Definire rischi e controlli
È possibile documentare e garantire che i rischi operativi siano mitigati dai controlli. È possibile definire prima i rischi e poi i controlli o viceversa.
È possibile definire rischi e controlli in un flusso di lavoro di controllo interno, che è utilizzato per i tipi di progetti più complessi in cui vengono definite le narrazioni, vengono eseguite guide dettagliate per verificare la progettazione del controllo e test per verificare l'efficacia operativa dei controlli.
Se è necessario eseguire un progetto procedurale semplice, è possibile definire rischi e procedure in un flusso di lavoro del piano di lavoro.
Cosa sono i rischi e i controlli?
Un rischio è un effetto dell'incertezza su un obiettivo, con una deviazione positiva o negativa rispetto a quanto previsto.
Un controllo è un insieme di misure o azioni intraprese per gestire il rischio e aumentare la probabilità che gli obiettivi stabiliti vengano raggiunti.
I termini per "rischio" o "controllo" possono variare a seconda delle configurazioni dell'organizzazione. Ad esempio, un rischio può essere chiamato requisito e un controllo procedura.
Prima di iniziare
Prima di poter definire rischi e controlli, è necessario eseguire quanto segue:
A seconda del progetto o della configurazione del framework dell'organizzazione, gli obiettivi possono anche essere chiamati sezioni, processi, cicli, aree funzionali, sistemi applicativi o altri termini personalizzati.
Come funziona
Quando si associa un rischio a un controllo, si stanno specificando le misure o le linee di azione per come il rischio sarà mitigato. La combinazione di rischi identificati e dei controlli corrispondenti è chiamata Matrice di controllo del rischio.
Un rischio può essere associato a molti controlli e un controllo può essere associato a molti rischi.
A ogni controllo definito è associata una guida dettagliata utilizzata per verificare che il controllo sia progettato in modo appropriato. Quando si crea o si esegue il rollforward di un progetto, è possibile scegliere di effettuare uno, due o quattro cicli di testing per verificare che il controllo funzioni in modo efficace.
Definire le relazioni complesse tra controlli e test
La matrice di controllo del rischio crea una relazione uno a uno tra ciascun controllo e il test associato. Se si ha bisogno di definire relazioni più complesse tra controlli e test, sono disponibili due opzioni:
| Relazione | Descrizione | Come si ottiene? |
|---|---|---|
| Uno-a-molti |
Una relazione tra un test e molti risultati del testing. |
Applicare il test a più elementi (ad esempio sistemi applicativi aziendali) e registrare i risultati del testing da tutti gli elementi nello stesso test. |
| Molti-a-uno |
Una relazione tra un singolo risultato del testing e più test. |
Eseguire e registrare il risultato del testing nel primo test e collegarlo al risultato del testing da altri test. Nota
È possibile copiare l'URL dalla barra degli indirizzi del browser e incollarlo nel campo Risultati del testing per gli altri test a cui si applicano i risultati. |
Limitazioni
Ogni obiettivo può contenere un massimo di 1.000 rischi e controlli.
Esempio
Definire rischi e controlli
Scenario
Ipotizziamo di essere un direttore finanziario proprietario di un intero progetto di revisione dei controlli generali IT. Una delle lacune di controllo identificate è relativa alla sicurezza della rete ed è di proprietà dell'IT. Il Consiglio di amministrazione vuole sapere chi è il proprietario del rimedio.
Processo
La tabella seguente illustra i rischi e i controlli definiti come parte della matrice di controllo del rischio dell'organizzazione. Per dare seguito alla lacuna di controllo (NS-002), assegnare il membro del personale IT appropriato come proprietario del controllo.
| Rischio | Controlli associati |
|---|---|
| NS-A: non è disponibile alcuna tecnologia per rilevare e proteggere la rete da strumenti di valutazione della vulnerabilità non autorizzati. |
|
| NS-B: vengono apportate modifiche inappropriate o rischiose alla configurazione dei dispositivi di sicurezza della rete. |
|
| NS-C: le vulnerabilità della sicurezza della rete o del sistema non vengono rilevate perché non è in atto alcun processo di audit. |
|
| NS-D: i sistemi e i dispositivi di rete utilizzano il software di sistema obsoleto e potenzialmente vulnerabile. |
|
| NS-E: i dati trasmessi da e verso la rete vengono intercettati da individui non autorizzati. |
|
Risultato
- Il membro del personale IT riceve una notifica via e-mail ed è in grado di fornire assistenza nell'aggiornamento della definizione dei controlli.
