Logo organisatie
Eindopdracht Riskmanagement, Compliance &
Governance
Naam: XXX
Studentnummer: XXX
Datum:XX-XX-XXXX
NCOI
Master Finance & Control
Module Masterclass Riskmanagement, Compliance & Governance
Naam Docent: XXX
,VOORWOORD
Voor u ligt de eindopdracht van de Masterclass Riskmanagement, Compliance & Governance welke
onderdeel uitmaakt van de Master Finance & Control. Dit betreft de XXX masterclass van de totale
master.
Mijn naam is XXX en ik ben XXX jaar. Ik ben sinds XXX werkzaam bij xxxxxxxxxxxxx als XXX. XXX
produceert en levert XXX voor diverse toepassingsgebieden. De Masterclass zie ik als een aanvulling
op mijn huidige werk en draagt bij aan meer diepgang.
Graag wil ik mijn gezin bedanken voor de tijd die ik heb gekregen om te werken aan deze opdracht.
Daarnaast wil ik mijn werkgever bedanken voor de mogelijkheid die zij mij hebben geboden om deze
masterclass te volgen.
Als laatste wil ik mijn docent XXX bedanken die mij richting heeft gegeven in deze masterclass en de
verschillende bijeenkomsten op een praktische manier ons heeft meegenomen in de wereld van
riskmanagement, compliance en governance. De bijeenkomsten waren erg interactief en leerzaam.
XXX
XXX
1
,SAMENVATTING
Dit praktijkplan heeft als doel om een analyse van het riskmanagement, governance en compliance
beleid van WERKGEVER op te stellen. Op basis hiervan worden drie verbetervoorstellen
geformuleerd.
Het onderdeel riskmanagement is beoordeeld met behulp van het COSO ERM 2017 model. Per
onderdeel van het COSO-model is een oordeel gegeven. Samengevat kan worden gemeld dat
risicomanagement op dit moment niet een organisatie brede aangelegenheid is. Wel op het gebied
van Safety en IT worden vanuit de moedermaatschappij duidelijke richtlijnen uitgezet. Maar op andere
gebieden lijkt verbetering mogelijk. Denk hierbij aan de tone at the top en de 5 lines of defence. Met
name het uitdragen van risicomanagement door de directie is van belang. Momenteel is het nog
traditioneel ingericht en lijkt de kwaliteitsmanager verantwoordelijk. Voor wat betreft cultuur lijkt de
organisatie goed te scoren. Op het gebied van handhaving en bespreekbaarheid lijken er nog
verbeteringen mogelijk. Eveneens lijken een aantal belangrijke document verouderd. Ook is er geen
heat map aanwezig die de risk appetite van de organisatie weergeeft.
Het onderdeel governance is beoordeeld met behulp van het Diamond model. Samengevat kan
worden gemeld dat de governance sturing binnen WERKGEVER vooral winst gedreven lijkt te zijn en
lijkt er vooral een kortetermijnvisie. Aandacht voor strategie vanuit de moedermaatschappij lijkt
minimaal. Dit is mogelijk het gevolg van het feit dat de organisatie een onderdeel is van XXX, welke
meer maatschappijen heeft waarin is geïnvesteerd. Het uitdragen van governance voor langere
termijn en het uitdragen van 17 wereldwijde doelen kan sterk verbeterd worden binnen WERKGEVER
en kan als zwak worden bestempeld. Aansluitend daarop kan worden vermeld dat de organisatie
volgens Meuleman (2008) gekenmerkt kan worden als een netwerk governance. Dit heeft een aantal
voordelen zoals een hoge mate van vertrouwen en een informele werksfeer. Als nadeel kan hier
worden genoemd dat besluiteloosheid op de loer ligt. De interne en externe governance zijn daarnaast
ook nader toegelicht.
Het compliance beleid is met behulp van het Sure!-ontwikkelmodel beoordeeld. Hierbij wordt gestart
met de basiswaarden. Wellicht is dat ook de eindconclusie voor wat betreft compliance. Je kunt allerlei
regels opstellen, maar compliance zou door de werknemers in de basis als normaal moeten worden
gezien en onbewust bekwaam moeten worden beleefd. De eigen organisatie is er een waarbij er een
open cultuur is en een hoge eigen verantwoordelijkheid. Compliance zou daarom door de werknemers
zelf als belangrijk onderdeel moeten worden ervaren. De realiteit leert dat dit een lastig onderwerp is.
Het lijkt nog een lange weg om te bewandelen, maar wel een weg die het uiteindelijke doel zou
moeten zijn. Aansluitend kunnen wij hier ook melden dat de basis wordt begonnen vanuit de visie en
strategie. Eventueel aanvullend onderzoek zou gedaan kunnen worden naar de effectiviteit van de
door de moedermaatschappij aangeboden “verplichte” cursussen.
