Migliori pratiche per l’impostazione di un quadro di controlli interni e la loro implementazione pratica con software specializzati.
Il termine “controlli“, originariamente utilizzato nel dominio GRC (Governance, Risk, Compliance) per descrivere meccanismi per la gestione dei rischi e garantire la conformità, è ora applicato più ampiamente alla pianificazione strategica.
In questo articolo, condivideremo le migliori pratiche per impostare i controlli e il loro uso pratico.
Introduzione ai controlli interni
In sostanza, un “controllo” è un meccanismo di risposta o prevenzione utilizzato per gestire il rischio e garantire la conformità.
Esempio di controllo: “Il dipendente ha lasciato l’azienda”
- Piano d’azione: Reindirizza le e-mail
- Piano d’azione: Notifica i clienti
- Metrica di efficacia: Nomi utente disabilitati [Evidence-Driven]
- Metrica di efficacia: % di clienti notificati
- Rischio: Interruzione del flusso di lavoro
Componenti del Controllo
I controlli hanno componenti specifici:
- Definizione del controllo.
- Meccanismi interni per garantire che il controllo funzioni correttamente (metriche, piani d’azione, monitoraggio).
- I risultati dell’applicazione di un controllo che vengono riportati e forniscono input per un ciclo di apprendimento.
Dal punto di vista dell’automazione, un controllo potrebbe essere:
- Così semplice come un piano d’azione con metriche di progresso allineate o
- Così complesso come un insieme gerarchico di controlli e sotto-controlli, ciascuno con il proprio set di metriche, stime del rischio, piani di mitigazione, dipendenze contestuali e responsabili.
I controlli hanno aree di applicazione specifiche, che definiscono quando determinati controlli dovrebbero essere attivati.
Esploriamo gli strumenti che possiamo utilizzare per implementare i controlli nella pianificazione strategica.
1. Definizione di Controllo
Nella fase iniziale, il nostro obiettivo è mappare correttamente le esperienze passate del team di gestione in controlli o meccanismi di risposta formali.
Proprietà generali
Le basi per identificare un controllo includono l’assegnazione di un nome significativo e la spiegazione del suo scopo nella descrizione. Definire:
- Le condizioni che attivano il controllo,
- Ambito del controllo.
In BSC Designer:
- Utilizzare il pulsante Aggiungi per creare un nuovo elemento.
- Identificare il controllo tramite i campi nome e descrizione.
- Collega il controllo con obiettivi passati pertinenti, eventi o requisiti normativi.
Documentazione di supporto
In BSC Designer:
- Aggiungi documenti a un controllo tramite la finestra di dialogo Descrizione.
- Aggiungi documenti al piano d’azione del controllo tramite la finestra di dialogo Iniziative.
Proprietà Personalizzate
In BSC Designer:
- Definire le proprietà richieste dei controlli tramite campi personalizzati.
- I nuovi campi saranno disponibili per controlli, metriche e iniziative.
Proprietà
Ad esempio, i controlli di manutenibilità del software possono automatizzare gli aggiornamenti, ma è necessario un esperto IT per risolvere i conflitti se un aggiornamento fallisce. In BSC Designer:
- Aggiungere persone responsabili per il controllo come utenti; assegnare la persona a un team.
- Assegnare la persona o il team come proprietario del controllo tramite il campo Proprietario.
I proprietari riceveranno notifiche rilevanti per il controllo.
Certificazione / Approvazione
In BSC Designer:
- Utilizzare campi personalizzati per definire le proprietà del controllo come “Stato di certificazione” e “Certificato da”.
- Durante l’attestazione dei controlli, il team di gestione può aggiornare queste proprietà.
- Utilizzare filtri nei rapporti per identificare i controlli senza adeguata certificazione.
Per disabilitare un controllo non certificato ma mantenerlo nel punteggio:
- Selezionare un controllo.
- Passare alla scheda Prestazioni.
- Attivare la casella di controllo Indicatore dati grezzi.
Allineamento dei Controlli
In BSC Designer:
- Copia e incolla elementi tra le schede.
- Quando richiesto, utilizzare l’opzione di connessione per contesto per collegare due elementi.
Catalogo dei controlli
In BSC Designer:
- Crea uno scorecard dedicato ai controlli.
- Usa una struttura gerarchica per organizzare i controlli.
- Quando necessario, copia il controllo nello scorecard attivo.
2. Quantificazione dei controlli
Metriche di Efficacia
L’uso delle metriche per i controlli rende il controllo più specifico ed evita interpretazioni diverse. Definire metriche per monitorare:
- Aderenza agli standard
- Efficacia del controllo
- Progresso dei piani d’azione
Ad esempio, nella segnalazione degli incidenti:
- La metrica di efficienza potrebbe essere “% di personale formato nella segnalazione degli incidenti.”
- La metrica di efficacia potrebbe essere “% di incidenti non comunicati correttamente.”
In BSC Designer:
- Usare il pulsante Aggiungi per aggiungere metriche all’interno dell’elemento Controllo.
