SlideShare ist ein Scribd-Unternehmen logo

Förberedelser inför GRC-systemimplementering

Transcendent Group
Transcendent Group

Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

Leadership & Management
1 von 17
Downloaden Sie, um offline zu lesen
Förberedelser inför GRC-system- implementering Alex Hofmann och Claes Holmberg 20 maj 2015
Agenda • Generellt • Förberedelseområden: – Ramverk – Organisation – Processer – GRC-arbetsflöden – Risker och riskkategorier – Kontroller och kontrollmål – Ägarskap och roller – System och dataflöden ©TranscendentGroupSverigeAB2015
Generellt ©TranscendentGroupSverigeAB2015
Integrerad rapportering Ett GRC-system för hantering av information Integrerad GRC information ©TranscendentGroupSverigeAB2015 Integrerat GRC-system Rapport Rapport Rapport Ett gemensamt ramverk och system som återanvänder information för att sedan kunna rapportera samma information ur olika synvinklar för olika ändamål. Informations- insamling sker en gång Ledning Staber IS/IT Avdelning A Avdelning B Avdelning C Intern kontroll Internrevision Risk managament Compliance Risker Kontrollbeskrivningar Incidenter Anmärkningar/brister Förbättringsområden Åtgärdsplaner Processflöden Legala enheter
Intern kontroll Compliance Förutsätter gemensamt språk för GRC ©TranscendentGroupSverigeAB2015 Internrevision Risk management
Förutsättningarna omfattar primärt ©TranscendentGroupSverigeAB2015 Ramverk Organisation Årscykel, målformulering, styrande dokument, definitioner, värderingsskala, förväntad rapportering. Legal, funktionell, geografisk struktur och hierarkier. Processer Bruttoprocesslista med processer och sub-processer som skapar en hanterbar helhetsbild. Risker och riskkategorier Riskuniversum med generiska risker uppdelat i kategorier relevanta för företaget. Ägarskap och roller Roller och ägarskap i GRC-arbetet samt användargrupper i GRC- processerna. System och dataflöden Grundläggande förståelse för system och dataflöden samt dess koppling till risker, processer och organisationsstruktur. Kontroller och kontrollmål Kontroller kopplade till risker, processer och system. GRC- Arbetsflöden Aktiviteter och processer som säkerställer företagets GRC-arbete.
Förberedelseområden ©TranscendentGroupSverigeAB2015
Ramverk • Årscykel med definierade och tidsbestämda GRC-aktiviteter för dokumentera, mäta, följa upp och rapportera finns på plats. • GRC-ramverk och aktiviteter baseras på policys och riktlinjer som är avstämda mot varandra samt att kontrollfunktionerna har samsyn och är koordinerade. • Definitioner för risk, kontroll, processer, ägarskap, brister, åtgärder, etcetera används konsekvent av alla funktioner inom företaget. • En gemensam värderingsskala används konsekvent av alla funktioner inom företaget. • Företaget har explicit målsättning för GRC samt vilken information som ska kunna rapporteras, i vilket format och vid vilka tillfällen och tidpunkter. ©TranscendentGroupSverigeAB2015 Ramverk
Organisation • Företaget har en klar definierad organisationsstruktur med konsekvent använd benämning och hierarki. Organisations- strukturen finns dokumenterad avseende: legala enheter, funktioner/divisioner/avdelningar samt geografisk närvaro. • Företaget har tydligt definierat var och på vilka nivåer specifik GRC-information ska kunna aggregeras och rapporteras inom organisationen. • Pågående projekt samt externa intressenter (exempelvis väsentliga kunder och leverantörer) är kartlagda och tydligt kopplade till organisationsstruktur, processer och relevanta risker. ©TranscendentGroupSverigeAB2015 Organisation
ProcesserProcesser • Företaget har en definierad bruttoprocesslista med processer och sub- processer vars process-hierarki användas konsekvent av hela organisationen. • Inom företaget finns det samsyn på: – Vilka (process)steg processerna innehåller. – Var processerna börjar och var de slutar. – Vem som är processägare och är därmed ansvarig för processen. – Hur processer relaterar till organisationsstrukturen (det vill säga vilka organisatoriska delar ska se och verka inom en process). • Processer på nivå 1 och 2 samt relationer till organisationsstrukturen är dokumenterad. • Styrande dokument, IT-system, risker och kontroller kan tydligt kopplas till processerna. ©TranscendentGroupSverigeAB2015
GRC-Arbetsflöden • Företaget har tydligt definierade aktiviteter och processer som säkerställer företagets GRC-arbete. • Inom företaget finns det samsyn om vem gör vad med vilken målsättning, allt ur ett GRC-perspektiv. • Exempelvis incidenthantering där arbetsflödet besvarar: – vem får registrera en incident och vem utför det? – vem granskar, kategoriserar och godkänner incidenten och inom vilken tidsram? – vem är ansvarig för incidenten och upprättar åtgärdsplan? – hur sätts deadline och vem följer upp på den? – vem åtgärdar incidenten och när anses den vara fullt åtgärdad? – vad händer om deadline inte hålls? – hur ska incidenten rapporteras och när? ©TranscendentGroupSverigeAB2015 GRC- Arbetsflöden
Risker och riskkategorier • Företaget har ett konsekvent definierat riskuniversum med tydliga riskkategorier. • Riskkategorierna är definierade på så sätt att de kan tydligt mappas mot existerande ramverk - exempelvis Basel-regelverkets Event Types för operationell risk. • Inom riskkategorierna har företaget tydligt definierade generiska risker som minsta nivå med krav på hantering i hela organisationen. • Specifika risker relevanta för processer, funktioner, legala enheter etcetera kan läggas till förutsatt att de kan mappas mot fördefinierade riskkategorier. ©TranscendentGroupSverigeAB2015 Risker och riskkategorier
Kontroller och kontrollmål • Inom företaget existerar förväntade kontroller och kontrollmål kopplade till risker, processer och system. • Kontrollerna är dokumenterade och dess effektivitet följs upp och rapporteras regelbundet. • Kontroller och kontrollmål har definierats för hantera företagets risker inom: – operationell effektivitet – regelefterlevnad – finansiell rapportering – IT. ©TranscendentGroupSverigeAB2015 Kontroller och kontrollmål
Ägarskap och roller • Roller och ägarskap är explicit definierade i styrande dokument. • Företaget har tydliggjort ägarskapet för minst processer, risker, kontroller och system. • Företaget har tydliggjort GRC-användargrupper – detta är inte roller utan grupperingar av användare i ett framtida GRC-system. Exempelvis: – Avdelningschefer – Incidentrapportörer – Risk manager – Lokal compliance-samordnare – Internkontroll-ansvarig per avdelning – Internrevisionsgranskare ©TranscendentGroupSverigeAB2015 Ägarskap och roller
System och dataflöden • Företaget har en tydlig dokumenterad systemflora och dataflöden kopplade till organisationsstruktur, processer och risker. • Applikationer har samma namn inom organisationen, ägarskap är definierat samt att applikationens användningsområde är tydligt definierat. • Väsentlig och affärskritisk data och dataflöden är identifierade. ©TranscendentGroupSverigeAB2015 System och dataflöden
Frågor? ©TranscendentGroupSverigeAB2015
www.transcendentgroup.com

