Definire rischi e procedure

È possibile documentare e garantire che i rischi operativi siano mitigati dalle procedure- È possibile definire prima i rischi e poi le procedure o viceversa.

Nota

È possibile definire rischi e procedure in un flusso di lavoro del piano di lavoro, che consiste in una serie di fasi o procedure che il team di assurance eseguirà e nella documentazione del risultato di ciascuna fase.

Se è necessario eseguire tipi di progetti più complessi, è possibile definire rischi e controlli in un flusso di lavoro di controllo interno.

Cosa sono i rischi e le procedure?

Un rischio è un effetto dell'incertezza su un obiettivo, con una deviazione positiva o negativa rispetto a quanto previsto.

Una procedura è un insieme di misure o azioni intraprese per gestire il rischio e aumentare la probabilità che gli obiettivi stabiliti vengano raggiunti.

I termini per "rischio" o "procedura" possono variare a seconda delle configurazioni dell'organizzazione. Ad esempio, un rischio può essere chiamato requisito e una procedura controllo.

Prima di iniziare

Prima di definire i rischi e le procedure, è necessario:

  1. Creare un progetto o un framework.
  2. Definire gli obiettivi.
Nota

A seconda del progetto o della configurazione del framework dell'organizzazione, gli obiettivi possono anche essere chiamati sezioni, processi, cicli, aree funzionali, sistemi applicativi o altri termini personalizzati.

Come funziona

Quando si associa un rischio a una procedura, si stanno specificando le misure o le linee di azione per come il rischio sarà mitigato. La combinazione dei rischi identificati e delle procedure corrispondenti è chiamata Piano del progetto.

Un rischio può essere associato a molte procedure e una procedura può essere associata a molti rischi. Per ogni procedura definita, viene creato automaticamente un test.

Definire le relazioni complesse tra procedure e test

Il Piano del progetto crea una relazione uno a uno tra ciascuna procedura e il test associato. Se si ha bisogno di definire relazioni più complesse tra procedure e test, sono disponibili due opzioni:

Relazione Descrizione Come si ottiene?
Uno-a-molti

Una relazione tra un test e molti risultati del testing.

Applicare il test a più elementi (ad esempio sistemi applicativi aziendali) e registrare i risultati del testing da tutti gli elementi nello stesso test.
Molti-a-uno

Una relazione tra un singolo risultato del testing e più test.

Eseguire e registrare il risultato del testing nel primo test e collegarlo al risultato del testing da altri test.

Nota

È possibile copiare l'URL dalla barra degli indirizzi del browser e incollarlo nel campo Risultati della procedura per gli altri test a cui si applicano i risultati.

Limitazioni

Ogni obiettivo può contenere un massimo di 1.000 rischi e 1.000 procedure.

Esempio

Definire rischi e procedure

Scenario

Ipotizziamo di essere un Dirigente che è proprietario di un intero progetto di Indagine sulla conformità all'FCPA. Una delle lacune procedurali individuate è relativa a spese aziendali inappropriate ed è di proprietà delle risorse umane. Il Consiglio di amministrazione vuole sapere chi è il proprietario del rimedio.

Processo

La tabella seguente illustra i rischi e le procedure definiti come parte del Piano del progetto dell'organizzazione. Per dare seguito alla lacuna procedurale (T&E-01), assegnare il membro del personale HR appropriato come proprietario della procedura.

Rischio Procedure associate
T&E-A: le spese aziendali inappropriate vengono nascoste attraverso l'utilizzo di personale subordinato. T&E-01: consente di ottenere un elenco dei dipendenti con carte di credito aziendali, incluso il titolo del dipendente. Scansionare l'elenco per identificare i dipendenti per i quali in genere non vengono emesse carte aziendali. Ad esempio, per il personale impiegatizio o amministrativo.
T&E-B: i dipendenti pagano funzionari stranieri e nascondono le spese nelle loro richieste di rimborso delle spese di viaggio.
  • T&E-02: consente di determinare le organizzazioni di destinazione che includono dipendenti che interagiscono con agenti governativi/o di terze parti. Inoltre, consente di determinare chi sono i venditori responsabili del conto governativo.
  • T&E-03: consente di ottenere un elenco di tutti i rapporti dei dipendenti relativi a viaggi e intrattenimento, inclusi gli importi, e l'account GL codificato che sono stati elaborati per l'indagine nonché di eseguire una ricerca di parole chiave anticorruzione di Analytics.
  • T&E-04: tutti i nomi elencati nella nota spese come partecipanti o altro devono essere inseriti in un elenco limitato utilizzando Analytics. Tutte le eccezioni dovrebbero essere studiate.
  • T&E-05: consente di eseguire tutte le note spese attraverso le soglie del tipo di spesa. Selezionare un esempio per testarne la ragionevolezza.

