Как настроить и контролировать внутренние контроли для обеспечения комплаенс

Лучшие практики по созданию системы внутренних контролей и их практическая реализация с помощью специализированной программы.

Термин «контроли«, изначально использовавшийся в области GRC (Управление, Риски, Комплаенс) для описания механизмов управления рисками и обеспечения комплаенса, теперь применяется более широко в стратегическом планировании.

Инфографика: Реализация 5 основных элементов внутреннего контроля для GRC

В этой статье мы поделимся лучшими практиками по созданию контролей и их практическому использованию.

Введение во внутренний контроль

По существу, «контроль» — это механизм реагирования или предотвращения, используемый для управления рисками и обеспечения комплаенса.

Пример контроля: «Сотрудник покинул компанию»

  • План действий: Перенаправить электронные письма
  • План действий: Уведомить клиентов
  • Метрика эффективности: Отключены входы [На основе доказательств]
  • Метрика эффективности: % уведомленных клиентов
  • Риск: Нарушение рабочего процесса
Automating Internal Controls with Functional Scorecards

Компоненты Контроля

Контроли имеют определенные компоненты:

Пример Реализации

С точки зрения автоматизации контроль может быть:

  • Таким же простым, как план действий с согласованными метриками прогресса или
  • Таким же сложным, как иерархический набор контролей и под-контролей, каждый из которых имеет свой набор метрик, оценок рисков, планов по работе с риском, контекстных зависимостей и владельцев.

Контроли имеют конкретные области применения, определяющие, когда следует активировать определенные контроли.

Давайте изучим инструменты, которые мы можем использовать для реализации контролей в стратегическом планировании.

1. Определение контроля

На начальном этапе наша цель — правильно отразить прошлый опыт команды управления в контроли или формальные механизмы реагирования.

Общие свойства

Основы идентификации контроля включают присвоение ему значимого имени и объяснение его цели в описании. Определите:

  • Условия, которые запускают контроль,
  • Область действия контроля.
Пример реализации

В BSC Designer:

  1. Используйте кнопку Добавить, чтобы создать новый элемент.
  2. Идентифицируйте контроль через поля имени и описания.
  3. Свяжите контроль с соответствующими прошлыми целями, событиями или нормативными требованиями.
How to Describe Goals and Indicators in a Scorecard
Strategy Cascading or Alignment on Practical Level

Поддерживающая документация

Более сложные контрольные механизмы требуют поддерживающей документации, такой как политики и процедуры. Ссылку на соответствующие документы или загрузите их в контроль.
Пример внедрения
В BSC Designer:

  • Добавьте документы в контроль через диалоговое окно Описание.
  • Добавьте документы в план действий контроля через диалоговое окно Инициативы.
How to Describe Goals and Indicators in a Scorecard

Пользовательские свойства

Организации следуют собственным стандартам определения контроля, предполагая специфические свойства для контролей или связанных планов действий.
Пример реализации

В BSC Designer:

  • Определите необходимые свойства контролей через пользовательские поля.
  • Новые поля будут доступны для контролей, метрик и инициатив.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Ответственность

Большинство средств контроля требуют определенного уровня человеческого вмешательства. Даже если средство контроля настроено для автономной работы, надзор остается необходимым.
Пример внедрения

Например, средства контроля поддерживаемости программ могут автоматизировать обновления, но специалист по ИТ необходим для разрешения конфликтов в случае сбоя обновления. В BSC Designer:

  1. Добавьте ответственных лиц за контроль в качестве пользователей; назначьте лицо в команду.
  2. Назначьте лицо или команду владельцем средства контроля через поле Owner.

Владельцы будут получать уведомления, относящиеся к средству контроля.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Сертификация / Утверждение

Для завершения определения контроля или индикатора может потребоваться официальная сертификация или утверждение. Руководство подтверждает, что внутренний контроль соответствует регуляторным и внутренним требованиям.
Пример внедрения

В BSC Designer:

  • Используйте пользовательские поля для определения свойств контроля, таких как «Состояние сертификации» и «Сертифицировано кем».
  • При подтверждении контроля команда управления может обновлять эти свойства.
  • Используйте фильтры в отчетах для выявления контролей без надлежащей сертификации.
How to Define Custom Fields for a KPI or Initiative on the Scorecard

Чтобы отключить несертифицированный контроль, но оставить его в системе показателей:

  1. Выберите контроль.
  2. Переключитесь на вкладку Производительность.
  3. Активируйте флажок Индикатор исходных данных.

