设置内部控制框架的最佳实践及其通过专业软件的实际应用。
术语“控制”最初在GRC(治理、风险、合规)领域中用于描述管理风险和确保合规性的机制,现在被更广泛地应用于战略规划。
内部控制简介
本质上,“控制”是一种用于管理风险和确保合规性的应对或预防机制。
控制示例:“员工离职”
- 行动计划:重定向电子邮件
- 行动计划:通知客户
- 有效性指标:登录已禁用 [基于证据]
- 有效性指标:已通知客户的百分比
- 风险:工作流程中断
控制的组成部分
从自动化的角度来看,控制可能是:
- 像行动计划那样简单,具有对齐的进度指标,或者
- 像一组层级控制和子控制那样复杂,每个都有自己的一套指标、风险评估、缓解计划、上下文依赖关系和负责人。
控制有特定的应用领域,定义何时应激活某些控制。
让我们探讨在战略规划中实施控制可以使用的工具。
1. 控制的定义
在初始阶段,我们的目标是将管理团队的过去经验恰当地映射到控制或正式的响应机制中。
常规属性
识别控制措施的基础包括赋予其有意义的名称,并在描述中说明其目的。请定义:
- 触发控制的状况,
- 控制的适用范围。
支持性文件
在BSC Designer中:
- 通过描述对话框向控制措施添加文件。
- 通过行动方案对话框向该控制措施的行动计划添加文件。
自定义属性
所有权
例如,软件可维护性控制可能会自动更新,但如果更新失败,则需要IT专家来解决冲突。在BSC Designer中:
- 将负责此控制的人添加为用户; 将此人分配到一个团队。
- 通过所有者字段将此人或团队指定为控制的所有者。
所有者将收到与控制相关的通知。
认证 / 批准
在 BSC Designer 中:
- 使用自定义字段来定义控制的属性,如“认证状态”和“认证者”。
- 在证明控制时,管理团队可以更新这些属性。
- 在报告中使用过滤器识别没有适当认证的控制。
禁用未经认证的控制但将其保留在记分卡中:
- 选择一个控制。
- 切换到绩效选项卡。
- 激活原始数据指标复选框。
控制的对齐
在BSC Designer中:
- 在记分卡之间复制和粘贴项目。
- 在提示时,使用背景连接选项来链接两个项目。
控制目录
在BSC Designer中:
- 创建一个专用于控制的记分卡。
- 使用层次结构来组织控制。
- 在需要时,将控制复制到活动记分卡。
2. 控制量化
有效性指标
使用指标来控制,使控制更加具体,避免不同的解释。定义指标以跟踪:
- 对标准的遵循
- 控制的有效性
- 行动计划的进展
例如,在事件报告中:
- 效率指标可能是“接受事件报告培训的人员百分比”。
- 有效性指标可能是“未正确传达的事件百分比”。
在 BSC Designer 中:
- 使用添加按钮在控制项中添加指标。
整体表现
在 BSC Designer 中:
- 选择一个指标
- 切换到“表现”标签
- 更改指标的权重
控制的表现/进度将显示在相应的列中。
效率指标
根据具体情境,使用领先指标。与滞后指标不同,领先指标不会直接影响控制的整体绩效,但能为理解控制的效率提供有价值的见解。
在BSC Designer中:
- 选择一个指标
- 切换到含义
- 将该指标的类型更改为领先
风险评估
在BSC Designer中:
- 创建一个新指标
- 更改其类型为“风险”
- 更新风险发生概率和影响指标
二进制控制
二进制指标的可能状态:
- 未分配 – 控制部分尚未执行
- 是 – 表示控制部分已成功执行
- 否 – 表示控制部分未成功执行
示例:“商业连续性计划更新,考虑到新识别的威胁”可以通过二进制指标自动化。在BSC Designer中:
- 选择一个指标
- 切换到“常规”选项卡
- 将其测量单位更改为“是/否”
定性控制
在尚未开发出更具体的定量估计或开发成本效益不高时,使用定性指标进行控制。
示例:可以使用定性指标沟通合规政策的有效性来评估控制政策管理和沟通,可能的状态有:
- 高度有效 (100):员工清楚地了解合规政策。
- 中等有效 (60):部分员工了解政策。
- 无效 (10):员工普遍不了解政策。
在 BSC Designer 中:
- 选择一个指标
- 点击测量单位旁的编辑按钮来添加自定义测量单位
定量控制
