risicomanagement

Inhoud De rol van software in het consulting vak De bewezen waarde van het Compliance Management Framework Zoals je wellicht weet maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het Compliance Management Framework (CMF) gebouwd in een op Microsoft gebaseerd software platform, een best practice gebaseerd op basis van 20 jaar ervaring. Dit artikel is bedoeld om duidelijk te maken; Waarom Audittrail als organisatie ervoor kiest om klanten te faciliteren met software Hoe wij dit doen Wat de meerwaarde hiervan is voor jouw organisatie De “oude” manier van werken, continue verandering Verandering wordt steeds meer gezien als een constante en daarmee als een normaal onderdeel van de bedrijfsvoering. Steeds meer organisaties streven echter naar continu verbeteren in plaats van veranderen puur gebaseerd op ingevingen. De ‘zachte’ kant van organisaties krijgt meer en meer aandacht. Gedrag en interactie tussen (groepen) mensen tot en met klant of leverancier bepalen in grote mate het succes van een verandering. De gewenste verandering motiveert zich dan zelf. Er is sturing, een richting, de lijn en de gebruikers gaan aan de slag. Het is de filosofie van scrum en agile. Met eenvoudige hulpmiddelen, een LEAN- mentaliteit en afspraken over de besluitvorming houdt men de vaart erin. Steeds vaker begint men op deze manier ook te werken ook bij projectmanagement en bij innovaties. Consultancybedrijven die hierbij ondersteunen zijn vaak een beetje “vastgeroest” in hun manier van werken. Anticiperen op alle snelle veranderingen die bij klanten vormgegeven worden, is iets wat een soort allergische reactie kan veroorzaken bij consultants. Hoewel consultants vaak graag faciliterend willen zijn aan de klanten en de scope van de opdracht, is de ervaring van klanten ook dat consultants vaak moeite hebben zich aan te passen als de scope van de opdracht flexibel is of aan de cultuur en dynamische werkwijze van de organisatie. Audittrail doet dit anders! Veel bedrijven verwachten van een consultant dat er uiteindelijk een oplevering plaatsvindt en het resultaat van het project wordt gepresenteerd (PowerPoint), berekend wordt (Excel) en beschreven wordt in een document (Word). De consultancybedrijven en consultants voldoen vaak prima aan de opdracht en laten uiteindelijk een USB-stick, folder op OneDrive en drie ordners met papier achter voor de klant om hiermee verder te gaan. Naar onze (bescheiden) mening is deze manier van werken niet meer van deze tijd of duurzaam genoeg. Klanten verwachten meer van een consultant en dit merken ook wij meer en meer. Over een aantal jaren zal de consultancymarkt volgens onderzoeksbureaus, zoals Gartner en Forrester, zich moeten gaan aanpassen aan deze nieuwe realiteit, zich moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij de klanten. Wij zien deze trend al enige jaren bewegen. Audittrail heeft dan ook mét haar experts al vele jaren geïnvesteerd in het borgen van kennis en kunde in softwareproducten zoals onder andere het CMF.   Onze manier van werken Door kennis, kunde en software te combineren en een oplossing te bouwen die écht van waarde is voor een organisatie in diverse domeinen van compliance, is Audittrail in een unieke positie om van meerwaarde te kunnen zijn. Ons team kan naast het “normale” inhoudelijke advieswerk de uitkomsten en resultaten voor jou borgen in het CMF en dus in de software. Door het kernprincipe van voordoen, samendoen en zelf doen te hanteren leveren wij een toekomstbestendige en duurzame oplossing op waar jij als klant de toekomstige veranderingen en vraagstukken zelf kunt borgen. Naast deze manier van werken, dichtbij onze kernwaarden, hebben wij inmiddels op verzoek van klanten ook een servicemodel ontwikkeld waarmee klanten volledig worden ontzorgd; de managed service. Binnen dit bedieningsmodel neemt Audittrail de functionele, technische en inhoudelijke leiding én eigenaarschap over het CMF voor jouw organisatie: een verlengstuk voor jouw compliance organisatie!   