Empfohlen

GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 

Empfohlen

GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSOTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Riskhantering
RiskhanteringRiskhantering
RiskhanteringNils Thulin
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSOTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Riskanalysen
RiskanalysenRiskanalysen
RiskanalysenNils Thulin
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 
Från intern kontroll till ERM
Från intern kontroll till ERMFrån intern kontroll till ERM
Från intern kontroll till ERMAcando Consulting
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 

Weitere ähnliche Inhalte

Was ist angesagt?

Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Transcendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 

Was ist angesagt? (20)

Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSO
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
 
Riskanalysen
RiskanalysenRiskanalysen
Riskanalysen
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17Frukostseminarium om assurance map och audit universe 2014-06-17
Frukostseminarium om assurance map och audit universe 2014-06-17
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
 

Andere mochten auch

Från intern kontroll till ERM
Från intern kontroll till ERMFrån intern kontroll till ERM
Från intern kontroll till ERMAcando Consulting
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Transcendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljöTranscendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Transcendent Group
 

Andere mochten auch (20)

Från intern kontroll till ERM
Från intern kontroll till ERMFrån intern kontroll till ERM
Från intern kontroll till ERM
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Value added security services
Value added security servicesValue added security services
Value added security services
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 

Ähnlich wie Förberedelser inför GRC-systemimplementering

Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Svenskt Projektforum
 
Frukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringFrukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringTranscendent Group
 
Affärssystem: Eget vs. standard
Affärssystem: Eget vs. standard Affärssystem: Eget vs. standard
Affärssystem: Eget vs. standard Alex Eriksson
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & LönsamhetRolf Häsänen
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Idenet
 
HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016Fredrik Rexhammar
 
Risk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasRisk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasTranscendent Group
 
Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Tina Bohlin
 
Audit influencer marketing-2018
Audit influencer marketing-2018Audit influencer marketing-2018
Audit influencer marketing-2018Johanna Andersson
 