- È possibile segnalare al consiglio chi è proprietario del rimedio di NS-002.
Autorizzazioni
I Gestori professionali e gli Utenti professionali possono definire e associare i rischi e i controlli.
Definire rischi e controlli
Nota
- I termini dell'interfaccia sono personalizzabili e i campi e le schede configurabili. Nell'istanza di Diligent One, alcuni termini, campi e schede potrebbero essere diversi.
- Se un campo richiesto è lasciato vuoto, verrà visualizzato un messaggio di avviso: Questo campo è obbligatorio. Alcuni campi personalizzati potrebbero avere valori predefiniti.
- Esegui una delle seguenti operazioni:
- Per definire i rischi e le procedure in un progetto:
Dalla home page di Launchpad (www.highbond.com), selezionare l'applicazione Progetti per aprirla.
Se si è già in Diligent One, è possibile utilizzare il menu di navigazione a sinistra per passare all'applicazione Progetti.
- Aprire un progetto e fare clic sulla scheda Fieldwork.
- Per definire i rischi e le procedure in un framework:
- Aprire Framework.
- Aprire un framework e fare clic sulla scheda Sezioni.
- Per definire i rischi e le procedure in un progetto:
- Individuare l'obiettivo appropriato, fare clic su Vai a e selezionare Matrice di controllo del rischio.
- Eseguire una delle seguenti operazioni:
- Per definire un rischio, fare clic su Aggiungi rischio, inserire le informazioni necessarie e fare clic su Salva.
- Per definire un controllo, fare clic su Controllo accanto all'etichetta Vista per, fare clic su Aggiungi controllo e inserire le informazioni necessarie, quindi fare clic su Salva.
- Per associare rischi e controlli, eseguire le operazioni seguenti:
- Assicurarsi di aver creato almeno un rischio e un controllo.
- Accanto al rischio o al controllo, fare clic su Associa rischio o Associa controllo, definire le associazioni appropriate e fare clic su Salva.
Campi del rischio
I campi di testo RTF non possono superare i 524.288 caratteri.
Consiglio
Per abilitare il controllo ortografico sui campi di testo ricco, esegui una delle seguenti operazioni:
- Chrome, Firefox o Safari CTRL + tasto destro all'interno del campo su Windows o Command + tasto destro su Mac
- Internet Explorer o Microsoft Edge apri le impostazioni del browser e attivato il controllo ortografico/la sottolineature delle parole con errori ortografici
| Campo | Descrizione |
|---|---|
|
Titolo facoltativo |
Un titolo significativo per il rischio. La lunghezza massima è di 255 caratteri. |
| Descrizione |
Una dichiarazione sul rischio. |
|
ID di rischio facoltativo |
Il numero identificativo del rischio. La lunghezza massima è di 255 caratteri. |
|
Impatto facoltativo |
Una valutazione delle conseguenze del verificarsi del rischio. |
|
Probabilità facoltativo |
Una valutazione della probabilità che il rischio si verifichi. |
|
Fattori di punteggio del rischio personalizzati facoltativo |
Vengono specificati i fattori di punteggio del rischio personalizzati associati al rischio. Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per i rischi in Gestire i tipi di progetto. Consiglio
È possibile automatizzare le valutazioni del rischio per impatto, probabilità e fattori di punteggio del rischio personalizzati. Per maggiori informazioni, consultare Automatizzare le valutazioni del rischio operativo. |
|
Attributi di rischio personalizzati facoltativo |
Vengono specificati gli attributi associati al rischio. Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per i rischi in Gestire i tipi di progetto. |
|
Prova a supporto facoltativo |
Consente di collegare i dati dei risultati alla documentazione in Progetti per consolidare le informazioni, confermare facilmente il completamento del rimedio e informare le valutazioni. Nota
Questa opzione è disponibile solo se l'organizzazione utilizza Risultati. |
|
Controllo associato a questo rischio facoltativo |
Consente di associare un controllo al rischio. |
|
Copertura di entità facoltativo |
Consente di contrassegnare il rischio per una o più entità per la creazione di rapporti. Nota
Solo i Gestori professionali e gli Utenti professionali possono contrassegnare un controllo con un'entità facendo clic su Mostra contenuto e selezionando ciascuna entità da associare al controllo. Le modifiche vengono salvate automaticamente. |
| Cronologia |
Viene visualizzata una cronologia completa delle modifiche a livello di campo apportate al rischio. |
Campi del controllo
I campi di testo RTF non possono superare i 524.288 caratteri.
