Как настроить и контролировать внутренние контроли для обеспечения комплаенс

Лучшие практики по созданию системы внутренних контролей и их практическая реализация с помощью специализированной программы.

Термин «контроли«, изначально использовавшийся в области GRC (Управление, Риски, Комплаенс) для описания механизмов управления рисками и обеспечения комплаенса, теперь применяется более широко в стратегическом планировании.

Инфографика: Реализация 5 основных элементов внутреннего контроля для GRC

В этой статье мы поделимся лучшими практиками по созданию контролей и их практическому использованию.

Введение во внутренний контроль

По существу, «контроль» — это механизм реагирования или предотвращения, используемый для управления рисками и обеспечения комплаенса.

Пример контроля: «Сотрудник покинул компанию»

  • План действий: Перенаправить электронные письма
  • План действий: Уведомить клиентов
  • Метрика эффективности: Отключены входы [На основе доказательств]
  • Метрика эффективности: % уведомленных клиентов
  • Риск: Нарушение рабочего процесса
Automating Internal Controls with Functional Scorecards

Компоненты Контроля

Контроли имеют определенные компоненты:

Пример Реализации

С точки зрения автоматизации контроль может быть:

  • Таким же простым, как план действий с согласованными метриками прогресса или
  • Таким же сложным, как иерархический набор контролей и под-контролей, каждый из которых имеет свой набор метрик, оценок рисков, планов по работе с риском, контекстных зависимостей и владельцев.

Контроли имеют конкретные области применения, определяющие, когда следует активировать определенные контроли.

Давайте изучим инструменты, которые мы можем использовать для реализации контролей в стратегическом планировании.

1. Определение контроля

На начальном этапе наша цель — правильно отразить прошлый опыт команды управления в контроли или формальные механизмы реагирования.

Общие свойства

Основы идентификации контроля включают в себя присвоение ему значимого имени и объяснение его назначения в описании. Определите:

  • Условия, при которых срабатывает контроль,
  • Область применения контроля.
Пример реализации

В BSC Designer:

  1. Используйте кнопку Добавить, чтобы создать новый элемент.
  2. Идентифицируйте контроль с помощью полей имени и описания.
  3. Свяжите контроль с соответствующими прошлыми целями, событиями или нормативными требованиями.
Как описать цели и индикаторы в системе показателей
Strategy Cascading or Alignment on Practical Level

Поддерживающая документация

Более сложные меры контроля требуют поддерживающей документации, такой как политики и процедуры. Свяжите соответствующие документы или загрузите их к мере контроля.
Пример реализации

В BSC Designer:

  • Добавьте документы к мере контроля через диалог Описание.
  • Добавьте документы в план действия меры контроля через диалог Инициативы.
Как описать цели и индикаторы в системе показателей

Пользовательские свойства

Организации следуют собственным стандартам определения контроля, предполагая специфические свойства для контролей или связанных планов действий.
Пример реализации

В BSC Designer:

  • Определите необходимые свойства контролей через пользовательские поля.
  • Новые поля будут доступны для контролей, метрик и инициатив.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Ответственность

Большинство средств контроля требуют определенного уровня человеческого вмешательства. Даже если средство контроля настроено для автономной работы, надзор остается необходимым.
Пример внедрения

Например, средства контроля поддерживаемости программ могут автоматизировать обновления, но специалист по ИТ необходим для разрешения конфликтов в случае сбоя обновления. В BSC Designer:

  1. Добавьте ответственных лиц за контроль в качестве пользователей; назначьте лицо в команду.
  2. Назначьте лицо или команду владельцем средства контроля через поле Owner.

Владельцы будут получать уведомления, относящиеся к средству контроля.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Сертификация / Утверждение

Для завершения определения контроля или индикатора может потребоваться официальная сертификация или утверждение. Руководство подтверждает, что внутренний контроль соответствует регуляторным и внутренним требованиям.
Пример внедрения

В BSC Designer:

  • Используйте пользовательские поля для определения свойств контроля, таких как «Состояние сертификации» и «Сертифицировано кем».
  • При подтверждении контроля команда управления может обновлять эти свойства.
  • Используйте фильтры в отчетах для выявления контролей без надлежащей сертификации.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Чтобы отключить несертифицированный контроль, но оставить его в системе показателей:

  1. Выберите контроль.
  2. Переключитесь на вкладку Производительность.
  3. Активируйте флажок Индикатор исходных данных.