Affecto undersökning ekonomer
Affecto undersökning ekonomerAffecto undersökning ekonomer
Affecto undersökning ekonomeraffectosweden
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledningPontus Wadström
 
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...IBM Sverige
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringE-delegationen
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxAdvania
 
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...Svenskt Projektforum
 
Presentation Myrefjord & Partner AB
Presentation Myrefjord & Partner ABPresentation Myrefjord & Partner AB
Presentation Myrefjord & Partner ABPeter Myrefjord
 

Ähnlich wie Förberedelser inför GRC-systemimplementering (20)

Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision Projektverktygsdagen 2013 - Projektrevision
Projektverktygsdagen 2013 - Projektrevision
 
Ingela Olofson - FCS
Ingela Olofson - FCSIngela Olofson - FCS
Ingela Olofson - FCS
 
Frukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapporteringFrukostseminarium riskdataaggregering och riskrapportering
Frukostseminarium riskdataaggregering och riskrapportering
 
Affärssystem: Eget vs. standard
Affärssystem: Eget vs. standard Affärssystem: Eget vs. standard
Affärssystem: Eget vs. standard
 
Nätverksmöte080925
Nätverksmöte080925Nätverksmöte080925
Nätverksmöte080925
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
 
HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016
 
Risk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdaterasRisk ett fokusområde när ISO 9001 uppdateras
Risk ett fokusområde när ISO 9001 uppdateras
 
Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)Riskhantering och revidering iso 9001 (140515)
Riskhantering och revidering iso 9001 (140515)
 
Audit influencer marketing-2018
Audit influencer marketing-2018Audit influencer marketing-2018
Audit influencer marketing-2018
 
Affecto undersökning ekonomer
Affecto undersökning ekonomerAffecto undersökning ekonomer
Affecto undersökning ekonomer
 
IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjare
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning
 
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...
Utvecklandet av en företagsgemensam informationsplattform – Länsförsäkringar ...
 
SäKerhet I Molnen
SäKerhet I MolnenSäKerhet I Molnen
SäKerhet I Molnen
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptx
 
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...
Projektverktygsdagen 2013 - Antura: allt du behöver veta inför val av projekt...
 
Presentation Myrefjord & Partner AB
Presentation Myrefjord & Partner ABPresentation Myrefjord & Partner AB
Presentation Myrefjord & Partner AB
 

Mehr von Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 

Mehr von Transcendent Group (7)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 