Het rapport wordt afgesloten met drie verbetervoorstellen op het gebied van riskmanagement,
governance en compliance.
2
, INHOUDSOPGAVE
Voorwoord ............................................................................................................................. 1
Samenvatting ........................................................................................................................ 2
1 Inleiding .......................................................................................................................... 5
1.1 Introductie ............................................................................................................... 5
1.2 Belang en opzet eindopdracht ................................................................................. 5
1.2.1 Eindopdracht .................................................................................................... 5
1.2.2 Governance, Risk & Compliance (GRC)........................................................... 5
1.2.3 Interne en externe ontwikkelingen .................................................................... 5
2 Riskmanagement ........................................................................................................... 6
2.1 Inleiding ................................................................................................................... 6
2.2 COSO ERM-Model .................................................................................................. 6
2.2.1 Governance & cultuur....................................................................................... 6
2.2.2 Strategie en doelstellingen ............................................................................... 7
2.2.3 Performance .................................................................................................... 8
2.2.4 Review & revision ............................................................................................. 9
2.2.5 Information, communication & reporting ........................................................... 9
3 Governance...................................................................................................................11
3.1 Inleiding ..................................................................................................................11
3.2 Diamondmodel .......................................................................................................11
3.2.1 Sturen .............................................................................................................12
3.2.2 Beheersen.......................................................................................................12
3.2.3 Toezicht ..........................................................................................................12
3.2.4 Verantwoorden ................................................................................................13
3.2.5 Conclusie ........................................................................................................13
4 Compliance beleid .........................................................................................................14
4.1 Inleiding ..................................................................................................................14
4.2 Sure! -ontwikkelmodel ............................................................................................14
4.2.1 Basiswaarden..................................................................................................14
4.2.2 Normenkader ..................................................................................................14
4.2.3 Voorbeeldgedrag.............................................................................................14
4.2.4 Gedragspatronen ............................................................................................15
4.2.5 Conclusie ........................................................................................................15
5 Conclusies en verbetervoorstellen .................................................................................16
5.1 Riskmanagement ...................................................................................................16
5.2 Governance............................................................................................................16
5.3 Compliance ............................................................................................................17
6 Reflectie ........................................................................................................................18
7 Literatuurlijst ..................................................................................................................19
3
Eindopdracht Riskmanagement, Compliance &
Governance
Naam: XXX
Studentnummer: XXX
Datum:XX-XX-XXXX
NCOI
Master Finance & Control
Module Masterclass Riskmanagement, Compliance & Governance
Naam Docent: XXX
,VOORWOORD
Voor u ligt de eindopdracht van de Masterclass Riskmanagement, Compliance & Governance welke
onderdeel uitmaakt van de Master Finance & Control. Dit betreft de XXX masterclass van de totale
master.
Mijn naam is XXX en ik ben XXX jaar. Ik ben sinds XXX werkzaam bij xxxxxxxxxxxxx als XXX. XXX
produceert en levert XXX voor diverse toepassingsgebieden. De Masterclass zie ik als een aanvulling
op mijn huidige werk en draagt bij aan meer diepgang.
Graag wil ik mijn gezin bedanken voor de tijd die ik heb gekregen om te werken aan deze opdracht.
Daarnaast wil ik mijn werkgever bedanken voor de mogelijkheid die zij mij hebben geboden om deze
masterclass te volgen.
Als laatste wil ik mijn docent XXX bedanken die mij richting heeft gegeven in deze masterclass en de
verschillende bijeenkomsten op een praktische manier ons heeft meegenomen in de wereld van
riskmanagement, compliance en governance. De bijeenkomsten waren erg interactief en leerzaam.
XXX
XXX
1
,SAMENVATTING
Dit praktijkplan heeft als doel om een analyse van het riskmanagement, governance en compliance
beleid van WERKGEVER op te stellen. Op basis hiervan worden drie verbetervoorstellen
geformuleerd.
Het onderdeel riskmanagement is beoordeeld met behulp van het COSO ERM 2017 model. Per
onderdeel van het COSO-model is een oordeel gegeven. Samengevat kan worden gemeld dat
risicomanagement op dit moment niet een organisatie brede aangelegenheid is. Wel op het gebied
van Safety en IT worden vanuit de moedermaatschappij duidelijke richtlijnen uitgezet. Maar op andere
gebieden lijkt verbetering mogelijk. Denk hierbij aan de tone at the top en de 5 lines of defence. Met
name het uitdragen van risicomanagement door de directie is van belang. Momenteel is het nog
traditioneel ingericht en lijkt de kwaliteitsmanager verantwoordelijk. Voor wat betreft cultuur lijkt de
organisatie goed te scoren. Op het gebied van handhaving en bespreekbaarheid lijken er nog
verbeteringen mogelijk. Eveneens lijken een aantal belangrijke document verouderd. Ook is er geen
heat map aanwezig die de risk appetite van de organisatie weergeeft.
