inte som något som ska tas i beaktning varje dag, i varje beslut. • 2a försvarslinjen fastställer ramverk och metodik för riskhantering utan att 1a linjen får vara med och ge input. • Riskstrategin tar inte i beaktning alla nivåer av riskhantering. • Det finns inte tillräckligt med KRIer för att säkerställa att risktagande är inom ramen för styrelsens alternativt riskägarens önskemål/krav.
Men kunders förväntningar/krav är lika viktiga! Socialt ansvarstagande Affärsetik Säkerhet Ansvarsfull arbetsgivare Miljövänlig Etiska investeringar Transparens & långsiktiga kundrelationer Regel- efterlevnad Digitalisering Enkelhet
Exempel: Exampel: Process ”Skadereglering” Information Läkarjournaler, kvitton, skadeanmälan etc. Personal / Kompetens IT-stöd Process / Flöde Leverantör / 3e part ”Tillförlitlig och effektiv skadereglering”: - 99 % ärenden hanterade korrekt. - 80 % av ärenden hanterade inom 10 dagar. ”MED” Fastställ varje process beroenden/behov för att mål ska kunna mötas ”HUR” Fastställa vilka processer (och information) som kommer bidra till att mål kan mötas. ”VAD” Fastställa affärsmål 1a linjens riskhantering fokuserar på att möta affärsmål inom acceptabelt risktagande Socialt ansvarstagande Affärsetik Säkerhet Ansvarsfull arbetsgivare Miljövänlig Etiska investeringar Transparens & långsiktiga kundrelationer Regel- efterlevnad Digitalisering Enkelhet
En risk kan ha flera orsaker och konsekvenser Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Orsaker: - Person skickar in falska underlag. - Processfel (ingen dualitet vid utbetalning, bristande manuell hantering etc.). - Medarbetare utför bedrägeri alternativt agerar ”målvakt” Konsekvenser: - Kundmissnöje/ klagomål (ev. lämnar kund företaget). - Finansiella förluster. - Förlorade intäkter Risk för att obehöriga olovligen får åtkomst till konfidentiell information Orsaker: - Externt hot (t.ex. hacker attack). - Ej fungerande behörighetsadministration - Medarbetare är omedvetna om/förstår ej krav Konsekvenser: - Lagbrott/regel- överträdelser - Kundmissnöje/klagomål. - Kundflykt - Skadat varumärke -Förlorade intäkter Vanliga misstag i finansiella sektorn: • Orsaker och konsekvenser dokumenteras och rapporteras som risker. • Flera konsekvenser ”bakas in” i en och samma risk trots att acceptabelt risktagande kan variera beroende på varje konsekvens. • Samtliga möjliga orsaker till att en risk kan realiseras är inte identifierade och tas därmed inte i beaktning när kontrollmiljö fastställs/implementeras.
Riskmonitorering bör inkludera oönskade konsekvenser Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Konsekvenser: - Kundmissnöje/ klagomål (ev. lämnar kund företaget). - Finansiella förluster. - Förlorade intäkter Möjliga ”red flags”: - Antal incidenter. - Antal kundklagomål. - Finansiell kompensation till kund. - Bedrägeriförluster. Risk för att obehöriga olovligen får åtkomst till konfidentiell information Konsekvenser: - Lagbrott/regel- överträdelser - Kundmissnöje/klagomål. - Kundflykt - Skadat varumärke -Förlorade intäkter Möjliga ”red flags”: - Antal incidenter. - Antal fallerade kontroller som är kopplade till regelkrav, falleringsfrekvens, tid det tar att åtgärda brist - Antal kundklagomål. - Antal kunder som lämnar (vid incident).
Kontrollmiljön måste beakta både oönskade konsekvenser samt relaterade orsaker Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Orsaker: - Kund skickar in falska underlag. - Processfel (ingen dualitet vid utbetalning, bristande manuell hantering etc.). - Medarbetare utför bedrägeri alternativt agerar ”målvakt” Kontrollaspekter: - Försäkringsskydd. - Inbyggd dualitet vid utbetalning. - Automatiserade flöden. - Transaktions- övervakning. Risk för att obehöriga olovligen får åtkomst till konfidentiell information Orsaker: - Externt hot (t.ex. hacker attack). - Ej fungerande behörighetsadministration - Medarbetare är omedvetna om/förstår ej krav Kontrollaspekter: - Försäkringsskydd. - Regelbunden behörighetskontroll. - Monitorering av behörighetsgrupper. - Utbildning/information om informationssäkerhetskrav - Monitorering av externa intrång/försök till intrång