Связь Контролей

Контроли не существуют в изоляции. Установите необходимые контекстуальные связи между различными контролями, целями, рисками и событиями. Как обсуждалось в Системе Реализации Стратегии, контроли реализуются в стратегии через функциональные системы показателей.
Пример Реализации

В BSC Designer:

  • Копируйте и вставляйте элементы между системами показателей.
  • Когда будет предложено, используйте опцию связи по контексту для связывания двух элементов.
Strategy Cascading or Alignment on Practical Level

Каталог контролей

Для повторяющихся контролей создайте библиотеку контролей. В случае определенного события вы можете легко развернуть контроль, скопировав его из библиотеки. Чтобы поддерживать внедрение контролей в синхронизации с предопределенным шаблоном, используйте функцию синхронизации, доступную на платформе.
Пример внедрения

В BSC Designer:

  1. Создайте систему показателей, посвященную контролям.
  2. Используйте иерархическую структуру для организации контролей.
  3. При необходимости скопируйте контроль в активную систему показателей.
Automating Internal Controls with Functional Scorecards

2. Количественная оценка контроля

Метрики эффективности

Использование метрик для контроля делает контроль более конкретным и избегает различных интерпретаций. Определите метрики для отслеживания:

  • Соблюдение стандартов
  • Эффективность контроля
  • Прогресс планов действий
Пример внедрения

Например, в отчетности о происшествиях:

  • Метрика эффективности может быть «% персонала, обученного отчетности о происшествиях.»
  • Метрика эффективности может быть «% происшествий, не сообщенных должным образом.»

В BSC Designer:

  • Используйте кнопку Добавить, чтобы добавить метрики внутри элемента Контроль.

Общая производительность

Когда метрики эффективности определены для контроля, общая эффективность применения контроля может быть рассчитана с использованием взвешенного среднего показателя производительности отдельных метрик.
Пример реализации

В BSC Designer:

  1. Выберите метрику
  2. Переключитесь на вкладку Производительность
  3. Измените вес метрики

Производительность/прогресс контроля будет отображаться в соответствующем столбце.

Creating an Index Indicator with Weighted Metrics

Метрики эффективности

В зависимости от контекста используйте индикаторы действия. В отличие от индикаторов результата, индикаторы действия не будут напрямую влиять на общую эффективность контроля, но предложат ценные идеи для понимания эффективности контроля.

Пример внедрения

В BSC Designer:

  1. Выберите метрику
  2. Перейдите к Контексту
  3. Измените тип метрики на Действия
Ведущие и запаздывающие индикаторы в BSC Designer

Оценка рисков

Контроль может включать определение риска или быть связан с рисками из реестра рисков.

Оценка риска может быть:

  • Триггером для выполнения контроля или
  • Условием для выбора определенного плана действий.
Пример реализации

В BSC Designer:

  1. Создать новый индикатор
  2. Изменить его тип на «Риск»
  3. Обновить индикаторы вероятности риска и влияния
Шаги для добавления риска к цели в BSC Designer

Бинарный контроль

Возможные состояния бинарных индикаторов:

  • Не назначено — часть контроля еще не выполнена
  • Да — чтобы указать, что часть контроля выполнена успешно
  • Нет — чтобы указать, что часть контроля не выполнена успешно
Пример реализации

Пример: «План обеспечения непрерывности бизнеса обновлен с учетом вновь выявленной угрозы» может быть автоматизирован с помощью бинарного индикатора. В BSC Designer:

  1. Выберите индикатор
  2. Переключитесь на вкладку «Общие»
  3. Измените единицы измерения на «Да/Нет»
Binary Indicators: An Example of Usage for Internal Controls

Качественный контроль

Качественные индикаторы используются для контроля, когда более точная количественная оценка еще не разработана или ее разработка экономически нецелесообразна.

Пример реализации

Пример: контроль Управление политиками и коммуникация можно оценить с помощью качественного показателя Эффективность коммуникации политик комплаенса с возможными состояниями:

  • Высокоэффективно (100): Сотрудники четко понимают политики комплаенса.
  • Умеренно эффективно (60): Некоторые сотрудники понимают политики.
  • Неэффективно (10): Сотрудники в основном не осведомлены о политиках.

