Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Relaterede dokumenter
Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Director Onboarding Værktøj til at sikre at nye bestyrelsesmedlemmer hurtigt får indsigt og kommer up to speed

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

RÅDET FOR DIGITAL SIKKERHED

Velkommen til den nye ISO Glaesel HSEQ Management

Hvor er Call Centrets serviceaftaler?

CODAN FORSIKING A/S AFLØNNINGSRAPPORT 2012

Fra konsensus- til performancekultur

Hvad betyder oplysningskravene for din virksomhed?

CODAN A/S AFLØNNINGSRAPPORT 2011

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Solvens II Er vi tæt på mål?

Compliance Agenda Bæredygtig leverandørstyring i Nordea. Maria Hejde Færgemann Berlingske Business og Deloitte, Compliance Agenda 2014

ELFT Driver diagram. Build the will AIM: Build improvement capability

Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

Introduktion til NNIT

Seminar d Klik for at redigere forfatter

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Ressourcebeskrivelse Compliance

DONG ENERGY IPO SET FRA LEGAL COMPLIANCE OFFICER. Ulrik Jarlov Director, head of Company Secretariat & Compliance

Revideret Miljøledelsesstandard

CODAN A/S AFLØNNINGSRAPPORT 2012

Statusrapport. Rapportperiode: Juli Queue: Telefoni

Bekæmpelse af hvidvask en praktisk introduktion

Ledelsesbekendtgørelsen

Online kursus: Certified Information Security Manager (CISM)

Velkommen til SAS COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

CODAN A/S AFLØNNINGSRAPPORT 2012

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Mail, Kalender, Chat, Fildeling, Sites, Indhold, Sikkerhed og meget meget mere. Øg produktiviteten med samarbejdsværktøjer

Security & Risk Management Summit

Cognos. Charlotte Dreyer Nielsen Corporate Business Controlling Manager

Risk Management i danske virksomheder

South Arne HSEQ Esbjerg 30-03

FM drift og samspillet med økonomisystemer v/ Peter Leth Donnerstag

Kommissorium for Revisionsudvalget Forsikringsselskabet Danica, skadesforsikringsaktieselskab af 1999 CVR-nr

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

Persondataforordningen...den nye erklæringsstandard

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Accountability Hvad kan vi lære af den finansielle sektor

børsnoterede virksomhedens rapportering om samfundsansvar.

Lars Neupart Director GRC Stifter, Neupart

Nye EU regler for flyvepladser

Risk Management. Risk Management

3) Klasse B og C. Årsregnskab og koncernregnskab udarbejdes efter International Financial Reporting Standards som godkendt af EU

Center of Excellence INTRODUKTION

accodesk vi hjælper dig hele vejen!

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Har det en værdi og hvordan kommer du i gang?

DYNAMICS AX 2012 FÅ OVERBLIK OG SE NYE MULIGHEDER BUSINESS PRODUCTIVITY

Lovpligtig redegørelse for virksomhedsledelse 2013

Etablering af en effektiv Operating Model for RPA

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for Revisionsudvalget. Danske Bank A/S CVR-nr

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

It-direktør Nils Lau Frederiksen

Lønpolitik for PenSam Bank A/S

Lønpolitik for PenSam Bank A/S

Sesam seminar nr Sesam seminar nr Opbygning af standard bibliotek til PLC / SCADA / MES

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

2017 v4.0 Måned. Skriftlig fremstilling i henhold til Skabelon herfor. Opsamling i rapport til Compliance Comitee.

Arbejdsplan for revisionsudvalget.

Informationssikkerhedspolitik for Horsens Kommune

Tæt på forretningen LEGO Koncernen. Sten Daugaard CFO, The LEGO Group

Lønpolitik for PenSam A/S

F2 support rapport. Rapportperiode: februar 2017

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

Offentliggørelse af oplysninger vedrørende overholdelse af ledelseskrav.


Lønpolitik for PenSam A/S

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Projektledelse i praksis

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Branchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev

kliniske forsøg og indføre processer for at forhindre disse i at gentage sig?"