Hur integrera GRC i det vardagliga arbetet?
Förutsättningar för att lyckas? Vad behöver första linjen för att kunna ta fullt ansvar för regelefterlevnad och riskhantering? Fokus måste vara på: • Tydliga roller och ansvar- Vem är ansvarig för att identifiera risker? För att bedöma vilka konsekvenser som är acceptabla? För att sätta acceptabelt risktagande? För att monitorera risktagande? För att flagga/rapportera på avvikelser? För att identifiera kritiska kontrollaspekter? För att identifiera nyckelprocesser I en process? För att tillse att kontrollerna fungerar? För att hantera brister i kontrollmiljön? Etc. • Lagar och regler- Vem övervakar nya/ändrade regelverk? Hur kommuniceras de till berörda parter i organisationen? Vem har det strategiska ansvaret att utvärdera regulatorisk påverkan om regelverket slår mot flera bolag i en koncern? Vem ansvarar för att utföra gapanalys av regelkraven mot befintlig kontrollmiljö? Etc. • Support/stöd- Vad behöver 1a linjen för support/stöd för att kunna ta fullt ansvar? Vad kan kontrollfunktionerna bistå med? Behövs det en internkontrollfunktion? Ett GRC system? Vem kommer tillse att utbildningsbehov, information, mallar, system etc. finns, fungerar och möter behov?
Vad behöver man som organisation börja med: ”Governance” •Se över strategin- Omfattar den samtliga affärsområden? Tar den i beaktning IT och andra kritiska områden som är kritiska för att få till den förflyttning som man ser behöver göras? Utgår den ifrån kundens krav/önskemål? Har man en vision kring vad man vill uppnå? •Se över affärsområden- Vad behövs för att leverera den vision som har fastställts? Vilka enheter/funktioner /roller behöver finnas för att leverera affärsmål? För att möta regelkrav? Finns det vissa funktioner som inte tjänar något givet syfte? •Se över beslutanderätt- Utifrån affärsmål och förtydligat ansvar, fastställ vem som behöver ha vilken beslutanderätt; •Se över behovet av en GRC funktion- Vad vill man ha ut utav GRC? Tar man tillvara på alla effekthemtagningar? Vem ska styra/driva Vilken rapportering önskas? ”Risk” •Se över riskramverket- Får man ut det man önskar av dagens riskhantering? Används all informa-tion som inrapporteras? Är processen effektiv? Har 1a linjen fått ge input på vad de önskar få ut av riskhanteringen och hur de önskar arbeta? •Se över fullständigheten- Hur synkroniseras riskhanteringen med exempelvis kundklagomål? IT? Kontrollfunktioner? Bidrar samtliga relevanta parter till att skapa en fullständig riskbild? •Se över metodik- Om GRC ska ge så mycket som möjligt så måste man tillse att rapportering sker likartat i hela organisationen, att risker rapporteras på samma nivå, utifrån samma perspektiv. Detta kräver tydlig metodik och utbildning! •Se över roller och ansvar- Hur ska man hantera “delade” risker? Vem är riskägaren? •Se över behov av GRC system ”Compliance” •Se över omvärldsanalysen- Blir alla nya/uppdaterade regelverk omhänder- tagna? Är ansvaret delat mellan funktioner? Är ansvaret tydligt vem som gör vad? Kan något falla mellan stolarna? •Se över kommunikationsmodell- Hur kommuniceras nya krav ut? Är informationen tillgänglig för alla som behöver den? Hur kommuniceras interna regelverk ut? •Se över roller och ansvar- Vem utför gapanalyser av regelkrav? Har alla regelverksområden en utsedd ägare? Hur styrs områden som påverkar flera bolag/enheter? •Integrera regelkrav med kontroller- Har regelkrav kopplats till kontroller? Går det att utvärdera regelefterlevnad utifrån kontrollmiljön? Går det att utvärdera systematiska överträdelser? •Se över uppföljningsmodell- Hur tillser bolaget att interna regler möts? Finns det tvåvägskommunikation med verksamheten?