В BSC Designer:

  1. Выберите индикатор
  2. Нажмите кнопку Редактировать рядом с единицами измерения, чтобы добавить пользовательские единицы измерения
Using Qualitative and Quantitative Measurement Units on Scorecards

Количественный контроль

Для того чтобы сделать контроль более конкретным, используются количественные или числовые индикаторы. Для количественных индикаторов мы можем определить их формулу эффективности, например, как текущее состояние индикатора влияет на выходную эффективность.

Пример реализации

Пример: для оценки эффективности внедрения конкретного контроля мы проводим внутренний аудит, чтобы отслеживать % соответствия политике. В этом случае формула эффективности — линейная максимизация, с целью = 100%. Другим примером может быть метрика Среднее время обнаружения, настроенная как линейная минимизация с целью в 24 часа.

В BSC Designer:

  • Переключитесь на вкладку «Эффективность», чтобы определить функцию эффективности.
  • Переключитесь на вкладку «Данные», чтобы определить текущее состояние индикатора, базовый уровень и цель.
Функции оптимизации для KPI в BSC Designer

Контроль на основе доказательств

Индикаторы доказательств будут менять свой статус в зависимости от количества загруженных документов/доказательств.

Пример реализации

Например, контроль резервного копирования и восстановления может требовать загрузки результатов тестирования или логов в качестве подтверждения успешного выполнения контроля.

В BSC Designer:

  1. Выберите индикатор
  2. Измените его единицы измерения на Доказательство
  3. Загрузите документ к индикатору для изменения его статуса

3. Инициативы по контролю

Планы действий

Применение контролей включает выполнение конкретных действий по предотвращению или реагированию, аналогично классическому управлению проектами с указанием сроков, бюджетов и ответственных лиц.
Пример реализации

В BSC Designer:

  • Используйте инструмент Инициатива, чтобы добавить планы действий к контролям.
  • Свяжите риски и метрики эффективности с инициативой.
  • Назначьте ответственного за инициативу; этот человек будет получать уведомления при изменении статуса.
How to Add an Initiative to a Goal in Strategic Planning

Отслеживание плана действий

Отслеживание выполнения плана действий обычно является частью области контроля. Один из показателей, связанных с контролем, может использоваться для отслеживания прогресса плана действий.
Пример реализации

В BSC Designer:

  1. Добавьте новую инициативу к контролю.
  2. Откройте диалог инициативы.
  3. Выберите KPI прогресса в поле ‘Связанный KPI’.
Using KPIs to Track the Progress of an Initiative

4. Отслеживание Контроля Со Временем

Периодические Контроли

Некоторые контроли требуют периодического пересмотра. Такие пересмотры затрагивают механику контроля, а также периодическое применение контроля. Определённые контроли нужно активировать только один раз.
Пример внедрения

Пример пересмотра механики контроля:

  • Пересмотр комплаенс-чек-листов – ежегодный пересмотр
  • Удержание знаний, % – ежеквартальный пересмотр

Примеры периодического применения контроля:

  • Сканирование уязвимостей – ежемесячный пересмотр/обновление

Примеры контроля, инициируемого однократно:

  • Начальная оценка риска – обновляется однократно

В BSC Designer:

Обеспечьте согласованность данных с интервалами обновления

Обновить состояние контроля

Для периодических контролей обновите состояние метрик, которые были определены для контроля.
Пример реализации

В BSC Designer:

  1. Выберите метрику контроля
  2. Выберите дату во внутреннем календаре
  3. Перейдите на вкладку «Данные»
  4. Введите новое состояние в поле «Значение»
Непрерывный мониторинг KPI в BSC Designer

Наследование состояния контроля

Некоторые индикаторы, используемые для контроля, будут наследовать свое ранее известное состояние, в то время как другие будут использовать только специально введенные обновления.

Пример реализации

Например:

  • % обученных сотрудников — вероятно, является индикатором действия, так как мы можем предположить, что процент обученных сотрудников в мае останется тем же или увеличится в июне.
  • Ежемесячная выручка от продаж — вероятно, является неиндикатором действия, так как нас интересует отслеживание фактических данных о продажах по месяцам.

