Wat kan ik voor u betekenen?
Mijn expertise is gericht op risicomanagement, internal audit en compliance. Deze zet ik graag in om uw afdeling of organisatie te ondersteunen op een manier die voor uw organisatie en situatie het beste past. Dit kan bijvoorbeeld zijn door tijdelijk invulling te geven aan een interne functie of een project. Of door coaching en advies te geven op specifieke thema's.
Door een ruime ervaring op de betreffende vakgebieden ondersteund met degelijke vakinhoudelijke opleidingen, beschik ik over een holistische kijk op organisaties. Hierdoor kan ik organisaties snel doorgronden en inzien hoe de samenhang tussen de verschillende “lines of defense” gevormd is, waar knelpunten zitten en hoe verbeteringen te realiseren zijn in uw organisatie.
Verder ben ik bekend met Agile werkwijzen en ben ik Lean Greenbelt gecertificeerd. Dit maakt dat ik vanuit verschillende invalshoeken en vanuit verschillende visies uw organisatie kan helpen in de beheersing van risico’s, kwaliteitsverbetering, efficiency en sturing.
Interim
Heeft uw organisatie of afdeling tijdelijk extra capaciteit nodig of wilt u gebruik maken van een flexibele schil, waarbij zeer snel en op maat invulling gegeven wordt aan de behoefte die u op dat moment heeft, neem dan contact met mij op om de mogelijkheden te bespreken.
Kijkt u gerust ook eens op mijn linkedin profiel, waar de verschillende interim opdrachten die ik heb uitgevoerd, beschreven zijn.
Consultancy
Heeft uw organisatie of afdeling behoefte aan coaching, advies of analyses die betrekking hebben op bovenvermelde thema’s, of kunt u iemand gebruiken die ondersteuning en begeleiding biedt bij veranderings- en inrichtingsvraagstukken op dit vlak, neem dan contact met mij op om de mogelijkheden te bespreken.
Vakgebieden
Internal audit - Risicomanagement - Compliance - Procesmanagement
Internal auditing biedt onafhankelijke en objectieve assurance- en adviesdiensten, die bedoeld zijn om toegevoegde waarde te leveren en de activiteiten van een organisatie te verbeteren. De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door op basis van een systematische en gedisciplineerde aanpak de effectiviteit van de processen van governance, risicomanagement en beheersing te evalueren en te verbeteren (definitie IIA)
Type audits waarmee ik u van dienst kan zijn
- Operational Audits
- Compliance Audits
- Management Control Audits
- IT Audits (indien niet al te technisch ingestoken)
Verder kan ik helpen in het positioneren, (uit)bouwen of inrichten van nieuwe of bestaande internal auditafdelingen, dan wel het verzorgen van coaching van internal auditors of andere functies die zich bezighouden met toetsend onderzoek.
Risicomanagement is een middel om op een gestructureerde manier risico’s in kaart te brengen, te evalueren en – door er pro-actief mee om te gaan – beter te beheersen. De organisatie inventariseert risico’s en de gevolgen van de risico’s en verbindt er maatregelen aan. Door al in een vroeg stadium na te denken over de mogelijke risico’s die de organisatie loopt, wil men deze voorkomen en de eventuele ernstige gevolgen ervan beperken.
Binnen het three lines of defense model bevindt Riskmanagement zich in de tweede lijn. Het is sparringspartner en adviseur van de eerste lijn op basis van onderzoek, analyses, monitoring en controles, maar is geen eigenaar van de risico's en beheersmaatregelen.
U kunt mij inzetten ter begeleiding, ondersteuning of uitvoering van een of meerdere onderdelen van het ERM risicomanagementproces, zoals hieronder beschreven.
Daarnaast ligt mijn expertise op non-financial risk management, met diepgaande kennis van de operationele processen en sturingsmodellen binnen banken en verzekeraars.
Ik ben bekend met Risk frameworks als COSO (ERM), ISO 31000 Riskmanagementrichtlijnen, INK e.d
Het (ERM) risicomanagementproces ziet er kortweg als volgt uit:
1 Inventariseren van risico’s: Hierbij gaat het om het identificeren van de risico’s eventueel binnen een afgebakende scope. Hierbij kan onderscheid aangebracht worden tussen strategische risico’s en procesrisico’s, afhankelijk van het niveau binnen de organisatie waar de risico’s betrekking op hebben.
2 Beoordelen van het risicoprofiel: Hierbij worden de geïdentificeerde risico’s op basis van kans en impact gekwantificeerd. Hoe minder data en statistische gegevens er zijn, hoe lastiger het vaak wordt om het risico goed in te schatten. Er zijn verschillende technieken en methoden die hier voor ingezet kunnen worden. De meest objectieve zijn statistische analyses. De minst objectieve methodes zijn risk self assessments, waarbij management en medewerkers op basis van eigen ervaring en kennis zelf hun risicoprofiel vaststellen.
3 Toepassen risicomanagementstrategie: Als het risicoprofiel opgesteld is volgt de risicohouding. De risicohouding maakt duidelijk hoeveel risico het verantwoordelijk management wil nemen om waarde te creëren. Vervolgens wordt op basis hiervan een risicostrategie toegepast. De keuze voor de beste strategie is afhankelijk van de kans en impact van het risico. Er zijn 4 basisstrategieën te onderscheiden,
• Vermijden/Elimineren van het risico. Dit speelt wanneer risico’s onacceptabel zijn en de kosten van mitigatie niet opwegen tegen de opbrengsten.
