Лучшие практики по созданию системы внутренних контролей и их практическая реализация с помощью специализированной программы.
Термин «контроли«, изначально использовавшийся в области GRC (Управление, Риски, Комплаенс) для описания механизмов управления рисками и обеспечения комплаенса, теперь применяется более широко в стратегическом планировании.
В этой статье мы поделимся лучшими практиками по созданию контролей и их практическому использованию.
Введение во внутренний контроль
По существу, «контроль» — это механизм реагирования или предотвращения, используемый для управления рисками и обеспечения комплаенса.
Пример контроля: «Сотрудник покинул компанию»
- План действий: Перенаправить электронные письма
- План действий: Уведомить клиентов
- Метрика эффективности: Отключены входы [На основе доказательств]
- Метрика эффективности: % уведомленных клиентов
- Риск: Нарушение рабочего процесса
Компоненты Контроля
Контроли имеют определенные компоненты:
- Определение контроля.
- Внутренние механизмы для обеспечения правильной работы контроля (метрики, планы действий, мониторинг).
- Результаты применения контроля, которые докладываются и предоставляют данные для цикла обучения.
С точки зрения автоматизации контроль может быть:
- Таким же простым, как план действий с согласованными метриками прогресса или
- Таким же сложным, как иерархический набор контролей и под-контролей, каждый из которых имеет свой набор метрик, оценок рисков, планов по работе с риском, контекстных зависимостей и владельцев.
Контроли имеют конкретные области применения, определяющие, когда следует активировать определенные контроли.
Давайте изучим инструменты, которые мы можем использовать для реализации контролей в стратегическом планировании.
1. Определение контроля
На начальном этапе наша цель — правильно отразить прошлый опыт команды управления в контроли или формальные механизмы реагирования.
Общие свойства
Основы идентификации контроля включают присвоение ему значимого имени и объяснение его цели в описании. Определите:
- Условия, которые запускают контроль,
- Область действия контроля.
В BSC Designer:
- Используйте кнопку Добавить, чтобы создать новый элемент.
- Идентифицируйте контроль через поля имени и описания.
- Свяжите контроль с соответствующими прошлыми целями, событиями или нормативными требованиями.
Поддерживающая документация
- Добавьте документы в контроль через диалоговое окно Описание.
- Добавьте документы в план действий контроля через диалоговое окно Инициативы.
Пользовательские свойства
В BSC Designer:
- Определите необходимые свойства контролей через пользовательские поля.
- Новые поля будут доступны для контролей, метрик и инициатив.
Ответственность
Например, средства контроля поддерживаемости программ могут автоматизировать обновления, но специалист по ИТ необходим для разрешения конфликтов в случае сбоя обновления. В BSC Designer:
- Добавьте ответственных лиц за контроль в качестве пользователей; назначьте лицо в команду.
- Назначьте лицо или команду владельцем средства контроля через поле Owner.
Владельцы будут получать уведомления, относящиеся к средству контроля.
Сертификация / Утверждение
В BSC Designer:
- Используйте пользовательские поля для определения свойств контроля, таких как «Состояние сертификации» и «Сертифицировано кем».
- При подтверждении контроля команда управления может обновлять эти свойства.
- Используйте фильтры в отчетах для выявления контролей без надлежащей сертификации.
Чтобы отключить несертифицированный контроль, но оставить его в системе показателей:
- Выберите контроль.
- Переключитесь на вкладку Производительность.
- Активируйте флажок Индикатор исходных данных.
Связь Контролей
В BSC Designer:
- Копируйте и вставляйте элементы между системами показателей.
- Когда будет предложено, используйте опцию связи по контексту для связывания двух элементов.
Каталог контролей
В BSC Designer:
- Создайте систему показателей, посвященную контролям.
- Используйте иерархическую структуру для организации контролей.
- При необходимости скопируйте контроль в активную систему показателей.
2. Количественная оценка контроля
Метрики эффективности
Использование метрик для контроля делает контроль более конкретным и избегает различных интерпретаций. Определите метрики для отслеживания:
- Соблюдение стандартов
- Эффективность контроля
- Прогресс планов действий
Например, в отчетности о происшествиях:
- Метрика эффективности может быть «% персонала, обученного отчетности о происшествиях.»
- Метрика эффективности может быть «% происшествий, не сообщенных должным образом.»
В BSC Designer:
- Используйте кнопку Добавить, чтобы добавить метрики внутри элемента Контроль.
