Der Begriff „Kontrollen“, ursprünglich im GRC (Governance, Risk, Compliance) Bereich verwendet, um Mechanismen zur Risikobewältigung und Sicherstellung der Compliance zu beschreiben, wird nun auch breiter auf die strategische Planung angewendet.
In diesem Artikel teilen wir Best Practices für die Einrichtung von Kontrollen und deren praktische Anwendung.
Einführung in interne Kontrollen
Im Wesentlichen ist eine „Kontrolle“ ein Reaktions- oder Präventionsmechanismus, der zur Risikobewältigung und Sicherstellung der Compliance eingesetzt wird.
Beispielkontrolle: „Mitarbeiter hat das Unternehmen verlassen“
- Aktionsplan: E-Mails weiterleiten
- Aktionsplan: Kunden benachrichtigen
- Effektivitätsmetriken: Logins deaktiviert [evidenzbasiert]
- Effektivitätsmetriken: % der benachrichtigten Kunden
- Risiko: Unterbrechung des Arbeitsablaufs
Komponenten einer Kontrolle
Kontrollen haben spezifische Komponenten:
- Definition der Kontrolle.
- Interne Mechanismen, um sicherzustellen, dass die Kontrolle ordnungsgemäß funktioniert (Metriken, Aktionspläne, Überwachung).
- Die Ergebnisse der Anwendung einer Kontrolle, die gemeldet werden und Input für einen Lernkreislauf liefern.
Aus der Automatisierungsperspektive könnte eine Kontrolle sein:
- So einfach wie ein Aktionsplan mit abgestimmten Fortschrittsmetriken oder
- So komplex wie ein hierarchisches Set von Kontrollen und Unterkontrollen, jede mit ihrem eigenen Satz von Metriken, Risikoeinschätzungen, Minderungsplänen, kontextuellen Abhängigkeiten und Eigentümern.
Kontrollen haben spezifische Anwendungsbereiche, die definieren, wann bestimmte Kontrollen aktiviert werden sollen.
Lassen Sie uns die Werkzeuge erkunden, die wir zur Implementierung von Kontrollen in der strategischen Planung verwenden können.
1. Definition einer Kontrolle
Im Anfangsstadium ist es unser Ziel, die bisherigen Erfahrungen des Managementteams in Kontrollen oder formale Reaktionsmechanismen umzusetzen.
Allgemeine Eigenschaften
Die Grundlagen der Identifizierung einer Kontrolle umfassen die Vergabe eines aussagekräftigen Namens und die Erklärung ihres Zwecks in der Beschreibung. Definieren Sie:
- Bedingungen, die die Kontrolle auslösen,
- Umfang der Kontrolle.
In BSC Designer:
- Verwenden Sie die Hinzufügen-Schaltfläche, um ein neues Element zu erstellen.
- Identifizieren Sie die Kontrolle über die Namens- und Beschreibungsfelder.
- Verknüpfen Sie die Kontrolle mit relevanten früheren Zielen, Ereignissen oder regulatorischen Anforderungen.
Unterstützende Dokumentation
In BSC Designer:
- Fügen Sie Dokumente zu einer Kontrolle über den Beschreibungsdialog hinzu.
- Fügen Sie Dokumente zum Aktionsplan der Kontrolle über den Initiativen-Dialog hinzu.
Benutzerdefinierte Eigenschaften
In BSC Designer:
- Definieren Sie erforderliche Eigenschaften von Kontrollen über benutzerdefinierte Felder.
- Die neuen Felder werden für Kontrollen, Metriken und Initiativen verfügbar sein.
Eigentümerschaft
Beispielsweise können Software-Wartungskontrollen Updates automatisieren, aber ein IT-Spezialist wird benötigt, um Konflikte zu lösen, wenn ein Update fehlschlägt.In BSC Designer:
- Fügen Sie verantwortliche Personen für die Kontrolle als Benutzer hinzu; ordnen Sie die Person einem Team zu.
- Weisen Sie die Person oder das Team als Eigentümer der Kontrolle über das Feld Eigentümer zu.
Eigentümer erhalten Benachrichtigungen, die für die Kontrolle relevant sind.
Zertifizierung / Genehmigung
In BSC Designer:
- Verwenden Sie benutzerdefinierte Felder, um Eigenschaften der Kontrolle wie „Zertifizierungsstatus“ und „Zertifiziert von“ zu definieren.
- Beim Testieren der Kontrollen kann das Management diese Eigenschaften aktualisieren.
- Verwenden Sie Filter in Berichten, um Kontrollen ohne ordnung
sgemäße Zertifizierung zu identifizieren.