Vanliga misstag i finansiella sektorn • Strategin omfattar inte samtliga affärsområden och tar inte i beaktning den förflyttning som man önskar/behöver göra för att möta kundförväntningar/krav. • Funktioner/enheter/individer får själva bestämma vad deras syfte, roll & ansvar är, vilket inte alltid motsvarar bolagets behov eller bolagets bästa? • Bolag har inte fastställt vem som ska ha rätt att besluta om risker som delas mellan exempelvis bolag eller enheten (vem är den som ultimat beslutar om risktagande och ambitionsnivån kring kontrollmiljön?). • Riskägarskapet allokeras till ”den som har budget och som kan betala för potentiella brister i kontrollmiljön” och inte i enlighet med ”vem kommer få ta konsekvensen”. Detta är särskilt ett problem i stora företag med mycket intern outsourcing. • Företag “hyr in personal för att sätta upp internkontrollramverk, hantera riskrapportering etc. istället för att satsa på att integrera det i verksamheten och samtidigt bygga in förståelse och kontroll samt bygga upp rätt strukturer från början. • Metodiken för riskhantering är för öppen för tolkning vilket leder till olika nivåer av riskrapportering. • Det finns inga bra kommunikationsmetoder för att förmedla information till medarbetare, exempelvis nya regelkrav, utbildningar etc.
Fördelar med ett GRC system
Fördelarna: • Det möjliggör ”en sanning” av organisationens riskbild. • Det möjliggör ett gemensamt “språk”. • Det kopplar ihop funktioner som har gemensamma behov/intressen, vilket innebär effektivare hantering och kommunikation. Till exempel: Kundklagomål och incidentrapportering. Risker, processer och kontroller. Internrevision, Compliance och Risk. IT och Verksamhet. • Det går att länka interna regler med kontroller, vilket gör det lättare för bolag att följa upp att interna krav är implementerade och efterlevs. • Det kan användas för rapporteringssyften, frågebatterier, självutvärderingar etc. The sky is the limit! • Det går att bygga in “intuitiva” händelser i systemet. Om en kontrollägare exempelvis fallerar en kontroll så kan systemet automatiskt trigga en incidentrapport eller skicka ett meddelande till riskägaren att riskbedömningen behöver ses över.
Nedsidor (eller snarare nödvändiga förberedelser): • Om datan som läggs i systemet inte är bra så kommer systemet inte kunna leverera på förväntningar- if shit goes in, shit comes out. Datakvalitet och tydligt syfte med datan som insamlas/används är extremt viktigt! • Om man vill ändra taktik och börja arbeta med GRC utifrån ett nytt/annat perspektiv så är det viktigt att visionen sätts innan systemet konfigureras. Vad vill man uppnå? Glöm inte nya/kommande lagar och regler! • Det säkerställer ett “språk”… förutsatt att bolaget har tillsett att ord betyder detsamma inom organisationen. Om så inte är fallet så behöver en informationsmodell tas fram och fastställas innan systemet implementeras. • Systemet kommer innehålla mycket information som kan ha olika informationsklassificeringar (öppen, intern, konfidentiell). Det är därmed viktigt att sätta upp lämpliga behörighetsstrukturer som möter behov men även lagar och regler! • Systemet kan förmodligen göra allt du vill, och i många fall är detta en risk i sig självt. Det är viktigt att inte använda mer funktioner än vad som behövs. Ingen kommer använda ett för komplext system. Kom ännu en gång ihåg syftet med systemet, vad vill man få ut? • Tänk på riskaggregering, behov att länka processer och/eller affärsområden och vilken nivå på rapportering i systemet som krävs för att maximera användandet av data.
Tack för er tid! Om ni har några frågor eller vill diskutera något som jag har pratat om idag, hör gärna av er! Josefin.nordlander@skandia.se

