Matrice cartographie la plus simple et la meilleure façon de mapper des contrôles internes
Si vous aimez l'idée de la cartographie de la matrice - et beaucoup de gens ne - la meilleure façon de le maîtriser est bien me engager, l'auteur, pour certaines séances de tutorat techniques individuelles ou teletutoring.
Ce n'est pas une technique difficile, mais je l'ai remarqué que la plupart des gens pourraient encore bénéficier de l'aide à obtenir juste.
Arrêtez et vérifiez!
Le format le plus courant pour la documentation des contrôles internes (format pour dire « matrices de contrôle ») prend beaucoup trop de temps pour écrire et produit d'énormes documents d'utilisation peu pratique. Il est tellement inefficace que les gens sculptent les coins, ce qui donne une vision déformée des contrôles et des risques. Je devrais le savoir; J'ai fait le mauvais choix moi-même une fois. Plus jamais!
Si votre entreprise a documenté ses contrôles internes en utilisant une sorte de matrices ou doit le faire dans l'avenir, il vaut bien obtenir le format en place. Ceci est l'un de ces détails qui fait une énorme différence. Si vous avez déjà des matrices les vérifier et, si elles sont le mauvais style, plan pour les reformater le plus tôt possible. Si vous avez encore à les démarrer ou viennent de lancer un projet pour écrire des matrices de contrôle, arrêtez-vous, vérifiez et redémarrez votre projet en utilisant le bon style de la matrice. Si vous ne le faites pas vous le regretterez plus tard.
formats bien et le mal
Le format plupart des gens pensent d'abord lorsqu'on leur demande de carte de contrôle interne des risques est une évidence: une liste des risques, des contrôles écrits contre chaque risque pour montrer le risque est couvert. La mise en page est une variante de celui ci-dessous, avec d'autres colonnes ajoutées pour des informations supplémentaires et des références croisées:
Dans cet exemple, le risque A est couvert par le contrôle 3 uniquement. Risque B est couvert par le contrôle 1 uniquement. Risque C est couvert par des contrôles 1, 2 et 4. Et ainsi de suite.
À première vue, cela semble peu prometteur. Certes, il y aura beaucoup d'espace perdu? Ne les en-têtes de colonne difficile à lire? Et s'il y a trop de risques pour s'adapter sur la page?
Toutes ces questions mineures dont l'impact peut être réduite au minimum, et ils sont insignifiants à côté des inconvénients cachés de l'approche plus évidente. La section suivante examine plus en détail les avantages et les inconvénients de chaque type.
Pourquoi est-ce tellement mieux
Le gros problème dans la conception des matrices de contrôle est que la relation entre les risques et les contrôles est beaucoup à beaucoup. Chaque risque est généralement traitée par plusieurs contrôles, et chaque contrôle contribue généralement à couvrir plusieurs risques. Cela ne peut pas être éliminé en choisissant un ensemble spécial de risques ou de contrôle, de sorte que le format doit prendre en charge ces nombreux à plusieurs relations commodément.
Le format évident ne parvient pas à le faire, laissant les auteurs de la matrice avec un choix entre la répétition du même contrôle partout où il applique, ou de le répéter à chaque fois, pour économiser de l'espace et d'éviter les répétitions et l'enregistrement de sorte que la cartographie innaccurately. Dans la pratique, la plupart des gens essaient de truquer les descriptions de risque afin de réduire le problème de répétition, puis mentionner chaque contrôle qu'une seule fois à moins que cela ne laisserait un risque sans contrôle contre elle.
Le résultat est une image déformée que sous-états le niveau réel de contrôle et encourage les gens à placer trop de confiance dans les contrôles individuels au lieu de voir le système de commande ont plusieurs lignes de défense. Les systèmes de contrôle réel sont faits de plusieurs couches, mais cela est presque impossible de voir ou de comprendre si la mauvaise mise en page de la matrice est utilisée.
Idéal pour la conception des contrôles.
différents types d'analyse
Comme les règles de gouvernance d'entreprise ont mis au point dans divers pays, ce sont ces matrices qui sont généralement parmi les premières exigences, directement ou indirectement.
Cependant, d'autres types d'analyse sont également possibles. Par exemple:
Conversion de données. Lorsque les données sont transférées d'un ancien système informatique à un nouveau un ensemble de contrôles est nécessaire pour faire en sorte que les données ne sont pas perdues ou endommagées dans le processus.