Общая производительность
В BSC Designer:
- Выберите метрику
- Переключитесь на вкладку Производительность
- Измените вес метрики
Производительность/прогресс контроля будет отображаться в соответствующем столбце.
Метрики эффективности
В зависимости от контекста используйте индикаторы действия. В отличие от индикаторов результата, индикаторы действия не будут напрямую способствовать общей эффективности контроля, но предложат ценные идеи для понимания эффективности контроля.
В BSC Designer:
- Выберите метрику
- Переключитесь на Контекст
- Измените тип метрики на Действующий
Оценка рисков
Контроль может включать определение риска или быть связан с рисками из реестра рисков.
Оценка риска может быть:
- Триггером для выполнения контроля или
- Условием для выбора определенного курса действий.
В BSC Designer:
- Создайте новый индикатор
- Измените его тип на ‘Риск’
- Обновите индикаторы Вероятности и Влияния риска
Бинарный контроль
Возможные состояния бинарных индикаторов:
- Не назначено — часть контроля еще не выполнена
- Да — чтобы указать, что часть контроля выполнена успешно
- Нет — чтобы указать, что часть контроля не выполнена успешно
Пример: «План обеспечения непрерывности бизнеса обновлен с учетом вновь выявленной угрозы» может быть автоматизирован с помощью бинарного индикатора. В BSC Designer:
- Выберите индикатор
- Переключитесь на вкладку «Общие»
- Измените единицы измерения на «Да/Нет»
Качественный контроль
Качественные индикаторы используются для контроля, когда более специфическая количественная оценка еще не разработана или разработка такой оценки экономически нецелесообразна.
Пример: контроль Управление политиками и коммуникация может быть оценен с помощью качественной метрики Эффективность коммуникации комплаенс-политик с возможными состояниями:
- Высокоэффективно (100): Сотрудники четко понимают комплаенс-политики.
- Умеренно эффективно (60): Некоторые сотрудники понимают политики.
- Неэффективно (10): Сотрудники в целом не знают о политиках.
В BSC Designer:
- Выберите индикатор
- Нажмите кнопку Редактировать рядом с единицами измерения, чтобы добавить пользовательские единицы измерения
Количественный контроль
Для того чтобы сделать контроль более специфичным, используются количественные или числовые индикаторы. Для количественных индикаторов можно определить их формулу производительности, например, как текущее состояние индикатора влияет на выходную производительность.
Пример: для оценки эффективности внедрения конкретного контроля мы проводим внутренний аудит, чтобы отследить % соответствия политике. В этом случае формула производительности — линейная максимизация, с целью = 100%. Другим примером может быть метрика Среднее время обнаружения, настроенная как линейная минимизация с целью 24 часа.
В BSC Designer:
- Переключитесь на вкладку ‘Производительность’, чтобы определить функцию производительности.
- Переключитесь на вкладку ‘Данные’, чтобы определить текущее состояние индикатора, базис и цель.
Контроль на основе доказательств
Индикаторы доказательств будут менять свое состояние в зависимости от количества загруженных документов/доказательств.
Например, контроль теста резервного копирования и восстановления может требовать загрузки результатов теста или журналов в качестве доказательства успешного выполнения контроля.
В BSC Designer:
- Выберите индикатор
- Измените его единицы измерения на Доказательства
- Загрузите документ в индикатор, чтобы изменить его состояние
3. Инициативы по контролю
Планы действий
В BSC Designer:
- Используйте инструмент Инициатива, чтобы добавить планы действий к контролям.
- Установите связь рисков и показателей эффективности с инициативой.
- Назначьте владельца инициативы; он будет получать уведомления при изменении статуса.
Отслеживание плана действий
В BSC Designer:
- Добавьте новую инициативу к контролю.
- Откройте диалог инициативы.
- Выберите KPI прогресса в поле ‘Связанный KPI’.
4. Отслеживание Контроля Со Временем
Периодический контроль
Пример пересмотра механики контроля:
- Пересмотр комплаенс-чеклистов — ежегодный пересмотр
- Удержание знаний, % — ежеквартальный пересмотр
Примеры периодического применения контроля:
- Сканирование уязвимостей — ежемесячный пересмотр/обновление
Примеры контроля, инициируемого один раз:
- Первоначальная оценка риска — обновляется один раз
В BSC Designer:
- Используйте настройку Интервал обновления индикатора для планирования регулярных пересмотров.