Recommandé

GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 

Recommandé

GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSOTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSOTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Riskhantering
RiskhanteringRiskhantering
RiskhanteringNils Thulin
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Transcendent Group
 
Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Svenskt Projektforum
 
Riskanalysen
RiskanalysenRiskanalysen
RiskanalysenNils Thulin
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 

Contenu connexe

Tendances

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Transcendent Group
 
Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Svenskt Projektforum
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 

Tendances (20)

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSO
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17
 
Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 

En vedette

Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller 13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller MHF Tylösandsseminariet
 
16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson
16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson
16.20 Nya förflyttningsfordon i trafiken, Niclas NilssonMHF Tylösandsseminariet
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Transcendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljöTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCTranscendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Transcendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 

En vedette (20)

Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller 13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller
13.55 Regelefterlevnaden inom yrkestrafiken, Mikael Kyller
 
16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson
16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson
16.20 Nya förflyttningsfordon i trafiken, Niclas Nilsson
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Value added security services
Value added security servicesValue added security services
Value added security services
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 

Similaire à Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad

Från intern kontroll till ERM
Från intern kontroll till ERMFrån intern kontroll till ERM
Från intern kontroll till ERMAcando Consulting
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Transcendent Group
 
From business as usual to business as future byBrick Management och DigJourne...
From business as usual to business as future byBrick Management och DigJourne...From business as usual to business as future byBrick Management och DigJourne...
From business as usual to business as future byBrick Management och DigJourne...Jessica Laos
 
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 CSR Västsverige
 
Breakit Impact Challenge Ethos international guide
Breakit Impact Challenge Ethos international guideBreakit Impact Challenge Ethos international guide
Breakit Impact Challenge Ethos international guideCarin Roeraade
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & LönsamhetRolf Häsänen
 
Så arbetar controllers på ledande svenska företag med information, analys och...
Så arbetar controllers på ledande svenska företag med information, analys och...Så arbetar controllers på ledande svenska företag med information, analys och...
Så arbetar controllers på ledande svenska företag med information, analys och...Pontus Wadström
 
Varför är nyttorealisering viktigt?
Varför är nyttorealisering viktigt? Varför är nyttorealisering viktigt?
Varför är nyttorealisering viktigt? E-delegationen
 
Frukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringFrukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringTranscendent Group
 
Hållbara inköp verktygslåda 2010
Hållbara inköp verktygslåda 2010Hållbara inköp verktygslåda 2010
Hållbara inköp verktygslåda 2010CSR Västsverige
 
Föreläsningsmaterial - Exportsäljare
Föreläsningsmaterial - Exportsäljare Föreläsningsmaterial - Exportsäljare
Föreläsningsmaterial - Exportsäljare Stephan Philipson
 
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...The Inspiration Company AB
 
Affecto undersökning ekonomer
Affecto undersökning ekonomerAffecto undersökning ekonomer
Affecto undersökning ekonomeraffectosweden
 
CFOlive - Digital Transformation, Stockholm 2016
CFOlive - Digital Transformation, Stockholm 2016CFOlive - Digital Transformation, Stockholm 2016
CFOlive - Digital Transformation, Stockholm 2016Christoffer Vollmer
 
Risk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasRisk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasTranscendent Group
 
Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Tina Bohlin
 

Similaire à Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad (20)

Från intern kontroll till ERM
Från intern kontroll till ERMFrån intern kontroll till ERM
Från intern kontroll till ERM
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
 
From business as usual to business as future byBrick Management och DigJourne...
From business as usual to business as future byBrick Management och DigJourne...From business as usual to business as future byBrick Management och DigJourne...
From business as usual to business as future byBrick Management och DigJourne...
 