Um eine nicht zertifizierte Kontrolle zu deaktivieren, aber im Scorecard zu behalten:
- Wählen Sie eine Kontrolle aus.
- Wechseln Sie zum Leistungs-Tab.
- Aktivieren Sie das Kontrollkästchen Rohdaten-Indikator.
Ausrichtung der Kontrollen
In BSC Designer:
- Kopieren und Einfügen von Elementen zwischen Scorecards.
- Wenn Sie dazu aufgefordert werden, verwenden Sie die Option „Verbindung durch Kontext“, um zwei Elemente zu verknüpfen.
Katalog der Kontrollen
In BSC Designer:
- Erstellen Sie eine Scorecard, die Kontrollen gewidmet ist.
- Verwenden Sie eine hierarchische Struktur, um Kontrollen zu organisieren.
- Bei Bedarf kopieren Sie die Kontrolle in die aktive Scorecard.
2. Quantifizierung von Kontrollen
Effektivitätsmetriken
Die Verwendung von Metriken für die Kontrollen macht die Kontrolle spezifischer und vermeidet unterschiedliche Interpretationen.Definieren Sie Metriken, um zu verfolgen:
- Einhaltung der Standards
- Effektivität der Kontrolle
- Fortschritt der Aktionspläne
Zum Beispiel im Vorfallberichtsverfahren:
- Könnte die Effizienzmetrik der „% des Personals, das in der Vorfallberichterstattung geschult wurde“ sein.
- Könnte die Effektivitätmetrik der „% der Vorfälle, die nicht ordnungsgemäß kommuniziert wurden“ sein.
In BSC Designer:
- Verwenden Sie die Hinzufügen-Schaltfläche, um Metriken innerhalb des Kontrollelements hinzuzufügen.
Gesamtleistung
In BSC Designer:
- Wählen Sie eine Metrik aus
- Wechseln Sie zum Leistungstab
- Ändern Sie das Gewicht der Metrik
Die Leistung/Fortschritt der Kontrolle wird in der entsprechenden Spalte angezeigt.
Effizienzmetriken
Je nach Kontext verwenden Sie Frühindikatoren. Im Gegensatz zu Spätindikatoren tragen Frühindikatoren nicht direkt zur Gesamtleistung der Kontrolle bei, sondern liefern wertvolle Einblicke in das Verständnis der Effizienz der Kontrolle.
In BSC Designer:
- Wählen Sie eine Metrik
- Wechseln Sie zum Kontext
- Ändern Sie den Typ der Metrik zu Frühindikator
Risikoeinschätzung
Eine Kontrolle kann eine Risiko-Definition enthalten oder mit Risiken aus einem Risikoregister abgeglichen werden.
Risikoeinschätzung kann sein:
- Ein Auslöser für die Ausführung der Kontrolle oder
- Eine Bedingung für die Auswahl eines bestimmten Handlungsverlaufs.
In BSC Designer:
- Erstellen Sie einen neuen Indikator
- Ändern Sie den Typ zu ‚Risiko‘
- Aktualisieren Sie die Indikatoren für Wahrscheinlichkeit und Auswirkung des Risikos
Binäre Kontrolle
Die möglichen Zustände binärer Indikatoren:
- Unzugeordnet – der Teil der Kontrolle wurde noch nicht ausgeführt
- Ja – um anzuzeigen, dass der Teil der Kontrolle erfolgreich ausgeführt wurde
- Nein – um anzuzeigen, dass der Teil der Kontrolle nicht erfolgreich ausgeführt wurde
Beispiel: „Business Continuity Plan aktualisiert unter Berücksichtigung einer neu identifizierten Bedrohung“ kann mit einem binären Indikator automatisiert werden.In BSC Designer:
- Wählen Sie einen Indikator
- Wechseln Sie zum Tab „Allgemein“
- Ändern Sie die Maßeinheiten in „Ja/Nein“
Qualitative Kontrolle
Qualitative Indikatoren werden für die Kontrollen verwendet, wenn eine spezifischere quantitative Einschätzung noch nicht entwickelt wurde oder es nicht kosteneffektiv ist, eine solche zu entwickeln.
Beispiel: Eine Kontrolle Policy Management and Communication kann mit einer qualitativen Metrik Effectiveness of Communicating Compliance Policies bewertet werden, mit möglichen Zuständen:
- Hoch
effektiv (100): Mitarbeiter verstehen die Compliance-Richtlinien klar.
- Moderat effektiv (60): Einige Mitarbeiter verstehen die Richtlinien.