为了使控制更加具体,使用定量或数值指标。对于定量指标,我们可以定义其绩效公式,例如,一个指标的当前状态如何影响输出绩效。
示例:为了评估某项具体控制实施的有效性,我们进行内部审计以跟踪政策合规率%。在这种情况下,绩效公式是线性最大化,目标为100%。另一个例子是平均检测时间指标,配置为线性最小化,目标为24小时。
在BSC Designer中:
- 切换到“绩效”选项卡以定义绩效函数。
- 切换到“数据”选项卡以定义指标的当前状态、基线和目标。
证据驱动的控制
证据指标将根据已上传文件/证据的数量改变其状态。
例如,备份和恢复测试控制可能需要上传测试结果或日志,作为控制成功执行的证明。
在BSC Designer中:
- 选择一个指标
- 将其计量单位更改为证据
- 上传文档到该指标以更改其状态
3. 控制措施的举措
行动计划
跟踪行动计划
在 BSC Designer 中:
- 向控制添加一个新举措。
- 打开举措对话框。
- 在“对齐的 KPI”字段中选择进度关键绩效指标。
4. 跟踪控制随时间变化
定期控制
控制机制修订示例:
- 合规性检查清单修订 – 每年修订
- 知识保留率,% – 每季度修订
控制的定期应用示例:
- 漏洞扫描 – 每月修订/更新
一次性控制示例:
- 初始风险评估 – 仅需更新一次
在BSC Designer中:
- 使用指标的更新间隔设置,安排定期修订。
更新控制状态
在 BSC Designer 中:
- 选择控制的指标
- 在内部日历中选择日期
- 切换到“数据”标签页
- 在“值”字段中输入新的状态
控制状态的继承
一些用于控制的指标将继承其先前已知的状态,而其他的则只使用特定输入的更新。
例如:
- 接受培训的员工百分比 – 可能是一个内在指标,因为我们可以假设5月份接受培训的员工百分比在6月份会保持不变或增加。
- 月销售收入 – 可能是一个非内在指标,因为我们希望跟踪每月的实际销售数据。
在BSC Designer中:
- 选择一个指标
- 点击值编辑器按钮
- 更改指标的继承类型
5. 报告控制
仪表板上的控制
在 BSC Designer 中:
- 切换到仪表板选项卡。
- 添加相关图表,包括用于举措的甘特图、风险图以及列出控制及其状态的图表。
风险评估的控制措施
在BSC Designer中:
- 通过数据将控制措施的滞后部分与风险登记表中的风险影响或风险评估指标相连接。
报告中的控制
在 BSC Designer 中:
- 使用“报告”菜单生成各种报告
- 使用“报告”菜单中的“计划”按钮自动将报告发送给利益相关者
责任制
在BSC Designer中:
- 所有与控制的设计和执行相关的活动都记录在审计日志中。
- 账户管理员可以通过菜单>用户>审计追踪访问审计日志。
使用控制的实际示例
让我们讨论一个实际的例子。考虑在员工离开公司时激活的控制。
示例结构:
GRC 控制库。 控制库
在控制库中,我有一个人力资源部分,其中一个控制项是“员工离职”。
此控制项有三个行动计划:
- 重定向电子邮件。
- 联系客户。
- 知识转移计划。
它还有两个指标:
- 登录禁用(基于证据)。
- 通知客户的百分比。
另一个指标用于定期修订控制项:
- 知识保留率 (%)
为此控制项定义了一个风险:
- 风险:工作流程中断
- 缓解计划:记录关键功能
事件记分卡
我有一个名为“HR事件”的记分卡,其中记录了相关的人力资源事件。该记分卡按事件类型组织。
应用控制
以下是在员工离开公司时需要遵循的步骤:
- 在事件平衡记分卡中创建一个新事件,例如,“Alex离开公司。”
- 从控制库中复制并粘贴适当的控制到事件平衡记分卡。
- 负责该控制的人将自动收到有关新行动计划创建的通知。
- 上传登录已禁用的证据(截图)。
- 通知客户并更新“已通知客户的百分比”指标。
- 将行动计划的状态更新为“审核中”。
课程:'BSC Designer for Automation of GRC Controls' 是 BSC Designer 持续学习计划的一部分,提供在线和现场工作坊。了解更多...。
更多示例
您可以在以下文章中找到更多使用控件的示例:
使用 GRC 控件库 模板
BSC Designer 帮助组织实施其复杂的策略:
立即开始,看看 BSC Designer 如何简化您的战略实施!