Nätverksmöte080925
Nätverksmöte080925Nätverksmöte080925
Nätverksmöte080925
 
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011
 
Breakit Impact Challenge Ethos international guide
Breakit Impact Challenge Ethos international guideBreakit Impact Challenge Ethos international guide
Breakit Impact Challenge Ethos international guide
 
Ltu me mo
Ltu me moLtu me mo
Ltu me mo
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 
bf-141001-web_0
bf-141001-web_0bf-141001-web_0
bf-141001-web_0
 
Så arbetar controllers på ledande svenska företag med information, analys och...
Så arbetar controllers på ledande svenska företag med information, analys och...Så arbetar controllers på ledande svenska företag med information, analys och...
Så arbetar controllers på ledande svenska företag med information, analys och...
 
Varför är nyttorealisering viktigt?
Varför är nyttorealisering viktigt? Varför är nyttorealisering viktigt?
Varför är nyttorealisering viktigt?
 
Frukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringFrukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapportering
 
Hållbara inköp verktygslåda 2010
Hållbara inköp verktygslåda 2010Hållbara inköp verktygslåda 2010
Hållbara inköp verktygslåda 2010
 
Föreläsningsmaterial - Exportsäljare
Föreläsningsmaterial - Exportsäljare Föreläsningsmaterial - Exportsäljare
Föreläsningsmaterial - Exportsäljare
 
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...
Motivation Management - Hur du lyckas med belöningsstrategier - motivation m...
 
Affecto undersökning ekonomer
Affecto undersökning ekonomerAffecto undersökning ekonomer
Affecto undersökning ekonomer
 
Ingela Olofson - FCS
Ingela Olofson - FCSIngela Olofson - FCS
Ingela Olofson - FCS
 
CFOlive - Digital Transformation, Stockholm 2016
CFOlive - Digital Transformation, Stockholm 2016CFOlive - Digital Transformation, Stockholm 2016
CFOlive - Digital Transformation, Stockholm 2016
 
Risk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasRisk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdateras
 
Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)
 

Plus de Transcendent Group

Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 

Plus de Transcendent Group (8)

Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 

Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad

  • 1. GRC-succéfaktorer Hur får man ut mer värde av GRC än enbart regelefterlevnad? Josefin Nordlander Chef Koncernsäkerhet & Kontroll GRC Dagarna Transcendent Group 19 maj 2016
  • 2. Riskhantering är nyckeln till framgång! Strategiska risker Externa risker Risker som kan undvikas Dessa risker kan inte transfereras eller elimineras. Riskhanteringen blir därmed beroende av tydliga risktoleranser, framtagande av möjliga scenarios som skulle kunna inträffa samt monitorering av KRIer (key risk indicators). Dessa risker ligger utom organisationens kontroll. Riskhanteringen fokuseras därmed mot att begränsa riskexponering och potentiell skada om en risk realiseras. Detta är finansiella och operativa risker som en organisation bör försöka eliminera, transferera eller förebygga eftersom en realiserad risk alltid kommer resultera i negativa konsekvenser. Kostnadseffektiva kontroller är A & O!
  • 3. Styrelsen bestämmer ultimat risktagandet Styrelsen sätter ofta ramarna för bolagets risktagande genom att fastställa: • Riskstrategi (riskfilosofi, riskstyrning och önskade risknivåer). • Riskaptitmått och limiter. • Regler för hur bolaget får placera tillgångar. • Ägarinstruktioner (relevant för moderbolag för styrning av dotterbolag) etc. Vanliga misstag i finansiella sektorn: • Riskhantering ses endast som en nödvändighet för att möta regelkrav och inte som något som ska tas i beaktning varje dag, i varje beslut. • 2a försvarslinjen fastställer ramverk och metodik för riskhantering utan att 1a linjen får vara med och ge input. • Riskstrategin tar inte i beaktning alla nivåer av riskhantering. • Det finns inte tillräckligt med KRIer för att säkerställa att risktagande är inom ramen för styrelsens alternativt riskägarens önskemål/krav.
  • 4. Men kunders förväntningar/krav är lika viktiga! Socialt ansvarstagande Affärsetik Säkerhet Ansvarsfull arbetsgivare Miljövänlig Etiska investeringar Transparens & långsiktiga kundrelationer Regel- efterlevnad Digitalisering Enkelhet
  • 5. Exempel: Exampel: Process ”Skadereglering” Information Läkarjournaler, kvitton, skadeanmälan etc. Personal / Kompetens IT-stöd Process / Flöde Leverantör / 3e part ”Tillförlitlig och effektiv skadereglering”: - 99 % ärenden hanterade korrekt. - 80 % av ärenden hanterade inom 10 dagar. ”MED” Fastställ varje process beroenden/behov för att mål ska kunna mötas ”HUR” Fastställa vilka processer (och information) som kommer bidra till att mål kan mötas. ”VAD” Fastställa affärsmål 1a linjens riskhantering fokuserar på att möta affärsmål inom acceptabelt risktagande Socialt ansvarstagande Affärsetik Säkerhet Ansvarsfull arbetsgivare Miljövänlig Etiska investeringar Transparens & långsiktiga kundrelationer Regel- efterlevnad Digitalisering Enkelhet
  • 6. En risk kan ha flera orsaker och konsekvenser Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Orsaker: - Person skickar in falska underlag. - Processfel (ingen dualitet vid utbetalning, bristande manuell hantering etc.). - Medarbetare utför bedrägeri alternativt agerar ”målvakt” Konsekvenser: - Kundmissnöje/ klagomål (ev. lämnar kund företaget). - Finansiella förluster. - Förlorade intäkter Risk för att obehöriga olovligen får åtkomst till konfidentiell information Orsaker: - Externt hot (t.ex. hacker attack). - Ej fungerande behörighetsadministration - Medarbetare är omedvetna om/förstår ej krav Konsekvenser: - Lagbrott/regel- överträdelser - Kundmissnöje/klagomål. - Kundflykt - Skadat varumärke -Förlorade intäkter Vanliga misstag i finansiella sektorn: • Orsaker och konsekvenser dokumenteras och rapporteras som risker. • Flera konsekvenser ”bakas in” i en och samma risk trots att acceptabelt risktagande kan variera beroende på varje konsekvens. • Samtliga möjliga orsaker till att en risk kan realiseras är inte identifierade och tas därmed inte i beaktning när kontrollmiljö fastställs/implementeras.
