Volwassenheidsniveaus

MYOBI hanteert een model om de niveaus van volwassenheid uit te drukken. MYOBI gebruikt hiervoor het volwassenheidsmodel van DNB als referentiemodel. Dit is een algemeen model in de financiële wereld dat de mogelijkheid biedt om een eigen geambieerd niveau te bepalen en realisatie vast te stellen alsmede te gebruiken is om helderheid te krijgen over het niveau van de andere leden van MYOBI.

DNB hanteert dit model per beheersingsmaatregel. MYOBI hanteert dit model voor het bepalen van het volwassenheidsniveau dat gebaseerd is op het niveau van de onderliggende beheersingsmaatregelen.

Het volwassenheidsniveau doet een uitspraak over de effectieve werking van de beheersingsmaatregelen. Het model beschrijft situaties die zich kunnen voordoen bij gebruikers. De hogere volwassenheidsniveaus bouwen in dit model voort op de lagere. Het volwassenheidsmodel bestaat uit vijf niveaus:


Niveau 1: Initieel

De beheersingsmaatregelen zijn (gedeeltelijk) gedefinieerd maar worden op inconsistente wijze uitgevoerd. Er is een grote afhankelijkheid van individuen bij de uitvoering van de beheersingsmaatregelen. Criteria:

  • Geen of beperkte beheersmaatregelen geïmplementeerd;
  • Niet of ad-hoc uitgevoerd;
  • Niet/deels gedocumenteerd;
  • Wijze van uitvoering afhankelijk van individu (niet gestandaardiseerd).


Niveau 2: Herhaalbaar maar informeel

De beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd. Criteria:

  • De uitvoering van de beheersingsmaatregelen is gebaseerd op een informele maar wel gestandaardiseerde werkwijze. Deze werkwijze is niet volledig gedocumenteerd.


Niveau 3: Gedefinieerd

De opzet van de beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De vereiste effectiviteit van de beheersingsmaatregelen zijn aantoonbaar en worden getoetst. Criteria:

  • De beheersingsmaatregelen zijn gedefinieerd o.b.v. risico assessment;
  • Gedocumenteerd en geformaliseerd;
  • Verantwoordelijkheden en taken zijn eenduidig toegewezen;
  • Opzet, bestaan en effectieve werking zijn aantoonbaar;
  • Effectieve werking van controls wordt periodiek getoetst;
  • De toetsing vindt risico gebaseerd plaats en toont aan dat de control effectief is over een langere periode (> 6 maanden).


Niveau 4: Beheerst en meetbaar

De effectiviteit van de beheersmaatregelen wordt periodiek geëvalueerd. Daar waar nodig worden de beheersmaatregelen verbeterd of vervangen door andere beheersmaatregelen. De evaluatie wordt vastgelegd. Criteria voor niveau 3 plus de volgende:

  • Periodieke (control) evaluatie en opvolging vindt plaats;
  • Evaluatie is gedocumenteerd;
  • Taken en verantwoordelijkheden voor het evalueren zijn geformaliseerd;
  • Frequentie waarop wordt geëvalueerd is gebaseerd op het risicoprofiel van de instelling en is minimaal jaarlijks;
  • In de evaluatie worden (operationele) incidenten meegenomen;
  • De uitkomsten van de evaluatie wordt aan het management gerapporteerd.


Niveau 5: Continue verbeteren

De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering van de effectiviteit van de maatregelen. Hierbij wordt gebruik gemaakt van externe data en benchmarking. Medewerkers zijn proactief betrokken bij de verbetering van de beheersingsmaatregelen. Criteria voor niveau 4 plus de volgende:

  • Continu evalueren van de beheersingsmaatregelen om de effectiviteit van beheersingsmaatregelen voortdurend te verbeteren;
  • Gebruik makend van resultaten uit self-assessments, gap en root cause analyses;
  • De genomen controlemaatregelen worden gebenchmarkt op basis van externe gegevens en zijn ‘best practices’ in vergelijking met andere organisaties.