Risico's en controles definiëren
Documenteren en garanderen dat operationele risico's door controles worden gemitigeerd. U kunt ofwel eerst controles definiëren en daarna procedures, of andersom.
U kunt risico's en controles in een Interne controle-workflow definiëren, die wordt gebruikt voor complexere typen projecten waarbij beschrijvingen worden gedefinieerd, stapsgewijze beschrijvingen worden uitgevoerd om controle-ontwerp te verifiëren en tests worden uitgevoerd om de werkingseffectiviteit van controles te verifiëren.
Indien u een eenvoudig procedureel project moet uitvoeren, dan kunt u risico's en procedures definiëren in een Werkplan-workflow.
Wat zijn risico's en controles?
Een risico is een effect van onzekerheden op een doel, waarbij het effect een positieve of negatieve afwijking heeft van wat er verwacht werd.
Een controle is een set maatregelen of acties die worden ondernomen om risico's te beheren en om de waarschijnlijkheid dat vastgestelde doelen worden bereikt te vergroten.
De termen die voor 'risico' of 'controle' worden gebruikt kunnen variëren, afhankelijk van de configuraties binnen uw organisatie. Zo kan een risico een voorwaarde genoemd worden, en kan een controle een procedure genoemd worden.
Voordat u begint
Alvorens u risico's en controles kunt definiëren, dient u het volgende te doen:
- Een project of een raamwerk aanmaken.
- Doelen definiëren.
Op basis van de project- of raamwerkconfiguratie van uw organisatie worden doelen mogelijk ook wel secties, processen, cycli, functionele gebieden, toepassingssystemen of een andere aangepaste term genoemd.
Hoe het werkt
Wanneer u een risico koppelt aan een controle, specificeert u de maatregelen of actieplannen voor het mitigeren van het risico. De combinatie van geïdentificeerde risico's en bijbehorende controles wordt een Risicocontrolematrix genoemd.
Een risico kan worden gekoppeld aan veel controles en een controle kan worden gekoppeld aan veel risico's.
Elke controle die u definieert, heeft een bijbehorende stapsgewijze beschrijving die gebruikt wordt om te controleren of de controle goed ontworpen is. Wanneer u een project aanmaakt of doorstuurt, dan kunt u ervoor kiezen om een, twee of vier testronden uit te voeren om te verifiëren dat de controle effectief functioneert.
Het definiëren van complexe relaties tussen controles en tests
De Risicocontrolematrix creëert een een-op-een-relatie tussen iedere controle en de daaraan gekoppelde test. Indien u complexere relaties tussen controles en tests dient te definiëren, dan heeft u twee opties:
| Relatie | Beschrijving | Hoe bereik ik dit? |
|---|---|---|
| One-to-many |
Een relatie tussen een test en vele testresultaten |
Pas de test toe op meerdere items (bijv. applicatiesystemen van bedrijven) en leg de testresultaten van alle items binnen dezelfde test vast. |
| Many-to-one |
Een relatie tussen een enkel testresultaat en vele tests |
Voer het testresultaat in de eerste test uit, leg het vast en link dat aan het testresultaat van andere tests. Opmerking
U kunt de URL vanuit de adresbalk van de browser kopiëren en deze in het veld Testresultaten plakken voor de overige tests waarop de resultaten betrekking hebben. |
Beperkingen
Elk doel kan maximaal 1000 risico's en 1000 controles bevatten.
Voorbeeld
Risico's en controles definiëren
Scenario
U bent een CFO en eigenaar van een volledig IT General Controls Review (IA-Context)-project. Een van de vastgestelde controle-omissies is gerelateerd aan de netwerkbeveiliging en is eigendom van IT. Het Bestuur wil weten wie eigenaar is van de correctie.
Proces
In de tabel hieronder worden de risico's en controles beschreven die u als onderdeel van de Risicocontrolematrix van uw organisatie heeft gedefinieerd. U wijst het juiste personeelslid van IT aan als de eigenaar van de controle om deze controle-omissie (NS-002) op te volgen.
| Risico | Gekoppelde controle(s) |
|---|---|
| NS-A: Er is geen actieve technologie voor de detectie en bescherming van het netwerk tegen ongeautoriseerde tools voor kwetsbaarheidsbeoordeling. |
|
| NS-B: Er worden ongepaste of riskante veranderingen doorgevoerd in de configuratie van beveiligingsapparaten van het netwerk. |
|
| NS-C: Er bestaan ongedetecteerde kwetsbaarheden in de beveiliging van het netwerk of systemen, doordat er geen auditproces gedefinieerd is. |
|
| NS-D: Systemen en netwerkapparatuur maken gebruik van verouderde en mogelijk kwetsbare systeemsoftware. |
|
| NS-E: Gegevens die van en naar het netwerk worden verstuurd, worden onderschept door personen die daar geen toestemming voor hebben. |
|
Resultaat
- De IT-medewerker ontvangt per e-mail een melding en is in staat om ondersteuning te bieden bij het bijwerken van de controledefinitie.
- U bent in staat aan het bestuur te rapporteren wie de eigenaar is van de correctie van NS-002.
Machtigingen
Professioneel beheerders en Professionele gebruikers kunnen risico's en controles definiëren en koppelen.
Risico's en controles definiëren
Opmerking
- Interfacetermen zijn aanpasbaar, en velden en tabbladen zijn configureerbaar. In uw exemplaar van Diligent One zijn sommige termen, velden en tabbladen mogelijk anders.
- Als een verplicht veld leeg wordt gelaten, verschijnt er een waarschuwingsbericht: dit veld is verplicht. Sommige aangepaste velden kunnen standaardwaarden hebben.
- Voer een van de volgende handelingen uit:
- Risico's en procedures in een project definiëren:
Selecteer vanaf de startpagina van Launchpad (www.highbond.com) de Projecten-app om deze te openen.
Als u zich reeds in Diligent One bevindt, kunt u het navigatiemenu aan de linkerkant gebruiken om naar de Projecten-app te switchen.
- Open een project en klik op het tabblad Veldwerk.
- Risico's en procedures in een raamwerk definiëren:
- Open Raamwerken.
- Open een framework en klik op het tabblad Secties.
- Risico's en procedures in een project definiëren:
- Zoek het juiste doel, klik op Ga naar en selecteer Risicocontrolematrix.
- Voer een van de volgende handelingen uit:
- Om een risico te definiëren: klik op Risico toevoegen, voer de benodigde informatie in en klik op Opslaan.
- Om een controle te definiëren: klik op Controle naast het label Bekijken op, klik op Controle toevoegen, voer de benodigde informatie in en klik op Opslaan.
- Om risico's en controles te koppelen, doet u het volgende:
- Zorg ervoor dat u tenminste één risico en één controle aangemaakt heeft.
- Klik naast het risico of de controle op Risico koppelen of Controle koppelen, definieer de juiste koppeling en klik op Opslaan.
Risicovelden
Rich text-velden mogen maximaal 524.288 tekens bevatten.
Tip
Voer een van de volgende handelingen uit om spellingscontrole op rich text-velden in te schakelen:
- Chrome, Firefox of Safari CTRL + rechtermuisklik binnen het veld op Windows of Command + rechtermuisklik op Mac
- Internet Explorer of Microsoft Edge open uw browserinstellingen en schakel spellingscontrole/markeren van onjuist gespelde woorden in
| Veld | Beschrijving |
|---|---|
|
Titel optioneel |
een zinvolle titel voor het risico De maximale lengte bedraagt 255 karakters. |
| Beschrijving |
een stelling over het risico |
|
Risico-ID optioneel |
het identificatienummer voor het risico De maximale lengte bedraagt 255 karakters. |
|
Impact optioneel |
een beoordeling van de gevolgen van het risico, als zich dat voordoet |
|
Waarschijnlijkheid optioneel |
een beoordeling van de waarschijnlijkheid dat het risico zich voor zal doen |
|
Aangepaste Risicoscorefactoren optioneel |
geeft de aangepaste risicoscorefactoren weer die aan het risico gekoppeld zijn. Projectbeheerders en Projecttypebeheerders kunnen aangepaste attributen definiëren voor risico's onder Projecttypen beheren. Tip
U kunt de risicobeoordelingen automatiseren voor wat betreft Impact, Waarschijnlijkheid, en Aangepaste Risicoscorefactoren. Voor meer informatie raadpleegt u Operationele risicobeoordelingen automatiseren. |
|
Aangepaste risico-attributen optioneel |
geeft attributen aan die zijn gekoppeld met het risico. Projectbeheerders en Projecttypebeheerders kunnen aangepaste attributen definiëren voor risico's onder Projecttypen beheren. |
|
Ondersteunend bewijs optioneel |
hiermee kunt u Gegevens van resultaten linken aan uw documentatie in Projecten om informatie te consolideren, eenvoudig goed te keuren wanneer de correctie is voltooid en beoordelingen informeren Opmerking
Deze optie is alleen beschikbaar indien uw organisatie gebruik maakt van Resultaten. |
|
Controle gekoppeld aan dit Risico optioneel |
hiermee kunt u een controle aan het risico koppelen |
|
Entiteitsdekking optioneel |
hiermee kunt u het risico koppelen aan één of meer entiteiten voor rapportagedoeleinden Opmerking
Uitsluitend Professioneel beheerders en Professionele gebruikers kunnen een controle aan een entiteit taggen door op Content tonen te klikken en iedere entiteit te selecteren die aan de controle verbonden moet worden. Wijzigingen worden automatisch opgeslagen. |
| Geschiedenis |
De volledige geschiedenis van wijzigingen op veld-niveau bekijken die in het risico zijn gedaan |
Controlevelden
Rich text-velden mogen maximaal 524.288 tekens bevatten.
Tip
Voer een van de volgende handelingen uit om spellingscontrole op rich text-velden in te schakelen:
- Chrome, Firefox of Safari CTRL + rechtermuisklik binnen het veld op Windows of Command + rechtermuisklik op Mac
- Internet Explorer of Microsoft Edge open uw browserinstellingen en schakel spellingscontrole/markeren van onjuist gespelde woorden in
| Veld | Beschrijving |
|---|---|
|
Titel optioneel |
een zinvolle titel voor de controle De maximale lengte bedraagt 255 karakters. |
| Beschrijving |
een stelling over de controle |
| Controle-ID |
het identificatienummer voor de controle De maximale lengte bedraagt 255 karakters. Opmerking
Het nummer wordt aan het einde van het voorvoegsel van het doel toegevoegd. |
|
Eigenaar optioneel |
hiermee kunt u een gebruiker met of zonder licentie toewijzen als de eigenaar van de controle voor volg- en rapportdoeleinden Gebruikers die de rol van Bijdragertester of Bijdragergebruiker toegewezen hebben gekregen, worden doorgaans als eigenaar van een controle aangewezen. Eigenaren kunnen worden toegewezen op basis van een regionaal, bedrijfseenheids- of projectgerelateerd raamwerk. Zodra een persoon is toegewezen als een controle-eigenaar, ontvangt deze een e-mailmelding met een koppeling naar de controle waarmee ze schrijftoegang krijgen tot de toegewezen controle, en leestoegang tot doelen en risico's. Opmerking
Indien u controles in bulk uploadt en een persoon in het Eigenaar-veld opgeeft, wordt diens naam weergegeven in Projecten, maar hij/zij wordt niet automatisch aan de controle toegewezen en per e-mail op de hoogte gesteld. |
| Frequentie |
hiermee wordt de standaardtestmethode en steekproefomvang in het tabblad Testplanvastgesteld Het testplan voor een project kan bijvoorbeeld worden ingesteld met een opgegeven frequentie (doorlopend, wekelijks, maandelijks etc.) of wanneer dat nodig is. Voor meer informatie raadpleegt u Procedures uitvoeren en controles testen. |
| Type |
hiermee wordt de standaardtestmethode en steekproefomvang in het tabblad Testplanvastgesteld Het testplan bevat bijvoorbeeld mogelijk Handmatige controles, Toepassings-/systeemcontroles, IT algemene controles of van IT-afhankelijke handmatige controles. Voor meer informatie raadpleegt u Procedures uitvoeren en controles testen. |
| Voorkomen of detecteren? | geeft aan of de controle risico moet voorkomen of detecteren, of dat dit niet van toepassing is |
|
Methode optioneel |
geeft aan hoe de controle wordt getest of geïmplementeerd |
|
Status optioneel |
geeft de actuele staat van de controle weer |
|
Aangepast attribuut voor controle optioneel |
geeft attributen aan die zijn gekoppeld met de controle Projectbeheerders en Projecttypebeheerders kunnen aangepaste attributen definiëren voor controles onder Projecttypen beheren. |
|
Relevante beweringen optioneel |
hiermee kunt u de controle taggen aan één of meer Relevante beoordelingen |
|
COSO-principes optioneel |
hiermee kunt u de controle taggen met één of meer COSO-principes Opmerking
De Projecten-app ondersteunt het COSO-Raamwerk 2013, waarin de 17 COSO-principes zijn opgenomen. |
|
Risico gekoppeld aan deze Controle optioneel |
hiermee kunt u een risico aan de controle koppelen |
|
Controlegewicht optioneel |
hiermee wordt het percentage van de controle uitgedrukt dat de procedure mitigeert De standaardinstelling van het controlegewicht is 100%. U kunt een controlegewicht van tussen de 0% en 100% invoeren. De som van de controlegewichten kan ieder getal zijn. Voor meer informatie raadpleegt u Garantieonderdelen. |
|
Entiteitsdekking optioneel |
hiermee kunt u de controle koppelen aan één of meer entiteiten voor rapportagedoeleinden Opmerking
Uitsluitend Professioneel beheerders en Professionele gebruikers kunnen een controle aan een entiteit taggen door op Content tonen te klikken en iedere entiteit te selecteren die aan de controle verbonden moet worden. Wijzigingen worden automatisch opgeslagen. |
| Geschiedenis |
De volledige geschiedenis van wijzigingen op veld-niveau bekijken die in de controle zijn gedaan |
Meerdere risico's en controles toevoegen
Voor informatie over het toevoegen van meerdere risico's en controles tegelijk, zie respectievelijk Risico's in bulk importeren en Controles in bulk importeren.