  • 7. Riskmonitorering bör inkludera oönskade konsekvenser Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Konsekvenser: - Kundmissnöje/ klagomål (ev. lämnar kund företaget). - Finansiella förluster. - Förlorade intäkter Möjliga ”red flags”: - Antal incidenter. - Antal kundklagomål. - Finansiell kompensation till kund. - Bedrägeriförluster. Risk för att obehöriga olovligen får åtkomst till konfidentiell information Konsekvenser: - Lagbrott/regel- överträdelser - Kundmissnöje/klagomål. - Kundflykt - Skadat varumärke -Förlorade intäkter Möjliga ”red flags”: - Antal incidenter. - Antal fallerade kontroller som är kopplade till regelkrav, falleringsfrekvens, tid det tar att åtgärda brist - Antal kundklagomål. - Antal kunder som lämnar (vid incident).
  • 8. Kontrollmiljön måste beakta både oönskade konsekvenser samt relaterade orsaker Risk för att felaktiga/falska skadeanmälningar godkänns och betalas ut Orsaker: - Kund skickar in falska underlag. - Processfel (ingen dualitet vid utbetalning, bristande manuell hantering etc.). - Medarbetare utför bedrägeri alternativt agerar ”målvakt” Kontrollaspekter: - Försäkringsskydd. - Inbyggd dualitet vid utbetalning. - Automatiserade flöden. - Transaktions- övervakning. Risk för att obehöriga olovligen får åtkomst till konfidentiell information Orsaker: - Externt hot (t.ex. hacker attack). - Ej fungerande behörighetsadministration - Medarbetare är omedvetna om/förstår ej krav Kontrollaspekter: - Försäkringsskydd. - Regelbunden behörighetskontroll. - Monitorering av behörighetsgrupper. - Utbildning/information om informationssäkerhetskrav - Monitorering av externa intrång/försök till intrång
  • 9. Hur integrera GRC i det vardagliga arbetet?
  • 10. Förutsättningar för att lyckas? Vad behöver första linjen för att kunna ta fullt ansvar för regelefterlevnad och riskhantering? Fokus måste vara på: • Tydliga roller och ansvar- Vem är ansvarig för att identifiera risker? För att bedöma vilka konsekvenser som är acceptabla? För att sätta acceptabelt risktagande? För att monitorera risktagande? För att flagga/rapportera på avvikelser? För att identifiera kritiska kontrollaspekter? För att identifiera nyckelprocesser I en process? För att tillse att kontrollerna fungerar? För att hantera brister i kontrollmiljön? Etc. • Lagar och regler- Vem övervakar nya/ändrade regelverk? Hur kommuniceras de till berörda parter i organisationen? Vem har det strategiska ansvaret att utvärdera regulatorisk påverkan om regelverket slår mot flera bolag i en koncern? Vem ansvarar för att utföra gapanalys av regelkraven mot befintlig kontrollmiljö? Etc. • Support/stöd- Vad behöver 1a linjen för support/stöd för att kunna ta fullt ansvar? Vad kan kontrollfunktionerna bistå med? Behövs det en internkontrollfunktion? Ett GRC system? Vem kommer tillse att utbildningsbehov, information, mallar, system etc. finns, fungerar och möter behov?
  • 11. Vad behöver man som organisation börja med: ”Governance” •Se över strategin- Omfattar den samtliga affärsområden? Tar den i beaktning IT och andra kritiska områden som är kritiska för att få till den förflyttning som man ser behöver göras? Utgår den ifrån kundens krav/önskemål? Har man en vision kring vad man vill uppnå? •Se över affärsområden- Vad behövs för att leverera den vision som har fastställts? Vilka enheter/funktioner /roller behöver finnas för att leverera affärsmål? För att möta regelkrav? Finns det vissa funktioner som inte tjänar något givet syfte? •Se över beslutanderätt- Utifrån affärsmål och förtydligat ansvar, fastställ vem som behöver ha vilken beslutanderätt; •Se över behovet av en GRC funktion- Vad vill man ha ut utav GRC? Tar man tillvara på alla effekthemtagningar? Vem ska styra/driva Vilken rapportering önskas? ”Risk” •Se över riskramverket- Får man ut det man önskar av dagens riskhantering? Används all informa-tion som inrapporteras? Är processen effektiv? Har 1a linjen fått ge input på vad de önskar få ut av riskhanteringen och hur de önskar arbeta? •Se över fullständigheten- Hur synkroniseras riskhanteringen med exempelvis kundklagomål? IT? Kontrollfunktioner? Bidrar samtliga relevanta parter till att skapa en fullständig riskbild? •Se över metodik- Om GRC ska ge så mycket som möjligt så måste man tillse att rapportering sker likartat i hela organisationen, att risker rapporteras på samma nivå, utifrån samma perspektiv. Detta kräver tydlig metodik och utbildning! •Se över roller och ansvar- Hur ska man hantera “delade” risker? Vem är riskägaren? •Se över behov av GRC system ”Compliance” •Se över omvärldsanalysen- Blir alla nya/uppdaterade regelverk omhänder- tagna? Är ansvaret delat mellan funktioner? Är ansvaret tydligt vem som gör vad? Kan något falla mellan stolarna? •Se över kommunikationsmodell- Hur kommuniceras nya krav ut? Är informationen tillgänglig för alla som behöver den? Hur kommuniceras interna regelverk ut? •Se över roller och ansvar- Vem utför gapanalyser av regelkrav? Har alla regelverksområden en utsedd ägare? Hur styrs områden som påverkar flera bolag/enheter? •Integrera regelkrav med kontroller- Har regelkrav kopplats till kontroller? Går det att utvärdera regelefterlevnad utifrån kontrollmiljön? Går det att utvärdera systematiska överträdelser? •Se över uppföljningsmodell- Hur tillser bolaget att interna regler möts? Finns det tvåvägskommunikation med verksamheten?
