Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

1. Förberedelser inför
GRC-system-
implementering
Alex Hofmann och Claes Holmberg
20 maj 2015

2. Agenda
• Generellt
• Förberedelseområden:
– Ramverk
– Organisation
– Processer
– GRC-arbetsflöden
– Risker och riskkategorier
– Kontroller och kontrollmål
– Ägarskap och roller
– System och dataflöden
©TranscendentGroupSverigeAB2015

3. Generellt
©TranscendentGroupSverigeAB2015

4. Integrerad
rapportering
Ett GRC-system
för hantering av
information
Integrerad GRC information
©TranscendentGroupSverigeAB2015
Integrerat GRC-system
Rapport
Rapport
Rapport
Ett gemensamt ramverk och system som återanvänder information för att sedan kunna
rapportera samma information ur olika synvinklar för olika ändamål.
Informations-
insamling sker
en gång
Ledning Staber IS/IT
Avdelning
A
Avdelning
B
Avdelning
C
Intern kontroll
Internrevision
Risk managament
Compliance
Risker
Kontrollbeskrivningar
Incidenter
Anmärkningar/brister
Förbättringsområden
Åtgärdsplaner
Processflöden
Legala enheter

5. Intern kontroll
Compliance
Förutsätter gemensamt språk för GRC
©TranscendentGroupSverigeAB2015
Internrevision
Risk management

6. Förutsättningarna omfattar primärt
©TranscendentGroupSverigeAB2015
Ramverk
Organisation
Årscykel, målformulering, styrande dokument, definitioner, värderingsskala,
förväntad rapportering.
Legal, funktionell, geografisk struktur och hierarkier.
Processer
Bruttoprocesslista med processer och sub-processer som skapar en
hanterbar helhetsbild.
Risker och
riskkategorier
Riskuniversum med generiska risker uppdelat i kategorier relevanta för
företaget.
Ägarskap och
roller
Roller och ägarskap i GRC-arbetet samt användargrupper i GRC-
processerna.
System och
dataflöden
Grundläggande förståelse för system och dataflöden samt dess koppling till
risker, processer och organisationsstruktur.
Kontroller och
kontrollmål
Kontroller kopplade till risker, processer och system.
GRC- Arbetsflöden
Aktiviteter och processer som säkerställer företagets
GRC-arbete.

7. Förberedelseområden
©TranscendentGroupSverigeAB2015

8. Ramverk
• Årscykel med definierade och tidsbestämda GRC-aktiviteter för
dokumentera, mäta, följa upp och rapportera finns på plats.
• GRC-ramverk och aktiviteter baseras på policys och riktlinjer som är
avstämda mot varandra samt att kontrollfunktionerna har samsyn och
är koordinerade.
• Definitioner för risk, kontroll, processer, ägarskap, brister, åtgärder,
etcetera används konsekvent av alla funktioner inom företaget.
• En gemensam värderingsskala används konsekvent av alla funktioner
inom företaget.
• Företaget har explicit målsättning för GRC samt vilken information
som ska kunna rapporteras, i vilket format och vid vilka tillfällen och
tidpunkter.
©TranscendentGroupSverigeAB2015
Ramverk

9. Organisation
• Företaget har en klar definierad organisationsstruktur med
konsekvent använd benämning och hierarki. Organisations-
strukturen finns dokumenterad avseende: legala enheter,
funktioner/divisioner/avdelningar samt geografisk närvaro.
• Företaget har tydligt definierat var och på vilka nivåer specifik
GRC-information ska kunna aggregeras och rapporteras inom
organisationen.
• Pågående projekt samt externa intressenter (exempelvis
väsentliga kunder och leverantörer) är kartlagda och tydligt
kopplade till organisationsstruktur, processer och relevanta
risker.
©TranscendentGroupSverigeAB2015
Organisation

10. ProcesserProcesser
• Företaget har en definierad bruttoprocesslista med processer och sub-
processer vars process-hierarki användas konsekvent av hela
organisationen.
• Inom företaget finns det samsyn på:
– Vilka (process)steg processerna innehåller.
– Var processerna börjar och var de slutar.
– Vem som är processägare och är därmed ansvarig för processen.
– Hur processer relaterar till organisationsstrukturen (det vill säga vilka
organisatoriska delar ska se och verka inom en process).
• Processer på nivå 1 och 2 samt relationer till organisationsstrukturen är
dokumenterad.
• Styrande dokument, IT-system, risker och kontroller kan tydligt
kopplas till processerna.
©TranscendentGroupSverigeAB2015

11. GRC-Arbetsflöden
• Företaget har tydligt definierade aktiviteter och processer som
säkerställer företagets GRC-arbete.
• Inom företaget finns det samsyn om vem gör vad med vilken
målsättning, allt ur ett GRC-perspektiv.
• Exempelvis incidenthantering där arbetsflödet besvarar:
– vem får registrera en incident och vem utför det?
– vem granskar, kategoriserar och godkänner incidenten och inom vilken
tidsram?
– vem är ansvarig för incidenten och upprättar åtgärdsplan?
– hur sätts deadline och vem följer upp på den?
– vem åtgärdar incidenten och när anses den vara fullt åtgärdad?
– vad händer om deadline inte hålls?
– hur ska incidenten rapporteras och när?
©TranscendentGroupSverigeAB2015
GRC-
Arbetsflöden

12. Risker och riskkategorier
• Företaget har ett konsekvent definierat riskuniversum med tydliga
riskkategorier.
• Riskkategorierna är definierade på så sätt att de kan tydligt mappas mot
existerande ramverk - exempelvis Basel-regelverkets Event Types för
operationell risk.
• Inom riskkategorierna har företaget tydligt definierade generiska risker
som minsta nivå med krav på hantering i hela organisationen.
• Specifika risker relevanta för processer, funktioner, legala enheter
etcetera kan läggas till förutsatt att de kan mappas mot fördefinierade
riskkategorier.
©TranscendentGroupSverigeAB2015
Risker och
riskkategorier

13. Kontroller och kontrollmål
• Inom företaget existerar förväntade kontroller och kontrollmål
kopplade till risker, processer och system.
• Kontrollerna är dokumenterade och dess effektivitet följs upp och
rapporteras regelbundet.
• Kontroller och kontrollmål har definierats för hantera företagets risker
inom:
– operationell effektivitet
– regelefterlevnad
– finansiell rapportering
– IT.
©TranscendentGroupSverigeAB2015
Kontroller och
kontrollmål

14. Ägarskap och roller
• Roller och ägarskap är explicit definierade i styrande dokument.
• Företaget har tydliggjort ägarskapet för minst processer, risker,
kontroller och system.
• Företaget har tydliggjort GRC-användargrupper – detta är inte roller
utan grupperingar av användare i ett framtida GRC-system.
Exempelvis:
– Avdelningschefer
– Incidentrapportörer
– Risk manager
– Lokal compliance-samordnare
– Internkontroll-ansvarig per avdelning
– Internrevisionsgranskare
©TranscendentGroupSverigeAB2015
Ägarskap och
roller

15. System och dataflöden
• Företaget har en tydlig dokumenterad systemflora och dataflöden
kopplade till organisationsstruktur, processer och risker.
• Applikationer har samma namn inom organisationen, ägarskap är
definierat samt att applikationens användningsområde är tydligt
definierat.
• Väsentlig och affärskritisk data och dataflöden är identifierade.
©TranscendentGroupSverigeAB2015
System och
dataflöden

16. Frågor?
©TranscendentGroupSverigeAB2015

17. www.transcendentgroup.com