Het onderdeel governance is beoordeeld met behulp van het Diamond model. Samengevat kan
worden gemeld dat de governance sturing binnen WERKGEVER vooral winst gedreven lijkt te zijn en
lijkt er vooral een kortetermijnvisie. Aandacht voor strategie vanuit de moedermaatschappij lijkt
minimaal. Dit is mogelijk het gevolg van het feit dat de organisatie een onderdeel is van XXX, welke
meer maatschappijen heeft waarin is geïnvesteerd. Het uitdragen van governance voor langere
termijn en het uitdragen van 17 wereldwijde doelen kan sterk verbeterd worden binnen WERKGEVER
en kan als zwak worden bestempeld. Aansluitend daarop kan worden vermeld dat de organisatie
volgens Meuleman (2008) gekenmerkt kan worden als een netwerk governance. Dit heeft een aantal
voordelen zoals een hoge mate van vertrouwen en een informele werksfeer. Als nadeel kan hier
worden genoemd dat besluiteloosheid op de loer ligt. De interne en externe governance zijn daarnaast
ook nader toegelicht.
Het compliance beleid is met behulp van het Sure!-ontwikkelmodel beoordeeld. Hierbij wordt gestart
met de basiswaarden. Wellicht is dat ook de eindconclusie voor wat betreft compliance. Je kunt allerlei
regels opstellen, maar compliance zou door de werknemers in de basis als normaal moeten worden
gezien en onbewust bekwaam moeten worden beleefd. De eigen organisatie is er een waarbij er een
open cultuur is en een hoge eigen verantwoordelijkheid. Compliance zou daarom door de werknemers
zelf als belangrijk onderdeel moeten worden ervaren. De realiteit leert dat dit een lastig onderwerp is.
Het lijkt nog een lange weg om te bewandelen, maar wel een weg die het uiteindelijke doel zou
moeten zijn. Aansluitend kunnen wij hier ook melden dat de basis wordt begonnen vanuit de visie en
strategie. Eventueel aanvullend onderzoek zou gedaan kunnen worden naar de effectiviteit van de
door de moedermaatschappij aangeboden “verplichte” cursussen.
Het rapport wordt afgesloten met drie verbetervoorstellen op het gebied van riskmanagement,
governance en compliance.
2
, INHOUDSOPGAVE
Voorwoord ............................................................................................................................. 1
Samenvatting ........................................................................................................................ 2
1 Inleiding .......................................................................................................................... 5
1.1 Introductie ............................................................................................................... 5
1.2 Belang en opzet eindopdracht ................................................................................. 5
1.2.1 Eindopdracht .................................................................................................... 5
1.2.2 Governance, Risk & Compliance (GRC)........................................................... 5
1.2.3 Interne en externe ontwikkelingen .................................................................... 5
2 Riskmanagement ........................................................................................................... 6
2.1 Inleiding ................................................................................................................... 6
2.2 COSO ERM-Model .................................................................................................. 6
2.2.1 Governance & cultuur....................................................................................... 6
2.2.2 Strategie en doelstellingen ............................................................................... 7
2.2.3 Performance .................................................................................................... 8
2.2.4 Review & revision ............................................................................................. 9
2.2.5 Information, communication & reporting ........................................................... 9
3 Governance...................................................................................................................11
3.1 Inleiding ..................................................................................................................11
3.2 Diamondmodel .......................................................................................................11
3.2.1 Sturen .............................................................................................................12
3.2.2 Beheersen.......................................................................................................12
3.2.3 Toezicht ..........................................................................................................12
3.2.4 Verantwoorden ................................................................................................13
3.2.5 Conclusie ........................................................................................................13
4 Compliance beleid .........................................................................................................14
4.1 Inleiding ..................................................................................................................14
4.2 Sure! -ontwikkelmodel ............................................................................................14
4.2.1 Basiswaarden..................................................................................................14
4.2.2 Normenkader ..................................................................................................14
4.2.3 Voorbeeldgedrag.............................................................................................14
4.2.4 Gedragspatronen ............................................................................................15
4.2.5 Conclusie ........................................................................................................15
5 Conclusies en verbetervoorstellen .................................................................................16
5.1 Riskmanagement ...................................................................................................16
5.2 Governance............................................................................................................16
5.3 Compliance ............................................................................................................17
6 Reflectie ........................................................................................................................18
7 Literatuurlijst ..................................................................................................................19
3
