De Accountability Seal Policy onderkent vijf verschillen volwassenheidsniveaus die MYOBI van De Nederlandsche Bank heeft overgenomen.

Niveau 1, Initieel

De beheersingsmaatregelen zijn (gedeeltelijk) gedefinieerd maar worden op inconsistente wijze uitgevoerd. Er is een grote afhankelijkheid van individuen bij de uitvoering van de beheersingsmaatregelen. Criteria:

1. Geen of beperkte beheersmaatregelen geïmplementeerd.
2. Niet of ad-hoc uitgevoerd.
3. Niet/deels gedocumenteerd.
4. Wijze van uitvoering afhankelijk van individu (niet gestandaardiseerd).

Niveau 2, Herhaalbaar maar informeel

De beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd. Criteria:

1. De uitvoering van de beheersingsmaatregelen is gebaseerd op een informele maar wel gestandaardiseerde werkwijze.
2. Deze werkwijze is niet volledig gedocumenteerd.

Niveau 3, Gedefinieerd

De opzet van de beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De vereiste effectiviteit van de beheersingsmaatregelen zijn aantoonbaar en worden getoetst. Criteria:

1. De beheersingsmaatregelen zijn gedefinieerd o.b.v. risico assessment.
2. Gedocumenteerd en geformaliseerd.
3. Verantwoordelijkheden en taken zijn eenduidig toegewezen.
4. Opzet, bestaan en effectieve werking zijn aantoonbaar.
5. Effectieve werking van controls wordt periodiek getoetst.
6. De toetsing vindt risico gebaseerd plaats en toont aan dat de control effectief is over een langere periode (> 6 maanden).

Niveau 4, Beheerst en meetbaar

De effectiviteit van de beheersmaatregelen wordt periodiek geëvalueerd. Daar waar nodig worden de beheersmaatregelen verbeterd of vervangen door andere beheersmaatregelen. De evaluatie wordt vastgelegd. Criteria voor niveau 3 plus de volgende:

1. Periodieke (control) evaluatie en opvolging vindt plaats.
2. Evaluatie is gedocumenteerd.
3. Taken en verantwoordelijkheden voor het evalueren zijn geformaliseerd.
4. Frequentie waarop wordt geëvalueerd is gebaseerd op het risicoprofiel van de instelling en is minimaal jaarlijks.
5. In de evaluatie worden (operationele) incidenten meegenomen.
6. De uitkomsten van de evaluatie wordt aan het management gerapporteerd.

Niveau 5, Continue verbeteren

De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering van de effectiviteit van de maatregelen. Hierbij wordt gebruik gemaakt van externe data en benchmarking. Medewerkers zijn proactief betrokken bij de verbetering van de beheersingsmaatregelen. Criteria voor niveau 4 plus de volgende:

1. Continu evalueren van de beheersingsmaatregelen om de effectiviteit van beheersingsmaatregelen voortdurend te verbeteren.
2. Gebruik makend van resultaten uit self-assessments, gap en root cause analyses.
3. De getroffen beheersingsmaatregelen worden gebenchmarkt op basis van externe data en zijn ‘Best Practice’ in vergelijking met andere organisaties.