- Ineffektiv (10): Mitarbeiter sind im Allgemeinen nicht mit den Richtlinien vertraut.
In BSC Designer:
- Wählen Sie einen Indikator
- Klicken Sie auf die Schaltfläche Bearbeiten neben den Maßeinheiten, um benutzerdefinierte Maßeinheiten hinzuzufügen
Quantitative Kontrolle
Zur Spezifizierung der Kontrollen werden quantitative oder numerische Indikatoren verwendet. Für quantitative Indikatoren können wir deren Leistungsformel definieren, z.B. wie der aktuelle Zustand eines Indikators die Ausgangsleistung beeinflusst.
Beispiel: Um die Effektivität der Implementierung einer bestimmten Kontrolle zu bewerten, führen wir ein internes Audit durch, um den % der Richtlinieneinhaltung zu verfolgen. In diesem Fall ist die Leistungsformel eine lineare Maximierung, mit Ziel = 100%. Ein weiteres Beispiel könnte die Durchschnittliche Zeit bis zur Erkennung Metrik sein, die als lineare Minimierung mit einem Ziel von 24 Stunden konfiguriert ist.
In BSC Designer:
- Wechseln Sie zum „Leistung“-Tab, um die Leistungsfunktion zu definieren.
- Wechseln Sie zum „Daten“-Tab, um den aktuellen Zustand des Indikators, die Basislinie und das Ziel zu definieren.
Evidenzbasierte Kontrolle
Evidenzindikatoren ändern ihren Zustand entsprechend der Anzahl der hochgeladenen Dokumente/Beweise.
Beispielsweise könnte die Kontrolle Backup- und Wiederherstellungstest erfordern, Testergebnisse oder Protokolle als Nachweis für die erfolgreiche Ausführung der Kontrolle hochzuladen.
In BSC Designer:
- Wählen Sie einen Indikator
- Ändern Sie die Maßeinheiten in Beweis
- Laden Sie Dokumente zum Indikator hoch, um dessen Zustand zu ändern
3. Initiativen für Kontrollen
Aktionspläne
In BSC Designer:
- Verwenden Sie das Initiative-Tool, um Aktionspläne zu den Kontrollen hinzuzufügen.
- Richten Sie Risiken und Effizienzmetriken mit der Initiative aus.
- Weisen Sie einen Eigentümer der Initiative zu; die Person erhält Benachrichtigungen, wenn sich der Status ändert.
Verfolgung des Aktionsplans
In BSC Designer:
- Fügen Sie eine neue Initiative zur Kontrolle hinzu.
- Öffnen Sie den Initiativen-Dialog.
- Wählen Sie die Fortschritts-KPI im Feld „Abgestimmte KPI“ aus.
4. Verfolgung von Kontrollen über die Zeit
Periodische Kontrollen
Beispiel für die Überprüfung der Mechanik der Kontrolle:
- Überprüfung von Compliance-Checklisten – jährliche Überprüfung
- Wissensbewahrung, % – vierteljährliche Überprüfung
Beispiele für die periodische Anwendung der Kontrolle:
- Schwachstellenscanning – monatliche Überprüfung/Aktualisierung
Beispiele für einmalig initiierte Kontrolle:
- Erst-Risiko-Bewertung – einmalig zu aktualisieren
In BSC Designer:
- Verwenden Sie die Update-Intervall-Einstellung des Indikators, um regelmäßige Überprüfungen zu planen.
Aktualisierung des Zustands der Kontrolle
In BSC Designer:
- Wählen Sie eine Kontrollmetrik
- Wählen Sie ein Datum im internen Kalender
- Wechseln Sie zum Tab „Daten“
- Geben Sie den neuen Zustand im Feld „Wert“ ein
Vererbung des Kontrollzustands
Einige Indikatoren, die für Kontrollen verwendet werden, erben ihren zuvor bekannten Zustand, während andere nur spezifisch eingegebene Updates verwenden.
Zum Beispiel:
- % der geschulten Mitarbeiter – ist wahrscheinlich ein ererbter Indikator, da wir davon ausgehen können, dass der Prozentsatz der im Mai geschulten Mitarbeiter im Juni gleich bleibt oder steigt.
- Monatlicher Umsatz – ist wahrscheinlich ein nicht ererbter Indikator, da wir daran interessiert sind, die tatsächlichen Verkaufsdaten über Monate zu verfolgen.
In BSC Designer:
- Wählen Sie einen Indikator
- Klicken Sie auf die Schaltfläche Werte-Editor
- Ändern Sie den Ver
erbungstyp des Indikators
5. Berichterstattung von Kontrollen
Kontrollen auf Dashboards
In BSC Designer:
- Wechseln Sie zum Dashboard-Tab.