Förberedelser inför GRC-systemimplementering

  • 2. Agenda • Generellt • Förberedelseområden: – Ramverk – Organisation – Processer – GRC-arbetsflöden – Risker och riskkategorier – Kontroller och kontrollmål – Ägarskap och roller – System och dataflöden ©TranscendentGroupSverigeAB2015
  • 4. Integrerad rapportering Ett GRC-system för hantering av information Integrerad GRC information ©TranscendentGroupSverigeAB2015 Integrerat GRC-system Rapport Rapport Rapport Ett gemensamt ramverk och system som återanvänder information för att sedan kunna rapportera samma information ur olika synvinklar för olika ändamål. Informations- insamling sker en gång Ledning Staber IS/IT Avdelning A Avdelning B Avdelning C Intern kontroll Internrevision Risk managament Compliance Risker Kontrollbeskrivningar Incidenter Anmärkningar/brister Förbättringsområden Åtgärdsplaner Processflöden Legala enheter
  • 5. Intern kontroll Compliance Förutsätter gemensamt språk för GRC ©TranscendentGroupSverigeAB2015 Internrevision Risk management
  • 6. Förutsättningarna omfattar primärt ©TranscendentGroupSverigeAB2015 Ramverk Organisation Årscykel, målformulering, styrande dokument, definitioner, värderingsskala, förväntad rapportering. Legal, funktionell, geografisk struktur och hierarkier. Processer Bruttoprocesslista med processer och sub-processer som skapar en hanterbar helhetsbild. Risker och riskkategorier Riskuniversum med generiska risker uppdelat i kategorier relevanta för företaget. Ägarskap och roller Roller och ägarskap i GRC-arbetet samt användargrupper i GRC- processerna. System och dataflöden Grundläggande förståelse för system och dataflöden samt dess koppling till risker, processer och organisationsstruktur. Kontroller och kontrollmål Kontroller kopplade till risker, processer och system. GRC- Arbetsflöden Aktiviteter och processer som säkerställer företagets GRC-arbete.
  • 8. Ramverk • Årscykel med definierade och tidsbestämda GRC-aktiviteter för dokumentera, mäta, följa upp och rapportera finns på plats. • GRC-ramverk och aktiviteter baseras på policys och riktlinjer som är avstämda mot varandra samt att kontrollfunktionerna har samsyn och är koordinerade. • Definitioner för risk, kontroll, processer, ägarskap, brister, åtgärder, etcetera används konsekvent av alla funktioner inom företaget. • En gemensam värderingsskala används konsekvent av alla funktioner inom företaget. • Företaget har explicit målsättning för GRC samt vilken information som ska kunna rapporteras, i vilket format och vid vilka tillfällen och tidpunkter. ©TranscendentGroupSverigeAB2015 Ramverk
  • 9. Organisation • Företaget har en klar definierad organisationsstruktur med konsekvent använd benämning och hierarki. Organisations- strukturen finns dokumenterad avseende: legala enheter, funktioner/divisioner/avdelningar samt geografisk närvaro. • Företaget har tydligt definierat var och på vilka nivåer specifik GRC-information ska kunna aggregeras och rapporteras inom organisationen. • Pågående projekt samt externa intressenter (exempelvis väsentliga kunder och leverantörer) är kartlagda och tydligt kopplade till organisationsstruktur, processer och relevanta risker. ©TranscendentGroupSverigeAB2015 Organisation
  • 10. ProcesserProcesser • Företaget har en definierad bruttoprocesslista med processer och sub- processer vars process-hierarki användas konsekvent av hela organisationen. • Inom företaget finns det samsyn på: – Vilka (process)steg processerna innehåller. – Var processerna börjar och var de slutar. – Vem som är processägare och är därmed ansvarig för processen. – Hur processer relaterar till organisationsstrukturen (det vill säga vilka organisatoriska delar ska se och verka inom en process). • Processer på nivå 1 och 2 samt relationer till organisationsstrukturen är dokumenterad. • Styrande dokument, IT-system, risker och kontroller kan tydligt kopplas till processerna. ©TranscendentGroupSverigeAB2015
  • 11. GRC-Arbetsflöden • Företaget har tydligt definierade aktiviteter och processer som säkerställer företagets GRC-arbete. • Inom företaget finns det samsyn om vem gör vad med vilken målsättning, allt ur ett GRC-perspektiv. • Exempelvis incidenthantering där arbetsflödet besvarar: – vem får registrera en incident och vem utför det? – vem granskar, kategoriserar och godkänner incidenten och inom vilken tidsram? – vem är ansvarig för incidenten och upprättar åtgärdsplan? – hur sätts deadline och vem följer upp på den? – vem åtgärdar incidenten och när anses den vara fullt åtgärdad? – vad händer om deadline inte hålls? – hur ska incidenten rapporteras och när? ©TranscendentGroupSverigeAB2015 GRC- Arbetsflöden
  • 12. Risker och riskkategorier • Företaget har ett konsekvent definierat riskuniversum med tydliga riskkategorier. • Riskkategorierna är definierade på så sätt att de kan tydligt mappas mot existerande ramverk - exempelvis Basel-regelverkets Event Types för operationell risk. • Inom riskkategorierna har företaget tydligt definierade generiska risker som minsta nivå med krav på hantering i hela organisationen. • Specifika risker relevanta för processer, funktioner, legala enheter etcetera kan läggas till förutsatt att de kan mappas mot fördefinierade riskkategorier. ©TranscendentGroupSverigeAB2015 Risker och riskkategorier
  • 13. Kontroller och kontrollmål • Inom företaget existerar förväntade kontroller och kontrollmål kopplade till risker, processer och system. • Kontrollerna är dokumenterade och dess effektivitet följs upp och rapporteras regelbundet. • Kontroller och kontrollmål har definierats för hantera företagets risker inom: – operationell effektivitet – regelefterlevnad – finansiell rapportering – IT. ©TranscendentGroupSverigeAB2015 Kontroller och kontrollmål
  • 14. Ägarskap och roller • Roller och ägarskap är explicit definierade i styrande dokument. • Företaget har tydliggjort ägarskapet för minst processer, risker, kontroller och system. • Företaget har tydliggjort GRC-användargrupper – detta är inte roller utan grupperingar av användare i ett framtida GRC-system. Exempelvis: – Avdelningschefer – Incidentrapportörer – Risk manager – Lokal compliance-samordnare – Internkontroll-ansvarig per avdelning – Internrevisionsgranskare ©TranscendentGroupSverigeAB2015 Ägarskap och roller
  • 15. System och dataflöden • Företaget har en tydlig dokumenterad systemflora och dataflöden kopplade till organisationsstruktur, processer och risker. • Applikationer har samma namn inom organisationen, ägarskap är definierat samt att applikationens användningsområde är tydligt definierat. • Väsentlig och affärskritisk data och dataflöden är identifierade. ©TranscendentGroupSverigeAB2015 System och dataflöden