В BSC Designer:

  1. Выберите индикатор
  2. Нажмите кнопку Редактор значений
  3. Измените тип наследования индикатора
Two Options for Inheriting Previous State of an Indicator

5. Контроль отчетности

Контрольные элементы на панелях мониторинга

Создавайте визуальные представления контрольных элементов и их состояния. Отслеживайте изменение метрик со временем, состояние рисков и планы по работе с риском.
Пример реализации

В BSC Designer:

  1. Переключитесь на вкладку Панель мониторинга.
  2. Добавьте соответствующие диаграммы, включая диаграммы Ганта для инициатив, диаграммы рисков и диаграммы с перечнем контрольных элементов и их состояния.
Adding a Chart to a Dashboard in BSC Designer

Контрольные меры для оценки риска

Запаздывающие метрики, которые количественно оценивают эффективность контрольных мер, могут быть использованы для количественной оценки вероятности или влияния риска.
Пример внедрения

В BSC Designer:

  • Свяжите запаздывающую часть контроля с показателями Влияния риска или Оценки риска в реестре рисков по данным.
Идентифицировать и оценить риски по эффективности внутренних контролей

Контроль в отчетах

Состояние контроля, а также результаты их внедрения, могут быть представлены заинтересованным сторонам.
Пример внедрения

В BSC Designer:

  • Используйте меню ‘Отчет’, чтобы создать различные отчеты
  • Используйте кнопку ‘Расписание’ в меню ‘Отчет’, чтобы автоматически отправлять отчеты заинтересованным сторонам
Report the Status of Goals and KPIs to the Stakeholders

Ответственность

Запись результатов выполнения контроля важна для ответственности и будущего обучения.
Пример реализации

В BSC Designer:

  • Все действия, связанные с проектированием и выполнением контроля, записываются в журнал аудита.
  • Администратор учетной записи может получить доступ к журналам аудита через Меню > Пользователи > Аудит.
Accountability and Transparency with Audit Trail in Strategic Planning

Практический пример использования контроля

Давайте обсудим практический пример. Рассмотрим контроль, активируемый, когда сотрудник покидает компанию.

Структура примера:
Пример библиотеки GRC-контролей

Пример структуры библиотеки для GRC-контролей. Источник: Просмотреть Library of GRC Controls онлайн в BSC Designer Library of GRC Controls.

Библиотека Контролей

В библиотеке контролей у меня есть раздел HR, где один из контролей — «Сотрудник покинул компанию».

Этот контроль имеет три плана действий:

  • Перенаправление электронной почты.
  • Контакт с клиентами.
  • План передачи знаний.

Он также имеет два метрика:

  • Отключение логинов (основано на фактических данных).
  • Процент уведомленных клиентов.

Еще один метрик используется для периодического пересмотра контролей:

  • Удержание знаний (%)

Для контроля определен риск:

  • Риск: Нарушение рабочего процесса
  • План по работе с риском: Документирование критических функций

Система показателей событий

У меня есть система показателей под названием «HR события», где фиксируются соответствующие события HR. Система показателей организована по типу события.

Применение контроля

Вот шаги, которые следует выполнить, когда сотрудник покидает компанию:

  1. Создайте новое событие в системе показателей Событий, например, «Alex покинул компанию».
  2. Скопируйте и вставьте соответствующий контроль из библиотеки контролей в систему показателей Событий.
  3. Ответственный за контроль будет автоматически уведомлен о создании новых планов действий.
  4. Загрузите доказательства (скриншоты) того, что логины были отключены.
  5. Уведомите клиентов и обновите индикатор «% уведомленных клиентов».
  6. Обновите статус планов действий на «На рассмотрении».

Training programСессия: 'BSC Designer for Automation of GRC Controls' доступна в рамках программы непрерывного обучения BSC Designer, предлагается как в формате онлайн, так и в формате очного семинара. Узнать больше....

Больше примеров

Вы можете найти больше примеров использования контролей в статьях о:

Используйте шаблон Library of GRC Controls

BSC Designer помогает организациям реализовывать их сложные стратегии:

  1. Зарегистрируйтесь на бесплатный план на платформе.
  2. Используйте шаблон Scorecard Template Library of GRC Controls в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
  3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!


Цитирование: Alexis Savkín, "Как настроить и контролировать внутренние контроли для обеспечения комплаенс", BSC Designer, 11 ноября, 2024, https://bscdesigner.com/ru/grc-controls.htm.

Оставьте комментарий