- Fügen Sie relevante Diagramme hinzu, einschließlich Gantt-Diagramme für Initiativen, Risikodiagramme und Diagramme, die Kontrollen und deren Zustände auflisten.
Kontrollen zur Risikoeinschätzung
In BSC Designer:
- Verbinden Sie den Spätindikator der Kontrolle mit den Risikoeinschätzungs- oder Risikobewertungsmetriken im Risikoregister durch Daten.
Kontrollen in Berichten
In BSC Designer:
- Verwenden Sie das Menü „Bericht“, um verschiedene Berichte zu erstellen
- Verwenden Sie die Schaltfläche „Planen“ im Menü „Bericht“, um Berichte automatisch an die Stakeholder zu senden
Rechenschaftspflicht
In BSC Designer:
- Alle Aktivitäten im Zusammenhang mit dem Design und der Ausführung von Kontrollen werden im Prüfprotokoll aufgezeichnet.
- Der Administrator des Kontos kann über Menü > Benutzer > Audit Trail auf Prüfprotokolle zugreifen.
Praktisches Beispiel für die Verwendung einer Kontrolle
Lassen Sie uns ein praktisches Beispiel besprechen. Betrachten Sie die Kontrolle, die aktiviert wird, wenn ein Mitarbeiter das Unternehmen verlässt.
Beispielstruktur:
Kontrollen-Bibliothek
In der Kontrollen-Bibliothek habe ich einen HR-Bereich, in dem eine der Kontrollen „Mitarbeiter hat das Unternehmen verlassen“ ist.
Diese Kontrolle hat drei Aktionspläne:
- E-Mails weiterleiten.
- Kunden kontaktieren.
- Wissensübertragungsplan.
Sie hat auch zwei Metriken:
- Logins deaktiviert (evidenzbasiert).
- Prozentsatz der benachrichtigten Kunden.
Eine weitere Metrik wird für die periodische Überprüfung der Kontrollen verwendet:
- Wissensbewahrung (%)
Ein Risiko ist für die Kontrolle definiert als:
- Risiko: Unterbrechung des Arbeitsablaufs
- Minderungsplan: Kritische Funktionen dokumentieren
Ereignis-Scorecard
Ich habe eine Scorecard namens „HR-Ereignisse“, in der relevante HR-Ereignisse protokolliert werden. Die Scorecard ist nach Ereignistyp organisiert.
Anwendung der Kontrolle
Hier sind die Schritte, die zu befolgen sind, wenn ein Mitarbeiter das Unternehmen verlässt:
- Erstellen Sie ein neues Ereignis in der Ereignis-Scorecard, z.B. „Alex hat das Unternehmen verlassen“.
- Kopieren und fügen Sie die entsprechende Kontrolle aus der Kontrollen-Bibliothek in die Ereignis-Scorecard ein.
- Die für die Kontrolle verantwortliche Person wird automatisch über neu erstellte Aktionspläne benachrichtigt.
- Laden Sie Beweise (Screenshots) hoch, dass die Logins deaktiviert wurden.
- Benachrichtigen Sie Kunden und aktualisieren Sie den Indikator „% der benachrichtigten Kunden“.
- Aktualisieren Sie den Status der Aktionspläne auf „In Überprüfung“.
Weitere Beispiele
Sie können weitere Beispiele zur Verwendung von Kontrollen in Artikeln finden über:
Was kommt als Nächstes?
- Melden Sie sich für ein kostenloses Konto bei BSC Designer an, um Zugriff auf die Scorecard-Vorlagen, einschließlich „Bibliothek der GRC-Kontrollen“, die in diesem Artikel besprochen werden, zu erhalten.
- Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder, strategische Ambitionen und Geschäftsrahmen in eine umfassende Strategie zu integrieren.
Mehr über Strategische Planung
Alexis ist ein Senior Strategy Consultant und CEO bei BSC Designer mit über 20 Jahren Erfahrung in der strategischen Planung. Alexis entwickelte das „5-Schritte-Strategie-Implementierungssystem“, das Unternehmen bei der praktischen Umsetzung ihrer Strategien unterstützt. Er ist ein regelmäßiger Redner auf Fachkonferenzen und hat über 100 Artikel zu Strategie und Leistungsmanagement veröffentlicht, einschließlich des Buches „10-Schritte-KPI-System“. Seine Arbeit wird häufig in der akademischen Forschung zitiert.
Abonnieren Sie Alexis’s Unedited auf Substack.