Связь Контролей

Контроли не существуют в изоляции. Установите необходимые контекстуальные связи между различными контролями, целями, рисками и событиями. Как обсуждалось в Системе Реализации Стратегии, контроли реализуются в стратегии через функциональные системы показателей.
Пример Реализации

В BSC Designer:

  • Копируйте и вставляйте элементы между системами показателей.
  • Когда будет предложено, используйте опцию связи по контексту для связывания двух элементов.
Strategy Cascading or Alignment on Practical Level

Каталог контролей

Для повторяющихся контролей создайте библиотеку контролей. В случае определенного события вы можете легко развернуть контроль, скопировав его из библиотеки.
Пример внедрения

В BSC Designer:

  1. Создайте систему показателей, посвященную контролям.
  2. Используйте иерархическую структуру для организации контролей.
  3. При необходимости скопируйте контроль в активную систему показателей.
Automating Internal Controls with Functional Scorecards

2. Количественная оценка контроля

Метрики эффективности

Использование метрик для контроля делает контроль более конкретным и избегает различных интерпретаций. Определите метрики для отслеживания:

  • Соблюдение стандартов
  • Эффективность контроля
  • Прогресс планов действий
Пример внедрения

Например, в отчетности о происшествиях:

  • Метрика эффективности может быть «% персонала, обученного отчетности о происшествиях.»
  • Метрика эффективности может быть «% происшествий, не сообщенных должным образом.»

В BSC Designer:

  • Используйте кнопку Добавить, чтобы добавить метрики внутри элемента Контроль.

Общая производительность

Когда метрики эффективности определены для контроля, общая эффективность применения контроля может быть рассчитана с использованием взвешенного среднего показателя производительности отдельных метрик.
Пример реализации

В BSC Designer:

  1. Выберите метрику
  2. Переключитесь на вкладку Производительность
  3. Измените вес метрики

Производительность/прогресс контроля будет отображаться в соответствующем столбце.

Creating an Index Indicator with Weighted Metrics

Метрики эффективности

В зависимости от контекста используйте индикаторы действия. В отличие от индикаторов результата, индикаторы действия не будут напрямую способствовать общей эффективности контроля, но предложат ценные идеи для понимания эффективности контроля.

Пример внедрения

В BSC Designer:

  1. Выберите метрику
  2. Переключитесь на Контекст
  3. Измените тип метрики на Действующий
Leading vs. Lagging Indicators in BSC Designer

Оценка рисков

Контроль может включать определение риска или быть связан с рисками из реестра рисков.

Оценка риска может быть:

  • Триггером для выполнения контроля или
  • Условием для выбора определенного курса действий.
Пример внедрения

В BSC Designer:

  1. Создайте новый индикатор
  2. Измените его тип на ‘Риск’
  3. Обновите индикаторы Вероятности и Влияния риска
Steps to Add a Risk to an Objective in BSC Designer

Бинарный контроль

Возможные состояния бинарных индикаторов:

  • Не назначено — часть контроля еще не выполнена
  • Да — чтобы указать, что часть контроля выполнена успешно
  • Нет — чтобы указать, что часть контроля не выполнена успешно
Пример реализации

Пример: «План обеспечения непрерывности бизнеса обновлен с учетом вновь выявленной угрозы» может быть автоматизирован с помощью бинарного индикатора. В BSC Designer:

  1. Выберите индикатор
  2. Переключитесь на вкладку «Общие»
  3. Измените единицы измерения на «Да/Нет»
Binary Indicators: An Example of Usage for Internal Controls

Качественный контроль

Качественные индикаторы используются для контроля, когда более специфическая количественная оценка еще не разработана или разработка такой оценки экономически нецелесообразна.

Пример реализации

Пример: контроль Управление политиками и коммуникация может быть оценен с помощью качественной метрики Эффективность коммуникации комплаенс-политик с возможными состояниями:

  • Высокоэффективно (100): Сотрудники четко понимают комплаенс-политики.
  • Умеренно эффективно (60): Некоторые сотрудники понимают политики.
  • Неэффективно (10): Сотрудники в целом не знают о политиках.

В BSC Designer:

  1. Выберите индикатор
  2. Нажмите кнопку Редактировать рядом с единицами измерения, чтобы добавить пользовательские единицы измерения
Using Qualitative and Quantitative Measurement Units on Scorecards

Количественный контроль

Для того чтобы сделать контроль более специфичным, используются количественные или числовые индикаторы. Для количественных индикаторов можно определить их формулу производительности, например, как текущее состояние индикатора влияет на выходную производительность.