De meerwaarde van het CMF Het Compliance Management Framework (CMF) is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden informatiebeveiliging, risicomanagement, privacy, legal en governance. Alles wat software in de ogen van deze professionals miste, hebben wij er wél in gebouwd! Daarom is de privacy- en security compliance software van het CMF een echte best practice. Met het CMF ben je in control over je privacy- en securityprogramma. De volledige PDCA- cyclus wordt ondersteund; van het vastleggen en laten redigeren van beleid tot het uitvoeren van assessments en van het afleggen van verantwoording tot het registeren van incidenten en datalekken. Het CMF creëert de mogelijkheid om eigenaarschap in de lijnorganisatie te gaan beleggen. Dit kan bijdragen aan een organisatiecultuur en gedragsverandering waarbij men bewust is van governance en compliance en de mogelijke risico’s en maatregelen die hiermee gepaard gaan. In één tool leg je de verbinding tussen privacy- en informatiebeveiligingsvraagstukken en pas je eenvoudig aanvullende normenkaders toe zoals BIC, BIO, ISO27001/2, NEN7510, NIST, ISAE3402, KWH, of HKZ en wetgeving zoals AVG en CCPA. Het zorgt niet alleen voor de verplichte vastlegging, maar maakt ook alle “blinde vlekken” binnen de organisatie zichtbaar. Kortom, het biedt vanuit de procesinrichting inzicht, overzicht en een handvat om in control te raken en blijven van de huidige status en alle mogelijke of noodzakelijke verbeterpunten. Verder faciliteert het CMF je om beter en effectiever samen te werken. Hierdoor worden rollen met elkaar verbonden op strategisch, tactisch en operationeel niveau. Ook het management wordt hierdoor betrokken bij het formuleren en nog beter begrijpen van doelstellingen, de impact van te maken keuzes en men zal steeds meer een “gevoel” kunnen krijgen bij het vakgebied. En…, de informatie is eenvoudig te delen met collega’s!   Wil je meer informatie over hét ideale instrument voor compliance management? Ga dan naar deze pagina. Of kijk op www.compliancemanagementframework.nl     Auteur: Ralph Drijver, Audittrail  

Inhoud In dit artikel vertelt Margreet van der Krans, business architect bij Pensioenfonds Horeca & Catering over hoe zij met haar collega’s binnen deze organisatie Mavim inzetten. Margreet werkt sinds 2018 bij het pensioenfonds en kenmerkt het als een moderne, sociale en groene organisatie. Centraal staat het creëren van zo mogelijk waarde tegen zo laag mogelijke kosten voor de deelnemer. Goed, Gastvrij, Goedkoop en Groen zijn dan ook de kernwaarden van Pensioenfonds Horeca & Catering. MAVIM: ZO WERKEN WIJ! Binnen Pensioenfonds Horeca & Catering gebruiken we Mavim op dit moment voor twee zaken; het vormgeven en borgen van de IT-architectuur en het vastleggen van de bedrijfs- en werkprocessen en de daaraan gerelateerde beheersingsmaatregelen t.b.v. ISO- en ISAE-certificering. Voor ik daar verder op in ga, eerst een belangrijk aspect van het gebruik van Mavim: het draait om teamwork. Door de structuur die Mavim biedt kan je in principe alles aan alles koppelen. Nut en noodzaak bepalen of je dat ook daadwerkelijk doet en dat bepaal je samen. Mavim wordt binnen Pensioenfonds Horeca & Catering actief onderhouden door zes collega’s vanuit de drie units Finance & Control, Data & Technologie en Business Development. Finance & Control is verantwoordelijk voor risk en control en alle certificeringen, en onderhoudt samen met de serviceconsultants van Business Development de werkprocessen. De architecten onderhouden met behulp van Mavim de bedrijfsarchitectuur (vanuit Business Development) en de IT-architectuur (vanuit Data & Technologie). De overige medewerkers maken gebruik van de Mavim Portal die Zo werken wij heet en die direct benaderbaar is vanuit ons intranet op SharePoint. Als je voor Zo werken wij kiest zie je direct het startscherm van de Mavim Portal: MAVIM NAAR DE CLOUD Pensioenfonds Horeca & Catering is vanaf 2020 gestart met het stapsgewijs migreren van applicaties en in sommige gevallen ook volledige processen, naar de publieke cloud. Wij doen dit omdat we geloven in de vernieuwende mogelijkheden die steeds meer vanuit de cloud worden geleverd. Daarnaast willen we met onze IT kunnen op- en afschalen waar dat kan. Mavim was na de introductie van Office365 een van de eerste migraties naar onze cloud omgeving. De reden hiervan was vooral de mogelijkheid die de nieuwe portal van Mavim bood, vermindering van de technische beheerlast en het feit dat we bijna kostenneutraal over konden gaan. Onze ervaringen met de overstap naar de Mavim Cloud zijn positief. We merken dat de portal echt meerwaarde biedt. Door meer gebruik te maken van “plaatjes” vinden de gebruikers van de portal beter hun weg door de informatie die Mavim in zich heeft. We hebben zelf veel werk gestoken in het maken van nieuwe