Consiglio
Per abilitare il controllo ortografico sui campi di testo ricco, esegui una delle seguenti operazioni:
- Chrome, Firefox o Safari CTRL + tasto destro all'interno del campo su Windows o Command + tasto destro su Mac
- Internet Explorer o Microsoft Edge apri le impostazioni del browser e attivato il controllo ortografico/la sottolineature delle parole con errori ortografici
| Campo | Descrizione |
|---|---|
|
Titolo facoltativo |
Un titolo significativo per il controllo. La lunghezza massima è di 255 caratteri. |
| Descrizione |
Una dichiarazione sul controllo. |
| ID di controllo |
Il numero identificativo del controllo. La lunghezza massima è di 255 caratteri. Nota
Il numero viene aggiunto alla fine del prefisso dell'obiettivo. |
|
Proprietario facoltativo |
Consente di assegnare un utente con o privo di licenza come proprietario del controllo per scopi di monitoraggio e creazione di rapporti. Gli utenti a cui è assegnato il ruolo di Tester collaboratore o Utente collaboratore vengono in genere assegnati come proprietari di un controllo. I proprietari possono essere designati in base a un framework regionale, di business unit o correlato al progetto. Una volta che una persona viene assegnata come proprietario di un controllo, riceve un'e-mail di notifica con un collegamento al controllo, garantendogli l'accesso al controllo assegnato e accesso di lettura agli obiettivi e ai rischi. Nota
Se si caricano in massa i controlli e si specifica una persona nel campo Proprietario, il suo nome verrà visualizzato in Progetti, ma non gli verrà assegnato automaticamente il controllo e non riceverà una notifica via e-mail. |
| Frequenza |
Viene determinato il metodo di testing predefinito e la dimensione del campione nella scheda Piano di test. Per esempio, il piano di test per un progetto può essere configurato con una frequenza specifica (continuo, settimanale, mensile, ecc.) o in base alle necessità. Per maggiori informazioni, consultare Eseguire procedure e testare i controlli. |
| Tipo |
Viene determinato il metodo di testing predefinito e la dimensione del campione nella scheda Piano di test. Per esempio, il piano di test potrebbe includere i Controlli manuali, i Controlli di applicazione/sistema, i Controlli generali di IT o i Controlli manuali dipendenti. Per maggiori informazioni, consultare Eseguire procedure e testare i controlli. |
| Impedire o rilevare? | Viene specificato se il controllo è inteso a prevenire o rilevare il rischio o se non è applicabile. |
|
Metodo facoltativo |
Viene specificato il modo in cui il controllo verrà testato o implementato. |
|
Stato facoltativo |
Viene specificato lo stato attuale del controllo. |
|
Attributo personalizzato del controllo facoltativo |
Vengono specificati gli attributi associati al controllo. Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per i controlli in Gestire i tipi di progetto. |
|
Asserzioni rilevanti facoltativo |
Consente di contrassegnare il controllo con una o più asserzioni rilevanti. |
|
Principi COSO facoltativo |
Consente di contrassegnare il controllo con uno o più principi COSO. Nota
L'applicazione Progetti supporta il framework COSO 2013 che comprende 17 principi COSO. |
|
Rischi associati a questo controllo facoltativo |
Consente di associare un rischio al controllo. |
|
Peso del controllo facoltativo |
Viene espressa la percentuale di rischio che il controllo mitiga. L'impostazione predefinita per il peso di controllo è 100%. È possibile inserire una percentuale del peso di controllo tra 0% e 100%. La somma dei pesi di controllo può sommarsi a qualsiasi numero. Per maggiori informazioni, consultare Componenti di assurance. |
|
Copertura di entità facoltativo |
Consente di contrassegnare il controllo per una o più entità per la creazione di rapporti. Nota
Solo i Gestori professionali e gli Utenti professionali possono contrassegnare un controllo con un'entità facendo clic su Mostra contenuto e selezionando ciascuna entità da associare al controllo. Le modifiche vengono salvate automaticamente. |
| Cronologia |
Viene visualizzata una cronologia completa delle modifiche a livello di campo apportate al controllo. |
Aggiungere più rischi e controlli
Per informazioni sull'aggiunta di più rischi e controlli contemporaneamente, consultare Importare in massa i rischi e Importare in massa i controlli rispettivamente.