Пример реализации

Пример: для оценки эффективности внедрения конкретного контроля мы проводим внутренний аудит, чтобы отследить % соответствия политике. В этом случае формула производительности — линейная максимизация, с целью = 100%. Другим примером может быть метрика Среднее время обнаружения, настроенная как линейная минимизация с целью 24 часа.

В BSC Designer:

  • Переключитесь на вкладку ‘Производительность’, чтобы определить функцию производительности.
  • Переключитесь на вкладку ‘Данные’, чтобы определить текущее состояние индикатора, базис и цель.
Функции оптимизации для KPI в BSC Designer

Контроль на основе доказательств

Индикаторы доказательств будут менять свое состояние в зависимости от количества загруженных документов/доказательств.

Пример реализации

Например, контроль теста резервного копирования и восстановления может требовать загрузки результатов теста или журналов в качестве доказательства успешного выполнения контроля.

В BSC Designer:

  1. Выберите индикатор
  2. Измените его единицы измерения на Доказательства
  3. Загрузите документ в индикатор, чтобы изменить его состояние
Automate Evidence Tracking in a GRC Scorecard with Controls

3. Инициативы по контролю

Планы действий

Применение контролей включает выполнение конкретных превентивных или ответных действий, аналогичных классическому управлению проектами с назначением сроков, бюджетов и ответственных лиц.
Пример реализации

В BSC Designer:

  • Используйте инструмент Инициатива, чтобы добавить планы действий к контролям.
  • Установите связь рисков и показателей эффективности с инициативой.
  • Назначьте владельца инициативы; он будет получать уведомления при изменении статуса.
How to Add an Initiative to a Goal in Strategic Planning

Отслеживание плана действий

Отслеживание выполнения плана действий обычно является частью области контроля. Один из показателей, связанных с контролем, может быть использован для отслеживания прогресса плана действий.
Пример реализации

В BSC Designer:

  1. Добавьте новую инициативу к контролю.
  2. Откройте диалог инициативы.
  3. Выберите KPI прогресса в поле ‘Связанный KPI’.
Using KPIs to Track the Progress of an Initiative

4. Отслеживание Контроля Со Временем

Периодический контроль

Некоторые контроли требуют периодического пересмотра. Такие пересмотры включают в себя как механику контроля, так и его периодическое применение. Некоторые контроли необходимо активировать только один раз.
Пример реализации

Пример пересмотра механики контроля:

  • Пересмотр комплаенс-чеклистов — ежегодный пересмотр
  • Удержание знаний, % — ежеквартальный пересмотр

Примеры периодического применения контроля:

  • Сканирование уязвимостей — ежемесячный пересмотр/обновление

Примеры контроля, инициируемого один раз:

  • Первоначальная оценка риска — обновляется один раз

В BSC Designer:

Ensure Data Consistency with Update Intervals

Обновление состояния контроля

Для периодических контролей обновите состояние метрик, которые были определены для контроля.
Пример внедрения

В BSC Designer:

  1. Выберите метрику контроля
  2. Выберите дату во внутреннем календаре
  3. Перейдите на вкладку «Данные»
  4. Введите новое состояние в поле «Значение»
Continuous Monitoring of KPIs in BSC Designer

Наследование состояния контроля

Некоторые индикаторы, используемые для контроля, будут наследовать свое ранее известное состояние, в то время как другие будут использовать только специально введенные обновления.

Пример реализации

Например:

  • % обученных сотрудников — вероятно, будет являться присущим индикатором, так как мы можем предположить, что процент обученных сотрудников в мае останется прежним или увеличится в июне.
  • Ежемесячный доход от продаж — вероятно, будет непринадлежащим индикатором, так как мы заинтересованы в отслеживании фактических данных о продажах по месяцам.