Le respect des lois et règlements. Cela peut être tout à fait une longue analyse, même aperçu.
Les processus de soutien. Par exemple, les gens dans le département informatique d'une entreprise effectuent des processus qui prennent en charge les autres. Les processus de service informatique peuvent également être analysés pour déterminer les risques d'erreur et de fraude.
les risques de sécurité informatique. processus e-business ont besoin de conception de sécurité minutieuse et une analyse détaillée est nécessaire pour confirmer que la conception est adéquate, du moins en principe.
Vue d'ensemble de l'unité d'affaires. Ceci est le niveau auquel les analyses de haut niveau sont généralement campèrent pour le respect des règles de gouvernance d'entreprise tels que la direction Turnbull du Royaume-Uni.
cadres de risque et objectifs de contrôle
Le cadre idéal des risques pour l'utiliser comme têtes de colonne dans une matrice de contrôle est celui qui omet rien de significatif dans le cadre de l'analyse et correspond idéalement aux effets des contrôles internes. Si les risques sont trop larges, il est difficile de montrer la couverture avec précision. (Un contrôle doit être mis contre le risque, mais on ne sait pas que le contrôle ne couvre qu'une partie de ce risque particulier.) D'autre part, si les risques sont trop bien la matrice devient inutilement grande.
Si la portée de l'analyse est d'assurer une comptabilité correcte, il est un moyen simple et systématique pour générer un cadre de risques. Ici, il est, étape par étape:
Identifier le traitement de l'information sous-jacente. à l'exception des mesures de contrôle interne. La plupart des gens trouvent qu'il aide à dessiner des diagrammes, mais avec la pratique, cela peut être omis. Cherchez les magasins physiques de données (par exemple des formulaires papier, les bases de données informatiques et les fichiers informatiques), les transferts physiques de données, les étapes de saisie des données et des calculs. Exclure les étapes de contrôle interne telles que les contrôles et les autorisations, qui sont les choses à faire en sorte que le traitement de l'information sous-jacente est fait correctement. Il est généralement pas nécessaire d'identifier tous les mouvements de données qui se produit dans une seule base de données utilisée par une seule application informatique, même si cela peut parfois être utile. Assurez-vous de la liste de toutes les étapes de capture de données, y compris des choses comme une mauvaise entrée de provisions pour créances douteuses et les modifications de données de référence obscures.
Appliquer un ensemble standard de « objectifs de contrôle » à chaque étape. Les objectifs de contrôle traditionnels sont complétude, l'exactitude et la validité, auquel il faut ajouter Unicité. (Voir ci-dessous pour une explication.) L'effet de cela est de diviser toutes les erreurs possibles à chaque étape dans un petit nombre de catégories standard.
Les objectifs de contrôle ne sont que le revers des risques. Si le risque est « affichage incomplet des ventes au grand livre des ventes », l'objectif est « l'affichage complet des ventes au grand livre des ventes. » Le trio traditionnel de complétude, l'exactitude et la validité est basée sur l'idée que les processus comptables concernent principalement la copie des informations d'un endroit à un autre, point par point (par exemple la vente par la vente). « Complete » signifie que tous les éléments qui auraient dû être copiés à travers ont été. « Exact » signifie que tous les éléments copiés à travers gardé leur valeur ou tout calcul est correct. « Valide » signifie aucun élément sont insérés sans avoir été copié à partir de l'étape précédente à savoir rien n'a été faite. Il y a une autre erreur qui pourrait se produire, ce qui est un élément à copier dans plus d'une fois. Traditionnellement, cela est inclus dans soit l'exhaustivité ou la validité, mais aucune approche est satisfaisante autant de contrôles confirment l'exhaustivité ou la validité sans aide à la duplication. Il est préférable d'introduire un quatrième objectif de contrôle, « Unicité ».
Ces objectifs de contrôle sont toujours par rapport à l'étape précédente de traitement, plutôt que de vérité originelle. Par exemple, les contrôles assurent souvent que certaines données ont été copiées complètement d'une base de données à un autre, mais pas que les données sont un dossier complet des activités qu'ils représentent. Ainsi, complet, précis, valide et unique signifie toujours par rapport aux données à l'étape précédente.
Si certains des contrôles s'appliquent à un ou plusieurs niveaux, mais pas tout ce qu'il est possible de montrer cette distinction sur la matrice de contrôle en utilisant plusieurs étapes (par exemple colonnes) pour le flux de données, un pour chaque niveau de la structure que vous souhaitez analyser séparément .
la gestion de la dette est souvent considérée comme un objectif de contrôle supplémentaire. Strictement ce n'est pas directement un problème pour l'information financière, à condition provisions pour créances douteuses sont exacts. Cependant, il est réconfortant de savoir que les créances douteuses ne sont pas prises en tant que cela réduit le risque de dispositions se révèle être incorrecte.
Trois autres objectifs de contrôle qui pourraient être utilisés sont la confidentialité, l'auditabilité et la non-répudiation. (Non-répudiation se rapporte aux dossiers électroniques des contrats. Supposons qu'un client passe une commande, mais réclame plus tard de ne pas avoir fait. Si vous fournissez un enregistrement d'ordinateur ordinaire de la commande, le client pourrait dire que vous l'ai inventée. Cependant, les techniques cryptographiques modernes permettent vous de conserver un enregistrement d'une commande reçue par voie électronique d'un client de telle sorte que vous ne pourriez pas avoir fait, et que le client ne peut pas « désavouer » l'ordre.)
Un contrôle doit être indiqué que l'application à une étape si elle augmente la probabilité que l'un des objectifs de contrôle ont été remplies pour que l'étape. L'ensemble des étapes d'une commande s'applique à peut appeler la « durée » du contrôle. Voici quelques exemples pour montrer le principe:
par exemple. Un total de hachage est utilisée pour vérifier qu'un fichier de données a été copié sans modification d'un ordinateur à l'autre. (Supposons que l'interface est une étape du processus se décomposer.) Le contrôle doit être démontré que l'application à cette étape d'interface uniquement.
par exemple. Un rapprochement est effectué entre les données à un point dans le traitement et un autre point, trois étapes ultérieures. Le contrôle doit être démontré que l'application aux trois étapes.
par exemple. Un contrôle est utilisé pour faire en sorte que les programmes de logiciels au sein d'une application ne sont pas modifiés par accident. Cela réduit légèrement le risque d'erreur et de fraude de différents types pour toutes les étapes effectuées à l'aide de cette application.
Comprimant matrices de contrôle à l'aide des objectifs de contrôle
Si le cadre de risque utilise un petit ensemble d'objectifs de contrôle normalisés comme indiqué plus haut, il est possible de produire une matrice rigoureuse mais extraordinairement compacte.
Un problème avec cette technique est d'étalonner les cibles correctement. Vous pouvez avoir une idée des cibles en marquant des contrôles réels sur un processus qui est considéré comme bien contrôlé et où la performance a été bonne (à savoir des erreurs connues et assez faible). Ces scores fournissent un guide pour fixer des objectifs sur d'autres processus.
Ce genre de sophistication est utile si vous pouvez le faire, mais pas indispensable. Même sans cibles et la couverture des facteurs de l'analyse de feuille de calcul est encore beaucoup plus précis que ce serait avec l'approche classique.
Une autre amélioration apportée à la feuille de calcul de base est d'ajouter une autre feuille de calcul pour afficher une version colorée de la matrice d'origine, pour chaque objectif de contrôle individuel. Cela peut être fait en utilisant une feuille pour chaque objectif de contrôle ou d'une seule feuille avec une cellule dans laquelle vous tapez l'abréviation d'une lettre de l'objectif dont l'analyse doit être affichée.
cadres de contrôle utiles
Les groupes-cadres de contrôle idéal tous les contrôles possibles dans un ensemble de couches, ou des lignes de défense, sur la base de la nature du contrôle. En trouvant ou la conception des contrôles dans chaque catégorie, il devrait être possible de produire un système complet couvrant tous les niveaux pertinents de contrôle de gestion. S'il est difficile de concevoir des contrôles efficaces à un niveau il devrait être facile de voir les autres niveaux auxquels la force de compensation peut être conçu.
Voici le modèle multi-couches que j'aime et recommande pour contrôler les cycles financiers, en commençant par le haut:
Surveiller l'efficacité passée des contrôles et prendre des mesures correctives, par exemple par le suivi des taux d'erreur, les transactions via des flux d'exception, et les pertes de revenus et en changeant le processus pour le rendre plus fiable par nature, ou l'ajout de contrôles.
Surveiller les événements futurs et adapter le processus et ses contrôles en temps utile, par exemple grâce à la planification des capacités, dans la perspective des changements à haut risque et les répartir, et la vérification des modifications des contrats à venir qui seront difficiles et longs à mettre en œuvre.
Surveiller les contrôles pour assurer leur fonctionnement. par exemple par des travaux d'audit, l'examen des rapports de performance de contrôle et le contrôle d'auto-évaluation. Où on se appuie sur les rapports d'exception pas de nouvelles bonnes nouvelles - ou les commandes ont cessé de fonctionner. Ceci est particulièrement important pour les contrôles qui visent à couvrir les risques qui se produisent rarement.
Protéger le processus d'interférences, en utilisant des mesures de sécurité physiques et logiciels.
Rendre le processus recouvrable. par exemple par le biais des sauvegardes de données, la planification de la reprise après incident, et la résistance des bâtiments et recouvrabilité dans chaque interface.
Rendre le processus intrinsèquement fiable. par exemple, en assurant la qualité des logiciels, tester la facilité d'utilisation du logiciel qui interagit avec les humains, et l'utilisation de matériel fiable.
Mettre les contrôles sur les données et le traitement en place, avec des mesures correctives associées, pour détecter les erreurs de processus, l'interférence avec le processus tels que la fraude, et les tentatives de passer la fraude à travers le processus.
Mettre des pistes de vérification en place, afin que les auditeurs puissent obtenir l'assurance du bon fonctionnement, et que des erreurs peuvent être corrigées facilement et d'une enquête.
Bien sûr, d'autres cadres de contrôle peuvent être utilisés, mais quel que soit le cadre que vous utilisez est une bonne idée d'utiliser des titres et sous-titres au moins pour organiser la liste des contrôles dans la matrice de contrôle.
Les contrôles peuvent être donnés un code de sorte que s'ils sortent de l'ordre, ils peuvent être classés de nouveau dans l'ordre original du cadre de contrôle.
Ceci est particulièrement utile si vous construisez une base de données des contrôles et des types de contrôle. En sélectionnant les contrôles applicables à un processus particulier, vous pouvez les trier vers le haut dans la zone de la matrice de contrôle. Par exemple, si vous optez pour le sceau WebTrust d'approbation il y a des directives assez détaillées sur les contrôles attendus si ceux-ci peuvent être utilisés comme point de départ de toute analyse sous WebTrust.
Voici un exemple illustrant rubriques du cadre de contrôle et des codes de tri. Notez que seule une partie des contrôles sont présentés, afin de garder l'exemple court et les nouveaux éléments sont jaunes.
Ajout d'informations sur les contrôles
Si les matrices de contrôle sont sur tableur et les contrôles sont répertoriés verticalement comme recommandé, il est facile d'ajouter des colonnes pour recueillir des informations utiles sur chaque contrôle (en plus de son profil de couverture des objectifs de contrôle). Ces informations peuvent être triées et communiquées à répondre à divers besoins. Mais quelle information est-elle utile? Voici quelques suggestions:
informations de conception et de mise en œuvre: par exemple nom du développeur, si le logiciel doit être écrit, si le contrôle existe déjà ou non. De toute évidence, cela est pertinent si les contrôles sont toujours en cours d'élaboration.
Gestionnaire responsable de l'exploitation du contrôle: Utile pour divers exercices d'examen et de confirmation. Les processus coupés presque toujours dans tous les ministères, mais les gens veulent naturellement savoir ce qu'ils sont responsables.
Mise en forme à imprimer
Si vous avez fait attention à ce point, vous avez réalisé que la plupart des feuilles de calcul de la matrice de contrôle ne tient pas sur une feuille de papier. Par rapport au format plus évident, le format recommandé est beaucoup plus compact, mais il peut être difficile à adapter à la largeur d'une page, même en format paysage.
Les techniques suivantes réduisent le problème:
Tournez les risques à 90 degrés: Cela permet aux colonnes d'être plus étroites.
Cacher colonnes: Masquer les colonnes ne sont pas nécessaires par la personne qui veut la copie papier.
Régler la colonne et en-têtes de ligne si chaque page les a: possible sur certains programmes de tableur. Sinon, diviser la matrice en divisant l'ensemble des risques / étapes.
La cartographie des contrôles internes aux risques est quelque chose de plus en plus d'entreprises devraient faire. Chaque année, un nombre incalculable de personnes gaspillent heures innombrables qu'il font de façon inefficace et inexactes. Ce document explique une façon de faire le travail plus facilement, mais produisent également un résultat plus utile et précis.
(Et ne pas oublier de vérifier les séances de tutorat technique individuels comme la meilleure façon de maîtriser cette correctement.)