Gedetailleerde risicoanalyses
Gedetailleerde risicoanalyses
Fraude risicoanalyse
Fraude kan impactvolle gevolgen hebben voor een organisatie op diverse onderdelen, zoals financieel, op het imago, maar ook op het gebied van wet- en regelgeving. Om mogelijke risico’s op fraude zo goed mogelijk te kunnen identificeren en beheersen is een frauderisico analyse uitgevoerd. Dit is gedaan op basis van de bij Accolade bekende fraude risico’s, aangepast aan de hand van de actuele ontwikkelingen.
Bij Accolade waren 18 mogelijke fraude risico’s bekend. Hier zijn twee risico’s aan toegevoegd, welke afkomstig zijn uit de laatste twee handreikingen rondom Integriteit en Fraude van het Aw. Dit betreft de volgende risico’s:
- Fraude aannemers/leveranciers uitvoering dagelijks onderhoud
- Fraude bij woningtoewijzingen
Op de 20 fraude risico’s is een analyse gedaan, waaruit blijkt dat het voornamelijk afdelingsrisico’s betreft. In het risico beheersingsraamwerk is er een overkoepelend risico opgenomen met betrekking tot fraude: “Fraude (inclusief management override of controls)”. Daarnaast is het risico "Fraude aannemers/leveranciers uitvoering dagelijks onderhoud" als specifiek risico opgenomen. Het betreffen beide verhoogde risico’s, waarbij de huidige beheersmaatregelen ervoor zorgen dat de netto score binnen de risicobereidheid valt.
De risico’s uit de fraude risicoanalyse zijn inzichtelijk in bijlage 4.
Fiscale risicoanalyse
Net als bij de fraude risico’s is op het gebied van fiscale risico’s ook een inventarisatie gedaan. Er is gestart met de bestaande lijst van 16 fiscale risico’s. Hier zijn twee nieuwe risico’s aan toegevoegd:
- Afschaffen van de vennootschapsbelasting met het gevolg dat moet worden afgerekend
De 18 fiscale risico’s worden gezien als afdelingsrisico’s die niet afzonderlijk in het risico beheersingsraamwerk worden opgenomen. In bijlage 5 zijn de risico’s uit de fiscale risico analyse inzichtelijk.
IT risicoanalyse
Tot slot is ook voor de IT gerelateerde risico’s een inventarisatie en analyse gedaan. Deze inventarisatie heeft plaatsgevonden in samenwerking met afdeling I&A. In de totale inventarisatie zijn 36 risico’s geïdentificeerd. Hiervan zijn de volgende vier nieuw toegevoegd:
- Verouderde en kwetsbare software wordt voor bedrijfskritische processen gebruikt waardoor er een vergroot risico voor uitval van systemen, datacorruptie of datalekken ontstaan.
- Fouten in data in onder andere het primaire systeem zorgt er voor dat medewerkers of geautomatiseerde processen verkeerde beslissingen nemen met financiele- of imagoschade als gevolg.
- Gebruik van AI middelen waarbij de verwerking buiten de EU en verwerkersovereenkomsten plaats vindt kan datalekken of andere ongewenste gegevensdelingen tot gevolg hebben.
- Gebrek aan kennis bij medewerkers en leveranciers voor veilig gebruik van AI middelen kan zorgen voor grote financiële- of imageschade.
Niet alle risico’s zijn opgenomen in het risico beheersingsraamwerk, omdat een groot deel hiervan worden gezien als afdelingsrisico’s. Vanuit de risico inventarisatie zijn drie overkoepelende IT risico’s opgenomen die gekoppeld zijn aan deze IT risico analyse:
- Onbevoegden krijgen toegang tot de data en/of systemen van Accolade
- Niet juist naleven voorschriften privacy en security
- Afhankelijkheid data en systemen
In bijlage 6 is inzichtelijk welke 36 risico’s in de IT risico analyse zijn opgenomen, ook is bij de relevante risico’s aangegeven aan welk overkoepeld risico ze te koppelen zijn.