  • 12. Vanliga misstag i finansiella sektorn • Strategin omfattar inte samtliga affärsområden och tar inte i beaktning den förflyttning som man önskar/behöver göra för att möta kundförväntningar/krav. • Funktioner/enheter/individer får själva bestämma vad deras syfte, roll & ansvar är, vilket inte alltid motsvarar bolagets behov eller bolagets bästa? • Bolag har inte fastställt vem som ska ha rätt att besluta om risker som delas mellan exempelvis bolag eller enheten (vem är den som ultimat beslutar om risktagande och ambitionsnivån kring kontrollmiljön?). • Riskägarskapet allokeras till ”den som har budget och som kan betala för potentiella brister i kontrollmiljön” och inte i enlighet med ”vem kommer få ta konsekvensen”. Detta är särskilt ett problem i stora företag med mycket intern outsourcing. • Företag “hyr in personal för att sätta upp internkontrollramverk, hantera riskrapportering etc. istället för att satsa på att integrera det i verksamheten och samtidigt bygga in förståelse och kontroll samt bygga upp rätt strukturer från början. • Metodiken för riskhantering är för öppen för tolkning vilket leder till olika nivåer av riskrapportering. • Det finns inga bra kommunikationsmetoder för att förmedla information till medarbetare, exempelvis nya regelkrav, utbildningar etc.
  • 13. Fördelar med ett GRC system
  • 14. Fördelarna: • Det möjliggör ”en sanning” av organisationens riskbild. • Det möjliggör ett gemensamt “språk”. • Det kopplar ihop funktioner som har gemensamma behov/intressen, vilket innebär effektivare hantering och kommunikation. Till exempel: Kundklagomål och incidentrapportering. Risker, processer och kontroller. Internrevision, Compliance och Risk. IT och Verksamhet. • Det går att länka interna regler med kontroller, vilket gör det lättare för bolag att följa upp att interna krav är implementerade och efterlevs. • Det kan användas för rapporteringssyften, frågebatterier, självutvärderingar etc. The sky is the limit! • Det går att bygga in “intuitiva” händelser i systemet. Om en kontrollägare exempelvis fallerar en kontroll så kan systemet automatiskt trigga en incidentrapport eller skicka ett meddelande till riskägaren att riskbedömningen behöver ses över.
  • 15. Nedsidor (eller snarare nödvändiga förberedelser): • Om datan som läggs i systemet inte är bra så kommer systemet inte kunna leverera på förväntningar- if shit goes in, shit comes out. Datakvalitet och tydligt syfte med datan som insamlas/används är extremt viktigt! • Om man vill ändra taktik och börja arbeta med GRC utifrån ett nytt/annat perspektiv så är det viktigt att visionen sätts innan systemet konfigureras. Vad vill man uppnå? Glöm inte nya/kommande lagar och regler! • Det säkerställer ett “språk”… förutsatt att bolaget har tillsett att ord betyder detsamma inom organisationen. Om så inte är fallet så behöver en informationsmodell tas fram och fastställas innan systemet implementeras. • Systemet kommer innehålla mycket information som kan ha olika informationsklassificeringar (öppen, intern, konfidentiell). Det är därmed viktigt att sätta upp lämpliga behörighetsstrukturer som möter behov men även lagar och regler! • Systemet kan förmodligen göra allt du vill, och i många fall är detta en risk i sig självt. Det är viktigt att inte använda mer funktioner än vad som behövs. Ingen kommer använda ett för komplext system. Kom ännu en gång ihåg syftet med systemet, vad vill man få ut? • Tänk på riskaggregering, behov att länka processer och/eller affärsområden och vilken nivå på rapportering i systemet som krävs för att maximera användandet av data.
  • 16. Tack för er tid! Om ni har några frågor eller vill diskutera något som jag har pratat om idag, hör gärna av er! Josefin.nordlander@skandia.se