Prestazioni complessive
In BSC Designer:
- Selezionare una metrica
- Passare alla scheda Prestazioni
- Cambiare il peso della metrica
Le prestazioni/progresso del controllo verranno visualizzate nella colonna corrispondente.
Metriche di efficienza
A seconda del contesto, utilizza metriche leading. A differenza delle metriche lagging, le metriche leading non contribuiscono direttamente alle prestazioni complessive del controllo, ma suggeriscono preziosi spunti per comprendere l’efficienza del controllo.
In BSC Designer:
- Seleziona una metrica
- Passa al Contesto
- Modifica il tipo della metrica in Leading
Stima dei rischi
Un controllo può includere una definizione di rischio o essere allineato con rischi da un registro dei rischi.
La stima del rischio può essere:
- Un trigger per l’esecuzione del controllo oppure
- Una condizione per la selezione di un determinato corso d’azione.
In BSC Designer:
- Crea un nuovo indicatore
- Modifica il suo tipo in ‘Rischio’
- Aggiorna gli indicatori di Probabilità e Impatto del rischio
Controllo Binario
Gli stati possibili degli indicatori binari:
- Non assegnato – la parte del controllo non è stata ancora eseguita
- Sì – per indicare che la parte del controllo è stata eseguita con successo
- No – per indicare che la parte del controllo non è stata eseguita con successo
Esempio: “Piano di continuità aziendale aggiornato tenendo conto di una minaccia recentemente identificata” può essere automatizzato con un indicatore binario. In BSC Designer:
- Selezionare un indicatore
- Passare alla scheda ‘Generale’
- Cambiare le sue unità di misura in “Sì/No”
Controllo qualitativo
Gli indicatori qualitativi sono utilizzati per i controlli quando una stima quantitativa più specifica non è ancora sviluppata, o non è conveniente svilupparne una.
Esempio: un controllo Gestione e comunicazione delle politiche può essere valutato con una metrica qualitativa Efficacia della comunicazione delle politiche di conformità con stati possibili:
- Altamente efficace (100): I dipendenti comprendono chiaramente le politiche di conformità.
- Moderatamente efficace (60): Alcuni dipendenti comprendono le politiche.
- Inefficace (10): I dipendenti sono generalmente inconsapevoli delle politiche.
In BSC Designer:
- Seleziona un indicatore
- Fai clic sul pulsante Modifica accanto alle unità di misura per aggiungere unità di misura personalizzate
Controllo quantitativo
Per rendere i controlli più specifici, si utilizzano indicatori quantitativi o numerici. Per gli indicatori quantitativi possiamo definire la loro formula di prestazione, ad esempio, come lo stato attuale di un indicatore influisce sulla prestazione dell’output.
Esempio: per valutare l’efficacia dell’implementazione di un controllo specifico, eseguiamo un audit interno per monitorare il % di conformità alle politiche. In questo caso, la formula di prestazione è una massimizzazione lineare, con obiettivo = 100%. Un altro esempio può essere la metrica Tempo medio di rilevamento, configurata come minimizzazione lineare con un obiettivo di 24 ore.
In BSC Designer:
- Passare alla scheda ‘Performance’ per definire la funzione di prestazione.
- Passare alla scheda ‘Data’ per definire lo stato attuale dell’indicatore, la linea di base e l’obiettivo.
Controllo guidato dalle prove
Indicatori di prova cambieranno il loro stato in base al numero di documenti/prove caricati.
Ad esempio, il controllo del test di backup e ripristino potrebbe richiedere il caricamento dei risultati dei test o dei log come prova dell’esecuzione riuscita del controllo.
In BSC Designer:
- Seleziona un indicatore
- Modifica le sue unità di misura in Prova
- Carica documento nell’indicatore per cambiarne lo stato
3. Iniziative per i controlli
Piani d’Azione
In BSC Designer:
- Utilizzare lo strumento Iniziativa per aggiungere piani d’azione ai controlli.
- Allineare rischi e metriche di efficienza con l’iniziativa.
- Assegnare un responsabile all’iniziativa; la persona riceverà notifiche quando lo stato cambia.
Monitoraggio del Piano d’Azione
In BSC Designer:
- Aggiungere una nuova iniziativa al controllo.
- Aprire la finestra di dialogo dell’iniziativa.
- Selezionare il KPI di progresso nel campo ‘KPI Allineato’.
4. Controlli di Tracciamento nel Tempo
Controlli periodici
Esempio di revisione della meccanica del controllo:
- Revisione delle checklist di conformità – revisione annuale
- Ritenzione della conoscenza, % – revisione trimestrale
Esempi di applicazione periodica del controllo:
- Scansione delle vulnerabilità – revisione/aggiornamento mensile
Esempi di controllo attivato una sola volta:
- Valutazione iniziale del rischio – da aggiornare una volta sola
In BSC Designer:
- Utilizza l’impostazione Intervallo di aggiornamento dell’indicatore per pianificare revisioni regolari.