Обновление состояния контроля
В BSC Designer:
- Выберите метрику контроля
- Выберите дату во внутреннем календаре
- Перейдите на вкладку «Данные»
- Введите новое состояние в поле «Значение»
Наследование состояния контроля
Некоторые индикаторы, используемые для контроля, будут наследовать свое ранее известное состояние, в то время как другие будут использовать только специально введенные обновления.
Например:
- % обученных сотрудников — вероятно, будет являться присущим индикатором, так как мы можем предположить, что процент обученных сотрудников в мае останется прежним или увеличится в июне.
- Ежемесячный доход от продаж — вероятно, будет непринадлежащим индикатором, так как мы заинтересованы в отслеживании фактических данных о продажах по месяцам.
В BSC Designer:
- Выберите индикатор
- Нажмите на кнопку Редактор значений
- Измените тип наследования индикатора
5. Контроль отчетности
Контрольные элементы на панелях мониторинга
В BSC Designer:
- Переключитесь на вкладку Панель мониторинга.
- Добавьте соответствующие диаграммы, включая диаграммы Ганта для инициатив, диаграммы рисков и диаграммы с перечнем контрольных элементов и их состояния.
Контролы для оценки риска
В BSC Designer:
- Свяжите запаздывающую часть контроля с метриками воздействия риска или оценки риска в реестре рисков по данным.
Контроль в отчетах
В BSC Designer:
- Используйте меню ‘Отчет’, чтобы создать различные отчеты
- Используйте кнопку ‘Расписание’ в меню ‘Отчет’, чтобы автоматически отправлять отчеты заинтересованным сторонам
Ответственность
В BSC Designer:
- Все действия, связанные с разработкой и выполнением контролей, записываются в журнал аудита.
- Администратор учетной записи может получить доступ к журналам аудита через Меню > Пользователи > Аудиторский след.
Практический пример использования контроля
Давайте обсудим практический пример. Рассмотрим контроль, активируемый, когда сотрудник покидает компанию.
Структура примера:
Библиотека Контролей
В библиотеке контролей у меня есть раздел HR, где один из контролей — «Сотрудник покинул компанию».
Этот контроль имеет три плана действий:
- Перенаправление электронной почты.
- Связаться с клиентами.
- План передачи знаний.
Также у него есть два показателя:
- Отключение входов (на основе доказательств).
- Процент уведомленных клиентов.
Другой показатель используется для периодического пересмотра контролей:
- Сохранение знаний (%)
Риск определен для контроля как:
- Риск: Нарушение рабочего процесса
- План по работе с риском: Документирование критических функций
Система показателей событий
У меня есть система показателей под названием «HR события», где фиксируются соответствующие события HR. Система показателей организована по типу события.
Применение контроля
Вот шаги, которые следует выполнить, когда сотрудник покидает компанию:
- Создайте новое событие в системе показателей Событий, например, «Alex покинул компанию».
- Скопируйте и вставьте соответствующий контроль из библиотеки контролей в систему показателей Событий.
- Ответственный за контроль будет автоматически уведомлен о создании новых планов действий.
- Загрузите доказательства (скриншоты) того, что логины были отключены.
- Уведомите клиентов и обновите индикатор «% уведомленных клиентов».
- Обновите статус планов действий на «На рассмотрении».
Тренинг: 'BSC Designer for Automation of GRC Controls' предлагается в рамках нашей программы непрерывного обучения и включен в подписку BSC Designer.
Тренинги проводятся еженедельно через Zoom, предоставляя практические инсайты и персонализированные рекомендации. По завершении участники получают сертификат о посещении. Изучите все доступные тренинги здесь.
Больше примеров
Вы можете найти больше примеров использования контролей в статьях о:
Что дальше?
- Зарегистрируйтесь для бесплатного аккаунта на BSC Designer, чтобы получить доступ к шаблонам системы показателей, включая 'Библиотека GRC контролей', обсуждаемую в этой статье.
- Следуйте нашей системе внедрения стратегии, чтобы связать заинтересованные стороны, стратегические амбиции и бизнес-структуры в комплексную стратегию.
Подробнее о стратегическом планировании
Alexis является старшим консультантом по стратегии и генеральным директором BSC Designer, с более чем 20-летним опытом в области стратегического планирования. Alexis разработал «Систему внедрения стратегии в 5 шагов», которая помогает компаниям в практической реализации их стратегий. Он регулярно выступает на отраслевых конференциях и опубликовал более 100 статей по управлению стратегией и производительностью, включая книгу «Система KPI в 10 шагов». Его работа часто цитируется в академических исследованиях.
Подпишитесь на Alexis’s Unedited на Substack.