Risultato

  • Il membro del personale HR riceve una notifica via e-mail ed è in grado di fornire assistenza nell'aggiornamento della definizione della procedura.
  • È possibile segnalare al consiglio chi è proprietario del rimedio di T&E-01.

Autorizzazioni

I Gestori professionali e gli Utenti professionali possono definire e associare i rischi e le procedure.

Definire i rischi e le procedure

Nota

  • I termini dell'interfaccia sono personalizzabili e i campi e le schede configurabili. Nell'istanza di Diligent One, alcuni termini, campi e schede potrebbero essere diversi.
  • Se un campo richiesto è lasciato vuoto, verrà visualizzato un messaggio di avviso: Questo campo è obbligatorio. Alcuni campi personalizzati potrebbero avere valori predefiniti.
  1. Esegui una delle seguenti operazioni:
    • Per definire i rischi e le procedure in un progetto:

      1. Dalla home page di Launchpad (www.highbond.com), selezionare l'applicazione Progetti per aprirla.

        Se si è già in Diligent One, è possibile utilizzare il menu di navigazione a sinistra per passare all'applicazione Progetti.

      2. Aprire un progetto e fare clic sulla scheda Fieldwork.
    • Per definire i rischi e le procedure in un framework:
      1. Aprire Framework.
      2. Aprire un framework e fare clic sulla scheda Sezioni.
  2. Individuare l'obiettivo appropriato, fare clic su Vai a e selezionare Piano del progetto.
  3. Eseguire una delle seguenti operazioni:
    • Per definire un rischio, fare clic su Aggiungi rischio, inserire le informazioni necessarie e fare clic su Salva.
    • Per definire una procedura, fare clic su Procedura accanto all'etichetta Vista per, fare clic su Aggiungi procedura e inserire le informazioni necessarie, quindi fare clic su Salva.
  4. Per associare rischi e procedure, eseguire le operazioni seguenti:
    1. Assicurarsi di aver creato almeno un rischio e una procedura.
    2. Accanto al rischio o alla procedura, fare clic su Associa rischio o Associa procedura, definire le associazioni appropriate e fare clic su Salva.

Campi del rischio

Nota

I campi di testo RTF non possono superare i 524.288 caratteri.

Consiglio

Per abilitare il controllo ortografico sui campi di testo ricco, esegui una delle seguenti operazioni:

  • Chrome, Firefox o Safari CTRL + tasto destro all'interno del campo su Windows o Command + tasto destro su Mac
  • Internet Explorer o Microsoft Edge apri le impostazioni del browser e attivato il controllo ortografico/la sottolineature delle parole con errori ortografici
Campo Descrizione

Titolo

facoltativo

Un titolo significativo per il rischio.

La lunghezza massima è di 255 caratteri.
Descrizione

Una dichiarazione sul rischio.

ID di rischio

facoltativo

Il numero identificativo del rischio.

La lunghezza massima è di 255 caratteri.

Impatto

facoltativo

 Una valutazione delle conseguenze del verificarsi del rischio.

Probabilità

facoltativo

 Una valutazione della probabilità che il rischio si verifichi.

Fattori di punteggio del rischio personalizzati

facoltativo

Vengono specificati i fattori di punteggio del rischio personalizzati associati al rischio.

Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per i rischi in Gestire i tipi di progetto.

Consiglio

È possibile automatizzare le valutazioni del rischio per impatto, probabilità e fattori di punteggio del rischio personalizzati. Per maggiori informazioni, consultare Automatizzare le valutazioni del rischio operativo.

Attributi

facoltativo

Vengono specificati gli attributi associati al rischio.

Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per i rischi in Gestire i tipi di progetto.