Aggiorna lo stato del controllo
In BSC Designer:
- Seleziona la metrica di un controllo
- Seleziona una data nel calendario interno
- Passa alla scheda ‘Dati’
- Inserisci il nuovo stato nel campo ‘Valore’
Ereditarietà dello Stato dei Controlli
Alcuni indicatori utilizzati per i controlli erediteranno il loro stato precedentemente noto, mentre altri utilizzeranno solo aggiornamenti specificamente inseriti.
Per esempio:
- % di Dipendenti Formati – è probabile che sia un indicatore inerente, poiché possiamo presumere che la percentuale di dipendenti formati a maggio rimarrà la stessa o aumenterà a giugno.
- Ricavi Mensili delle Vendite – è probabile che sia un indicatore non inerente, poiché siamo interessati a monitorare i dati effettivi delle vendite nel corso dei mesi.
In BSC Designer:
- Selezionare un indicatore
- Fare clic sul pulsante Editor Valori
- Cambiare il tipo di ereditarietà dell’indicatore
5. Controlli di Reporting
Controlli sui cruscotti
In BSC Designer:
- Passare alla scheda Cruscotto.
- Aggiungere grafici pertinenti, inclusi diagrammi di Gantt per le iniziative, diagrammi di rischio e diagrammi che elencano i controlli e i loro stati.
Controlla la stima del rischio
In BSC Designer:
- Collega la parte ritardata del controllo con le metriche di Impatto del rischio o Stima del rischio nel registro dei rischi tramite i dati.
Controlli nei Rapporti
In BSC Designer:
- Usa il menu ‘Report’ per generare vari rapporti
- Usa il pulsante ‘Schedule’ nel menu ‘Report’ per inviare rapporti automaticamente agli stakeholder
Responsabilità
In BSC Designer:
- Tutte le attività relative alla progettazione e all’esecuzione dei controlli sono registrate nel registro di controllo.
- L’amministratore dell’account può accedere ai registri di controllo tramite Menu > Utenti > Audit Trail.
Esempio Pratico di Utilizzo di un Controllo
Parliamo di un esempio pratico. Considera il controllo attivato quando un dipendente lascia l’azienda.
Struttura dell’esempio:
Library of GRC Controls. Libreria dei controlli
Nella libreria dei controlli, ho una sezione HR dove uno dei controlli è “Dipendente ha lasciato l’azienda.”
Questo controllo ha tre piani d’azione:
- Reindirizzare le email.
- Contattare i clienti.
- Piano di trasferimento delle conoscenze.
Ha anche due metriche:
- Accessi disabilitati (basato su evidenze).
- Percentuale di clienti notificati.
Un’altra metrica è utilizzata per la revisione periodica dei controlli:
- Ritenzione delle conoscenze (%)
Un rischio è definito per il controllo come:
- Rischio: Interruzione del flusso di lavoro
- Piano di mitigazione: Documentare le funzioni critiche
Scheda di Valutazione degli Eventi
Ho una scheda di valutazione chiamata “Eventi HR” dove vengono registrati gli eventi HR rilevanti. La scheda di valutazione è organizzata per tipo di evento.
Applicare il Controllo
Ecco i passaggi da seguire quando un dipendente lascia l’azienda:
- Crea un nuovo evento nella scorecard degli eventi, ad esempio, “Alex ha lasciato l’azienda.”
- Copia e incolla il controllo appropriato dalla libreria dei controlli nella scorecard degli eventi.
- La persona responsabile del controllo sarà automaticamente notificata riguardo ai nuovi piani d’azione creati.
- Carica le prove (screenshot) che i login sono stati disabilitati.
- Notifica i clienti e aggiorna l’indicatore “% di clienti notificati”.
- Aggiorna lo stato dei piani d’azione a “In revisione.”
Altri esempi
Puoi trovare più esempi di utilizzo dei controlli negli articoli su:
Usa il modello Library of GRC Controls
BSC Designer aiuta le organizzazioni a implementare le loro strategie complesse:
- Iscriviti per un piano gratuito sulla piattaforma.
- Usa il modello
Library of GRC Controls come punto di partenza. Lo troverai in Nuovo > Nuova Scorecard > Altri Modelli. - Segui il nostro Sistema di Implementazione della Strategia per allineare stakeholder e ambizioni strategiche in una strategia completa.
Inizia oggi e scopri come BSC Designer può semplificare l'implementazione della tua strategia!
Alexis Savkin è un Architetto dell’implementazione della strategia e fondatore di BSC Designer, una piattaforma software per l’esecuzione della strategia e la Scheda di valutazione bilanciata. Aiuta le organizzazioni ad automatizzare la gestione delle prestazioni e a trasformare la strategia in risultati misurabili. Alexis è il creatore dello “Sistema di implementazione della strategia”, autore di oltre 100 articoli su strategia e misurazione delle prestazioni, e relatore abituale in occasione di eventi di settore.