В BSC Designer:

  1. Выберите индикатор
  2. Нажмите на кнопку Редактор значений
  3. Измените тип наследования индикатора
Two Options for Inheriting Previous State of an Indicator

5. Контроль отчетности

Контрольные элементы на панелях мониторинга

Создавайте визуальные представления контрольных элементов и их состояния. Отслеживайте изменение метрик со временем, состояние рисков и планы по работе с риском.
Пример реализации

В BSC Designer:

  1. Переключитесь на вкладку Панель мониторинга.
  2. Добавьте соответствующие диаграммы, включая диаграммы Ганта для инициатив, диаграммы рисков и диаграммы с перечнем контрольных элементов и их состояния.
Adding a Chart to a Dashboard in BSC Designer

Контролы для оценки риска

Запаздывающие метрики, которые количественно оценивают эффективность контролей, могут использоваться для количественной оценки вероятности или воздействия риска.
Пример внедрения

В BSC Designer:

  • Свяжите запаздывающую часть контроля с метриками воздействия риска или оценки риска в реестре рисков по данным.
Identify and Assess Risks by Effectiveness of Internal Controls

Контроль в отчетах

Состояние контроля, а также результаты их реализации могут быть представлены заинтересованным сторонам.
Пример реализации

В BSC Designer:

  • Используйте меню ‘Отчет’, чтобы создать различные отчеты
  • Используйте кнопку ‘Расписание’ в меню ‘Отчет’, чтобы автоматически отправлять отчеты заинтересованным сторонам
Report the Status of Goals and KPIs to the Stakeholders

Ответственность

Запись результатов выполнения контроля важна для ответственности и будущего обучения.
Пример реализации

В BSC Designer:

  • Все действия, связанные с разработкой и выполнением контролей, записываются в журнал аудита.
  • Администратор учетной записи может получить доступ к журналам аудита через Меню > Пользователи > Аудиторский след.
Accountability and Transparency with Audit Trail in Strategic Planning

Практический пример использования контроля

Давайте обсудим практический пример. Рассмотрим контроль, активируемый, когда сотрудник покидает компанию.

Структура примера:
Пример библиотеки GRC-контролей

Пример структуры библиотеки для GRC-контролей. Источник: Просмотреть Library of GRC Controls онлайн в BSC Designer Library of GRC Controls.

Библиотека Контролей

В библиотеке контролей у меня есть раздел HR, где один из контролей — «Сотрудник покинул компанию».

Этот контроль имеет три плана действий:

  • Перенаправление электронной почты.
  • Связаться с клиентами.
  • План передачи знаний.

Также у него есть два показателя:

  • Отключение входов (на основе доказательств).
  • Процент уведомленных клиентов.

Другой показатель используется для периодического пересмотра контролей:

  • Сохранение знаний (%)

Риск определен для контроля как:

  • Риск: Нарушение рабочего процесса
  • План по работе с риском: Документирование критических функций

Система показателей событий

У меня есть система показателей под названием «HR события», где фиксируются соответствующие события HR. Система показателей организована по типу события.

Применение контроля

Вот шаги, которые следует выполнить, когда сотрудник покидает компанию:

  1. Создайте новое событие в системе показателей Событий, например, «Alex покинул компанию».
  2. Скопируйте и вставьте соответствующий контроль из библиотеки контролей в систему показателей Событий.
  3. Ответственный за контроль будет автоматически уведомлен о создании новых планов действий.
  4. Загрузите доказательства (скриншоты) того, что логины были отключены.
  5. Уведомите клиентов и обновите индикатор «% уведомленных клиентов».
  6. Обновите статус планов действий на «На рассмотрении».

Training programТренинг: 'BSC Designer for Automation of GRC Controls' предлагается в рамках нашей программы непрерывного обучения и включен в подписку BSC Designer.

Тренинги проводятся еженедельно через Zoom, предоставляя практические инсайты и персонализированные рекомендации. По завершении участники получают сертификат о посещении. Изучите все доступные тренинги здесь.

Больше примеров

Вы можете найти больше примеров использования контролей в статьях о:

Что дальше?

  • Зарегистрируйтесь для бесплатного аккаунта на BSC Designer, чтобы получить доступ к шаблонам системы показателей, включая 'Библиотека GRC контролей', обсуждаемую в этой статье.
  • Следуйте нашей “Strategy системе внедрения стратегии, чтобы связать заинтересованные стороны, стратегические амбиции и бизнес-структуры в комплексную стратегию.

Подробнее о стратегическом планировании

Процесс стратегического планирования:
Программа BSC Designer поддержит вашу команду на всех этапах стратегического планирования.
Примеры Сбалансированной системы показателей:
Примеры Сбалансированной системы показателей с KPI
Карты стратегии:
8 шагов для создания карты стратегии от BSC Designer

Цитирование: Alexis Savkín, "Как настроить и контролировать внутренние контроли для обеспечения комплаенс", BSC Designer, 11 ноября, 2024, https://bscdesigner.com/ru/grc-controls.htm.

Оставьте комментарий