• Reduceren/Mitigeren van het risico: De organisatie is bereid het risico te lopen maar stelt risicobeheersmaatregelen in om het risico te mitigeren.
• Overdragen: In deze strategie worden geen interne beheersmaatregelen ingezet, maar worden de risico’s overgedragen door bijvoorbeeld afsluiten van verzekeringen of outsourcing van activiteiten.
• Accepteren: Het risico voor lief nemen. Deze strategie wordt toegepast als de kans en de impact laag is.
4 Inrichting beheersingsprocessen: De essentie van deze stap is dat er beheersmaatregelen (controls) worden ontworpen, dat er control-eigenaren worden aangewezen en de maatregelen worden geïmplementeerd. Maatregelen tbv operationele risico’s zullen veelal in procesbeschrijvingen, instructies en applicaties ingebakken worden. Strategische risicomaatregelen richten zich vaker op het besturende proces, bevoegdheden, beloningsstructuren en competenties.
5 Monitoringsactiviteiten: Dit zijn de activiteiten die de effectiviteit van de beheersmaatregelen beoordelen. Binnen organisaties die het three lines of defense model hanteren, kan dit door alle drie de lijnen uitgevoerd worden. De 1e lijn is eigenaar van de controls en kan eigen monitoringsactiviteiten inrichten om op kortcyclische wijze in te kunnen grijpen en bij te sturen indien nodig. De 2e lijn kan van meer afstand monitoren en zich bijvoorbeeld meer richten op key controls en het management voorzien van adviezen en informatie t.a.v. de effectiviteit van beheersmaatregelen. Tot slot kan de 3e lijn (Internal Audit) vanuit een onafhankelijke en objectieve funtie assurance bieden op de effectiviteit van beheersmaatregelen of nog breder het gehele risicomanagementproces.
6 Continu verbeteren: Niet alle organisaties hebben een zelfde mate van volwassenheidsniveau als het gaat om risicomanagement. Deze stap gaat over het verbeteren van het riskmanagement binnen een organisatie. Dit kan bijvoorbeeld door bewust en expliciet de volwassenheid van riskmanagement vast te stellen en af te zetten tegen vooraf gestelde ambities daarover. Binnen het hoogste volwassenheidsniveau van riskmanagement wordt RM pro-actief toegepast, worden alle lines of defense betrokken, worden er best practices gedeeld, is internal audit-aanpak volledig geïntegreerd en wordt de risicostrategie geëvalueerd.
Compliance wordt vaak gezien als de verzamelterm voor het voldoen aan wet- en regelgeving.
Maar Compliance is breder dan dat en houdt zich onder meer bezig met integriteitsvraagstukken, ethische en morele issues, en zaken die de reputatie van de onderneming beïnvloeden.
Door diverse schandalen is het vertrouwen in de financiele sector sterk gedaald en dient er een lange weg bewandeld te worden om dit vertrouwen te herstellen. Al dan niet onder druk van de toezichthouders, besteden bedrijven veel aandacht aan dit herstel. De boetes bij het niet voldoen aan de wetgeving liegen er niet om en dwingen dergelijke instellingen om hun interne processen op orde te houden of te krijgen.
U kunt mij inzetten voor compliance opdrachten op strategisch, tactisch en operationeel niveau. Bijvoorbeeld voor het positioneren of inrichten van een compliance afdeling, opstellen van een compliance framework of het coachen van medewerkers op compliance gerelateerde onderwerpen. Op uitvoerend vlak kunt u mij inzetten als bijvoorbeeld compliance officer of als specialist / analist /op thema's uit de WFT en WWFT zoals zorgplicht, KYC, CDD, AML en FEC.
Overige wet- en regelgeving waarin ik u kan ondersteunen zijn o.a. Privacywetgeving (AVG) en SOX.
Procesmanagement is vanuit verschillende invalshoeken te benaderen. Mijn dienstverlening mbt procesmanagement sluit goed aan bij onderstaande invalshoeken.
* Ter verbetering: Hierbij is het uitgangspunt dat de uitvoering van processen altijd voor verbetering vatbaar is. Er is altijd wel ergens winst te behalen in efficiency, kwaliteit, doorlooptijd of klanttevredenheid. Op zoek naar procesoptimalisatie met als doel om op zo efficiënt mogelijke manier waarde te creëren voor de klant (LEAN).
* Om te modelleren: Het schematisch in kaart brengen en vastleggen van bedrijfsprocessen. Wie doet wat wanneer en waarmee?
* Om te beheersen: Hierbij gaat het erom dat organisatieprocessen op de juiste manier en met het gewenste effect of resultaat worden uitgevoerd. De proceseigenaar richt zijn activiteiten zodanig in dat hij hier inzicht in heeft en zorgt voor aanpassingen indien het proces niet naar wens functioneert.
* Om te veranderen: Dit sluit aan bij verbeteren en beheersen. Deze drie gaan hand in hand. Een verbetering is een verandering ten goede. Beheersing is weten wanneer verbetering nodig is. Een veel gebruikt model hierbij is de PDCA cyclus.
Plan: Planning en procesbeschrijvingen incl normen
Do: Uitvoering van processen
Check: Procesoutput vergelijken met het plan (toetsing aan norm)
Act: Bijsturing ter verbetering