Upload
transcendent-group
View
47
Download
4
Embed Size (px)
Citation preview
Exempel på effektiv risk-
och kontrollrapportering
Hampus Pihl och Håkan Berg
20 maj, GRC 2015
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har fyra år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Inledande övning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Några saker att ha i beaktande
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Effektiv rapportering kräver
att du reflekterar över
• Syfte
• Mottagargruppen
– Kompetens
– Vill ha kontra bör vilja ha
– Aktiv efterfrågan kontra passivt
mottagande
• Systemstöd
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Målsättningar med rapportering
Mottagare
Rätt information
•Sova gott?
•Fatta beslut?
Tydlighet och förtroende
Rätt omfattning
I rätt tid
Rapportör
Tidseffektiv
Påvisa utfört arbete
Påvisa kvalitet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Exempel på rapportering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Processorienterad
Process Utvärdering
Process 1
Process 2
Process 3
Process 4
Process 5
Process 6
Process 7
Huvud
pro
cess
Stö
dp
roce
ss
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Organisationsbaserad
VD
enhet 1 enhet 2 enhet 3 enhet 4
ekonomi HR
IT marknad
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Områdesindelad
Verkligt exempel
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Systemstöd
• Från avancerade GRC-system till excelbaserade lösningar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Exempel på excelbaserat verktyg
• Riskkatalog
• Riskvärdering
• Uppföljning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
…för rapport och analys
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Tre exempel på hur en COSO-
baserad utvärdering kan
presenteras
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
COSO-baserad utvärdering:
rapportformat
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
= kräver åtgärd = fungerar delvis = fungerar ändamålsenligt
relevanta mål
identifiera och analysera risk
medvetenhet kring oegentligheter
identifiera och analysera förändringar
relevant information
strukturer och rutiner för intern kommunikation
strukturer och rutiner för extern kommunikation
löpande och
separata
utvärderingar
identifiera,
utvärdera och
kommunicera
brister
integritet och
etiska värden
oberoende och
uppföljning
organisations-
struktur, ansvar
och befogenheter
kompetens-
försörjning
ansvar och
påföljder
riskbedömninguppföljning
information och kommunikation
styrning och
kontrollmiljö
kontrollåtgärder
identifiera och utforma kontrollaktiviteter
identifiera och utforma generella IT-kontroller
riktlinjer och rutiner
Trafikljusbedömning per COSO-
komponent/-princip
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Nuläge och önskat läge
Integritet och etiska värden
Styrelse
Ledningens filosofi och verksamhetsstyrning
Organisationsstruktur
Kompetens
Roller och ansvar
HR
Mål
Rapportering av risker
Risk för bedrägeri beaktas
Koppling till riskbedömningen
Identifiera och utforma kontrollaktiviteter
Riktlinjer och rutiner
IT
Rapportering
Information om internkontroll
Intern kommunikation
Extern kommunikation
Löpande och separata utvärderingar
Rapportering av brister
Önskat läge Nuläge
Spindeldiagram utifrån mentometer
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Diskussionsfrågor
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Frågor till mottagare
• Vilka rapporter får ni idag?
• Vilka rapporter får ni inte idag?
• Vilka rapporter efterfrågar ni?
• Rätt frekvens på rapportering?– Regelbunden eller vid enskilda händelser?
• Rätt omfattning på rapporter?
• Vilka egenskaper värdesätts?– Kvalitativ eller kvantitativ
• När är löpande text lämpligt?
– När är trafikljus lämpligt?
– Generell eller selektiv?
– Fakta och/eller analys?
• Vad kan förbättras?
• Feedback till rapportörer?– Krav, önskemål samt löpande återkoppling
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Frågor till rapportörer
• Vilka rapporter skriver ni idag?
– Till vilka mottagare?
• Vilka ytterligare rapporter skulle ni vilja skriva?
• Vilka ytterligare mottagare skulle ni vilja nå?
• Feedback på rapporter från mottagare?
• Kravställning på rapporter från mottagare?
– Skillnader mellan olika mottagare/möten/forum?
– Skillnad mellan olika ämnen?
• Vilket systemstöd har ni i rapportgenerering?
• Bra respektive dåliga erfarenheter?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
www.transcendentgroup.com