vrije schema’s en hebben soms de boomstructuur in de Mavim Manager aangepast op de navigatie. Wel moesten we nadenken over het gebruik van de licenties die in de cloud iets anders zijn gepositioneerd. Zo wordt het publiceren nu volledig uitgevoerd door eindgebruikers en niet meer door de functioneel beheerder. Elke twee weken wordt de portal ververst met een nieuwe publicatie, dat kost ons ongeveer een uur en daarmee blijven we actueel. TIP 1 Denk van tevoren goed na over het navigatie schema van de portal en schrijf dit uit. Dit schema hoeft niet één op één te lopen met de boomstructuur van de Mavim Manager. Vaak geeft de indeling van de Manager database wel “haakjes” voor een indeling en je kunt zelf via vrije schema’s klikbare menu’s van plaatjes maken. Ons klikbare organisatieschema bijvoorbeeld ziet er als volgt uit: TIP 2 De vrije schema’s worden het visitekaartje van de Mavim portal. Zorg ervoor dat ze er goed uit zien, let op uitlijning, kleurgebruik en lettertype en stem ze onderling op elkaar af. Laat er zo nodig iemand met een beetje verstand van grafisch ontwerp of userinterface design naar kijken. MAVIM ALS ENTERPRISE ARCHITECTUUR TOOL Pensioenfonds Horeca & Catering zet Mavim in als primaire tooling voor IT-architectuur. Dit houdt in dat we gebruik maken van een bedrijfsbrede repository met o.a. processen, organisatie-eenheden, bedrijfsobjecten, applicaties en interfaces die we eenvoudig kunnen gebruik in ArchiMate 3.0 schema’s. ArchiMate is een veelgebruikte standaard als het gaat om weergave van architectuurschema’s, het is een wereldwijde “taal” voor architecten. Voor degenen die deze taal niet zo goed verstaan, maken we meer “free format” modellen. Door het gebruik van vrije schema’s waarin je dezelfde items uit de repository gebruikt, kan dit in Mavim ook heel goed. Het voordeel is dat als een item wijzigt, bijvoorbeeld door een organisatiewijziging, dit direct in alle platen waar dit item is opgenomen, wordt gewijzigd. Links het hoofdmenu voor Bedrijfsarchitectuur. Rechts het menu wat je krijgt als je kiest voor Klanten & Dienstverlening. Al deze vrije schema’s zijn gemaakt in Microsoft Visio en zijn opgebouwd met items uit de Mavim repository. De logo’s komen uit Microsoft PowerPoint, deze zien er wat strakker uit dan wat Visio default aanbiedt. Overigens ben je vrij in het invoegen van plaatjes dus je kan het zo gek maken als je zelf wilt. Voor de architecten onder de lezers: Pensioenfonds Horeca & Catering werkt met het Novius raamwerk voor het in kaart brengen van transformaties die nodig zijn om bedrijfsdoelstellingen te behalen. Je ziet in het plaatje links de onderdelen van dit raamwerk met klikbare links. Nog niet alles is opgenomen in Mavim, zoals het portfoliomanagement, dit is wellicht iets voor de toekomst. Het combineren van vrije schema’s waarbij je kunt doorklikken naar ArchiMate schema’s ziet er als volgt uit (dit is een voorbeeld met het bedrijfsprocesmodel): Je ziet nu waarom kleurgebruik in de schema’s relevant is, je kan er onbedoeld een kermis van maken als je niet van tevoren bedenkt welke schema’s naast elkaar getoond gaan worden. MAVIM IN DE TOEKOMST We hebben zeker nog plannen voor uitbreidingen binnen Mavim. Naast het portfolio management wat ik al noemde, hebben we een module voor AVG die nog ingericht gaat worden en kunnen we nog beter gebruik van de procesflows en rapportagemogelijkheden die Mavim aanbiedt. OVER HET BEDRIJF Pensioenfonds Horeca & Catering: Samen waardevol, nu en later  Wij zijn Pensioenfonds Horeca & Catering. Het pensioenfonds voor en ván alle werknemers en werkgevers in de sectoren horeca en contractcatering. Eind 2019 telden wij ruim 1,3 miljoen (ex-) werknemers en 40.000 werkgevers die bij ons zijn aangesloten. Het belegd vermogen van het pensioenfonds bedraagt € 12,6 miljard (eind 2019). Sinds 1963 beheren en verzorgen wij de pensioenen van harde werkers in een branche waar het draait om goede service en gastvrijheid. Dit doen wij met zo’n 140 betrokken collega’s zo eenvoudig en goedkoop mogelijk. Want hoe slimmer wij het nu regelen, hoe meer er overblijft voor een goed pensioen later. Het liefst duurzaam en groen, omdat wij ook oog hebben voor onze omgeving. Dit alles onder het motto: Samen waardevol, nu en later. Auteur: Margreet van der Krans, business architect bij Pensioenfonds Horeca & Catering Meer weten over Pensioenfonds Horeca & Catering? Download hier de klantcase!

Inhoud Informatiemanagers moeten uit hun papieren toren komen en zichzelf opnieuw uitvinden. Leidinggevenden verwachten steeds minder beheerstaken en vooral analytische vaardigheden, gekoppeld aan een groot veiligheidsbewustzijn plus creatief denken, zodat informatiemanagers verandering kunnen begeleiden. Daarop duidt onderzoek door Iron Mountain en AIIM, de wereldwijde vereniging voor de beroepsgroep. De bevindingen zijn een weerklank van een vorig jaar afgenomen enquête en wekken de indruk dat het vak technischer wordt en dichter tegen dat van data-analisten en IT-collega’s aan komt te liggen.   Risicomanagement Informatiemanagers moeten bekwaam zijn in het managen van risico’s, zegt de helft van de ondervraagden in het onderzoek. Ze moeten vaardigheden op het gebied van beveiliging en gegevensveiligheid onder de knie hebben, naast de traditionele vaardigheden voor het beheer van informatie en inhoud over verschillende platforms en in diverse formaten. Een iets kleinere groep (44% vindt vaardigheden op het gebied van data-analyse relevant. Werkgevers verwachten echter ook dat de informatiemanager van de toekomst helpt bedrijfsmatige kansen te creëren op basis van bedrijfsinformatie, en ondersteuning biedt bij ingrijpende bedrijfsveranderingen zoals fusies, overnames of desinvesteringen.   Zachte vaardigheden Er zit verschil tussen wat werkgevers verwachten en wat hun informatiemanagers kunnen bieden. Als het aankomt op ‘zachte’ vaardigheden is de kloof het grootst in de bekwaamheid om veranderingen te managen. Zeven op de tien ondervraagde managers vinden dit heel belangrijk, maar slechts de helft van de informatiemanagers vertrouwt erop dat zij over die gewenste vaardigheden beschikken. En in realiteit ligt deze bekwaamheid mogelijk lager.  Zelf waardeert 56% van de informatiemanagers zijn ervaring in het trainen van mensen, communicatievaardigheden (47%) en vaardigheden om collega´s te begeleiden (52%). Maar van de werkgevers waardeert slechts 21% deze vaardigheden en slechts 12% geeft om de mentor-eigenschappen. Dat terwijl al deze vaardigheden zeker relevant zijn bij het begeleiden van veranderingen. Positieve waardering is er voor het belangrijkst geachte zachte kenmerk van informatieprofessional: zijn of haar innovatieve denkkracht. Ruim zeven op de tien werkgevers vraagt erom terwijl zes op de tien informatieprofessionals dit denkt in huis te hebben. De vaardigheid om relaties te kunnen bouwen en onderhouden, waarderen beide groepen ongeveer bijna gelijkwaardig: 57% van de werkgevers en 62% van de informatiemanagers. “Het gaat tegenwoordig om het beheren van informatie in een snel digitaliserende wereld. Bedrijven hebben daarom allemaal hetzelfde doel voor ogen: veiligheid, voldoen aan wet- en regelgeving en tegelijkertijd het analyseren van waarde uit de bedrijfsinformatie om concurrentievoordeel te boeken en omzet te genereren”, zegt Jeroen Strik, directeur bij Iron Mountain voor de Benelux. “Werkgevers vragen eenvoudigweg de vaardigheden die daartoe benodigd zijn. Om tot de informatieprofessionals van de volgende generatie te behoren, is het belangrijk de technische, analytische en leidinggevende vaardigheden aan te scherpen, en zelfstandig te denken, te kunnen bemiddelen en te kunnen begeleiden. Anders vormen automatisering, de collega-analisten en de IT?afdeling een bedreiging.”Bron: IT-Executive

Inhoud Kun je deze en andere risico's voorspellen? Hoe geef je risicogestuurd werken eigenlijk handen en voeten? En helpt het om een grote risicoafdeling op te tuigen? Immers, 'veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen'. Kwaliteitsmanagement, risicomanagement en procesmanagement, ze raken steeds meer in elkaar vervlochten. Waarbij de methodologische kant teveel nadruk krijgt, en de menskant te weinig. Daar zijn luchtvaartexpert Benno Baksteen en wetenschapper c.q. adviseur Martin van Staveren het over eens. De risico-experts spreken beiden op 19 november a.s. tijdens het Jaarcongres Procesmanagement over risicomanagement.Meer processen, meer complexiteit  In de luchtvaart is risicomanagement bottom-up gegroeid, schetst Baksteen: ‘Veiligheid is in onze sector een levensvereiste: maak je een fout, dan kun je neerstorten en overlijden. Goede processen rond risicomanagement ondersteunen de handelende mens, slechte processen proberen te voorkomen dat iets misgaat. Bij die laatste zie je in praktijk vaak dat mensen zich indekken, niet de schuld ergens van willen krijgen. Het maakt hen niet uit wat er gebeurt, als zij maar geen verantwoordelijkheid hoeven te nemen.’ Het gevolg: bonafide gedrag verandert dan makkelijk in malafide gedrag, zoals we onlangs zagen bij het emissieschandaal rond Volkswagen. ‘In de luchtvaart is dat automatisch op een goede manier gegroeid; piloten en ander personeel moeten verantwoordelijkheid nemen en indien nodig achteraf verantwoording afleggen. Veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen.’ In het algemeen ziet Baksteen dat organisaties in hun risicomanagement processen te makkelijk op elkaar stapelen. ‘Daarmee maak je het complexer, meer rigide. In veel bureaucratische organisaties redeneren medewerkers: als ik me nou maar aan de regels houd, ben ik nooit het haasje; dan kan het probleem nooit mijn probleem zijn’, aldus Baksteen.Werken aan eigen overbodigheid  Grote risico-afdelingen optuigen helpt dan ook niet, vult Van Staveren aan: ‘Dat hebben we goed kunnen zien bij de banken. Daar ging de afgelopen jaren van alles mis, onder het toeziend oog van complete afdelingen Risk Management en Compliance. Het ‘wegstoppen’ van risicomanagement in aparte afdelingen is een fundamentele fout: ‘Je moet allemaal bezig zijn met risico’s, van hoog tot laag. Want wat is nou eigenlijk een risico precies? Dat is een effect van onzekerheid op de doelen van een organisatie. Dus dat is in wezen neutraal. Omdat iedere medewerker zijn specifieke taken heeft om bij te dragen aan realisatie van die doelen, is iedere medewerker ook verantwoordelijk voor de effecten van onzekerheden om die doelen te bereiken.’ Oftewel, als iedereen dat nou maar gestructureerd en expliciet doet, heb je helemaal geen risicoafdeling of kwaliteitsmanager meer nodig. Idealiter zouden die functies eigenlijk moeten werken aan hun eigen overbodigheid. ‘Met als eindstation dat hun vakgebied integraal onderdeel uitmaakt van de lijn’, stelt Van Staveren. ‘In de overgangsfase heb je wel mensen nodig die dit stimuleren en begeleiden. Een mooie rol voor de huidige risico- en kwaliteitsmanagers.’Bron: Sigma OnlineHoe complex en rigide is risicomanagement binnen uw organisatie? En zijn alle medewerkers daar bezig met risico's, van hoog tot laag? Download hier de whitepaper over integraal risicomanagement

Inhoud Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging, zegt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016. Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is dan ook alles mee gezegd. De meeste risico’s schuilen in de menselijke factor. Nederlandse gemeenten hebben overigens betrekkelijk vaak een veiligheidsfunctionaris in dienst, maar deze heeft vaak niet de juiste papieren. De uitkomsten zijn volgens de opstellers van het rapport zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.   Ketenpartners “Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want je neemt een risico”, zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. “Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden.” Gemeenten moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. “De medewerker die een usb-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden,” zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. “De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt.”   Datalekken bij driekwart gemeenten Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42% ging dit om privacygevoelige informatie. Zo’n 14% kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld. Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. “Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling.”Bron: IT ExecutiveWeten hoe u deze risico’s rond informatiebeveiliging nu op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen. Van risico analyse tot awareness.