Prova a supporto

facoltativo

Consente di collegare i dati dei risultati alla documentazione in Progetti per consolidare le informazioni, confermare facilmente il completamento del rimedio e informare le valutazioni.

Nota

Questa opzione è disponibile solo se l'organizzazione utilizza Risultati.

Procedure associate a questo rischio

facoltativo

Consente di associare una procedura al rischio.

Copertura di entità

facoltativo

Consente di contrassegnare il rischio per una o più entità per la creazione di rapporti.

Nota

Solo i Gestori professionali e gli Utenti professionali possono contrassegnare una procedura con un'entità facendo clic su Mostra contenuto e selezionando ciascuna entità da associare alla procedura. Le modifiche vengono salvate automaticamente.
Cronologia

Viene visualizzata una cronologia completa delle modifiche a livello di campo apportate al rischio.

Campi della procedura

Nota

I campi di testo RTF non possono superare i 524.288 caratteri.

Consiglio

Per abilitare il controllo ortografico sui campi di testo ricco, esegui una delle seguenti operazioni:

  • Chrome, Firefox o Safari CTRL + tasto destro all'interno del campo su Windows o Command + tasto destro su Mac
  • Internet Explorer o Microsoft Edge apri le impostazioni del browser e attivato il controllo ortografico/la sottolineature delle parole con errori ortografici
Campo Descrizione

Titolo

facoltativo

Un titolo significativo per la procedura.

La lunghezza massima è di 255 caratteri.
Descrizione

Una dichiarazione sulla procedura.
Numero di riferimento della procedura

Il numero identificativo della procedura.

La lunghezza massima è di 255 caratteri.

Nota

Il numero viene aggiunto alla fine del prefisso dell'obiettivo.

Proprietario

facoltativo

Consente di assegnare un utente con o privo di licenza come proprietario della procedura per scopi di monitoraggio e creazione di rapporti.

Gli utenti a cui è assegnato il ruolo di Tester collaboratore o Utente collaboratore vengono in genere assegnati come proprietari di una procedura.

I proprietari possono essere designati in base a un framework regionale, di business unit o correlato al progetto. Una volta che una persona viene assegnata come proprietario di una procedura, riceve un'e-mail di notifica con un link alla procedura, garantendogli l'accesso in scrittura alla procedura assegnata e accesso di lettura agli obiettivi e ai rischi. Le notifiche e-mail inviate da Progetti reindirizzano gli utenti Diligent One all'applicazione Valutazioni. Ogni scheda all'interno di Valutazioni ha un link che rimanda a Progetti. Gli utenti che non sono registrati su Diligent One riceveranno un URL pubblico.

Nota

Se si caricano in massa le procedure e si specifica una persona nel campo Proprietario, il suo nome verrà visualizzato in Progetti, ma non gli verrà assegnata automaticamente la procedura e non riceverà una notifica via e-mail.

Attributi personalizzati della procedura

facoltativo

Vengono specificati gli attributi associati alla procedura.

Gli Amministratori di progetto e gli Amministratori del tipo di progetto possono definire attributi personalizzati per le procedura in Gestire i tipi di progetto.

Asserzioni rilevanti

facoltativo

Consente di contrassegnare la procedura con una o più asserzioni rilevanti.

Principi COSO

facoltativo

Consente di contrassegnare la procedura con uno o più principi COSO.

Nota

L'applicazione Progetti supporta il framework COSO 2013 che comprende 17 principi COSO.

Rischi associati a questa procedura

facoltativo

Consente di associare un rischio alla procedura.

Peso di procedura

facoltativo

Viene espressa la percentuale di rischio che la procedura mitiga.

L'impostazione predefinita per il peso di procedura è 100%. È possibile inserire una percentuale del peso di procedura tra 0% e 100%. La somma dei pesi di procedura può sommarsi a qualsiasi numero.

Per maggiori informazioni, consultare Componenti di assurance.

Copertura di entità

facoltativo

Consente di contrassegnare la procedura per una o più entità per la creazione di rapporti.

Nota

Solo i Gestori professionali e gli Utenti professionali possono contrassegnare una procedura con un'entità facendo clic su Mostra contenuto e selezionando ciascuna entità da associare alla procedura. Le modifiche vengono salvate automaticamente.
Cronologia

Viene visualizzata una cronologia completa delle modifiche a livello di campo apportate alla procedura.