Politik for håndtering af interessekonflikter i Sparinvest

Kursus: Ledelse af it- sikkerhed

Leverandørstyring: Stil krav du kan måle på

Datahåndtering og tolkning af jord- og grundvandsforurening ATV jord og Grundvand

High performance maksimér potentialet. En måling er bedre end 100 mavefornemmelser. Per Hartlev 30/9-2015

Identity Access Management

Integrated Coastal Zone Management and Europe

Velkommen Gruppe SJ-1

Implementering af informationssikkerhed

Databeskyttelsesdagen

Commercial Analysis. Freedom2Act. Freedom2Act. 1x0. Finn Ritslev CEO og stifter

En måling er bedre end 100 mavefornemmelser

CSR-ESG Studiekreds forår Møde d. 5. marts Risikohåndtering og opportunities Stephen Hart, Head of Office European Investment Bank Denmark

Branchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev

DFM netværk. Hvordan får vi den service, vi har behov for? Charlotte Kyhl/

Solutions Day. IT Service Management. Globeteam ITSM

Kompetence opbygning til bæredygtighed i FM. INNObyg Susanne Balslev Nielsen 12 November 2014

Revisionsrapport Revision af vederlag for 2017

ESG reporting meeting investors needs

CSR nyheder og erfaringer

Transkript:

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen Sikkerhed & Revision 2015

Dagsorden 1. Introduktion 2. Organisation 3. Operationel risiko processen 4. Revision af operationel risiko - rapportering 5. Revision af operationel risiko management i Group IT 6. Eventuelt 2

Introduktion Revision af risikorapportering hænger sammen med nedenstående: Operationel risiko organisation Operationel risiko proces Modenhed Afgrænser fra kapitaldækning relateret til operationel risiko 3

Operationel risiko - Organisation Bestyrelse (BoD) Direktion (EXCO) Operational Risk Committee (ORCO) etableret af EXCO som rådgivende komite Group Operational Risk (GOR) organisatorisk funderet i Group Risk Management Risk units/operational Risk Managers (ORM) for hvert forretningsområde - bl.a. én med ansvar for Group IT Local Operational Risk Managers (LORM) lokale underliggende markedsområder Frontline/head office medarbejdere. 4

5

Operationel risiko processen Operational Risk Policy/Risk Appetite godkendt af BoD Risiko appetit fastlægges på koncernniveau og fordeles ud på de enkelte enheder i koncernen. Risk Identification and Assessment (RIA) Risikoidentifikationsproces hvor alle væsentlige risici bliver identificeret/vurderet og for disse bliver følgende fastlagt: Ejer Effekt: Impact, likelihood reputational impact Vurdering af kontrol niveau Residual risk -> Key Risk? Kontrolmiljø status Tabsopsamling (ORIS) foretages af på i alle enheder og kontrolleres af i de enkelte lag af risikofunktioner LORM ORM GOR Processen indeholder beløbsgrænser for rapportering af enkelt tab op af i organisationen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO 6

Operationel risiko processen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO Udarbejdes hvert kvartal dækkende koncernen of væsentlige forretningsområder Indeholder: Indledes med summary opsummeret på baggrund af mere detaljeret rapportering på følgende sider med følgende: Risk profile Key risk status Loss development KPI trafiklys Audit remarks 7

Highly Prioritized Key Risks and Assessment 8

Key Performance Indicators 9

Risk Profile Low: No mangagement action is required Medium: Management action might be required High: Immediate management action is required 10

Revision af operationel risiko - rapportering Formål: Compliance Identification af risiko profil/basis for revisionsplanlægning Metode: Fokus på processer, der sikrer en pålidelig rapportering Begrænset revision af selve rapporteringen 11

Revision af operationel risiko - rapportering ORCO Vurdering af Politik og Risiko appetit Deltager i møderne som observer Læser materiale som input til risikovurdering og revisionsstrategi Group Operational Risk Revision of set-up og compliance med FIL/ 71 bekendtgørelsen Design og Implementering af RIA processen Design og implementering af processen til tabsopsamling Design af rapporteringsprocessen Risk units/operational Risk Managers Revision af compliance med OR politik Revision af efterlevelse af instruktioner forretningsgange fra GOR [Risk governance, framework, Risk identification, Risk analysis, Risk monitoring and reporting, loss collection, OR controlling and Risk awareness program] Forretnings-/ressourceområder Operationel revision af efterlevelse af forretningsgange/politikker på OR områder 12

IT Risk Management - Audit areas 1 2 3 Governance Organisation Procedurer Framework, alignment med central strategi/politik, fuldstændighed (RIA) Compliance og support fra relevante enheder Rapportering og godkendelse IT Risk Management organisation, stakeholders Roller og ansvar (central/decentral) Level 1-3 Nedsivning og bottom up Relevante proces- og procedure beskrivelser Risk identification and approval Risk Assessment and approval Risk mitigation/acceptance and approval Monitoring and follow up opsamling af tab (ORIS) Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 13

IT Risk Management - Audit areas 3 Procedurer Monitoring and follow up Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 14

IT Risk Management - Audit areas 4 5 Awareness Implementering Awareness direkte hos ansvarlige og ift. støttefunktioner Quality - kompetencer Quantity - kompetencer Hvordan virker det i praksis Operating effektiveness Eksempler fra IT Operations Risk Letters Er kendte svagheder fra andre audits rapporteret som IT Risk 15

16

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback