Matrix die einfachste und beste Weg Mapping interne Kontrollen zur Karte
Wenn Sie die Idee von Matrix Mapping mögen - und viele Menschen tun - der einfachste Weg, um es richtig zu meistern ist, mich zu engagieren, der Autor, für einzelne technische Nachhilfe oder Teletutoring Sitzungen.
Es ist nicht eine schwierige Technik, aber ich habe festgestellt, dass die meisten Menschen von etwas Hilfe profitieren nach wie vor in immer es genau richtig.
Stop and check!
Das gängigste Format für die Dokumentation von internen Kontrollen (das heißt Format für „Kontrollmatrizen“) dauert viel zu lange schreiben und produziert riesige Dokumente wenig praktikabel. Es ist so ineffizient, dass die Menschen von Natur aus Ecken schneiden, ein verzerrtes Bild der Kontrollen und Risiko geben. Ich sollte wissen; Ich habe die falsche Wahl selbst einmal. Nie wieder!
Wenn Ihr Unternehmen seine internen Kontrollen mit einer Art von Matrizen dokumentiert hat oder zu tun hat, so in Zukunft ist es wert, das richtige Format an Ort und Stelle zu bekommen. Dies ist eines jener Details, die einen großen Unterschied macht. Wenn Sie bereits Matrizen überprüfen sie, und wenn sie die falsche Art sind, planen sie so schnell wie möglich neu zu formatieren. Wenn Sie noch sie müssen anfangen oder haben gerade ein Projekt schreiben Kontrollmatrizen, stoppen, zu überprüfen, und starten Sie Ihr Projekt mit dem richtigen Stil von Matrix gestartet. Wenn Sie dies nicht tun werden Sie es später bereuen.
Falsche und richtige Formate
Die Format der meisten Leute denken, der zuerst gefragt, wenn interne Kontrollen Risiken abzubilden ist die offensichtlichste: eine Liste von Risiken, mit Kontrollen gegen jedes Risiko geschrieben, um das Risiko zu zeigen, bedeckt sind. Das Layout ist eine gewisse Variation auf der einen unten, mit anderen Spalten für zusätzliche Informationen und Querverweise hinzugefügt:
In diesem Beispiel wird Risiko von Control 3 nur abgedeckt. Risiko B wird von der Steuer 1 nur abgedeckt. Risiko C wird durch Kontrollen 1, 2, abgedeckt und 4. Und so weiter.
Auf den ersten Blick scheint dies aussichtslos. Sicherlich wird es viel Platz verschwendet werden? Wird nicht die Spaltenüberschriften schwierig sein, zu lesen? Was passiert, wenn es zu viele Risiken sind auf der gegenüberliegenden Seite passen?
All dies sind kleinere Probleme, deren Auswirkungen minimiert werden können, und sie sind unbedeutend neben den verborgenen Nachteile der offensichtlichsten Ansatz. Im nächsten Abschnitt näher an die Vor- und Nachteile der einzelnen Arten.
Warum ist das so viel besser
Das große Problem Kontrollmatrizen bei der Gestaltung ist, dass das Verhältnis zwischen Risiken und Kontrollen ist many-to-many. Jedes Risiko wird in der Regel durch mehrere Kontrollen angesprochen, und jede Steuer trägt typischerweise mehrere Risiken abdecken. Dies kann nicht durch die Wahl eine spezielle Reihe von Risiken und Kontrollen beseitigt werden, so dass das Format hat diese many-to-many-Beziehungen bequem zu unterstützen.
Das offensichtliche Format nicht, dies zu tun, so dass Matrix Autoren mit einer Wahl zwischen der gleiche Steuer zu wiederholen, wo es gilt, oder es nicht jedes Mal wiederholen, um Speicherplatz zu sparen und Wiederholungen zu vermeiden, und so die Aufzeichnung die Zuordnung innaccurately. In der Praxis versuchen die meisten Menschen, das Risiko Beschreibungen frisieren die Wiederholung Problem zu reduzieren, dann jede Kontrolle erwähnt nur einmal, es sei denn, dass ein Risiko ohne Kontrollen dagegen verlassen würde.
Das Ergebnis ist ein verzerrtes Bild, das unter Staaten die tatsächliche Höhe der Steuer- und ermutigt die Menschen in den einzelnen Kontrollen zu viel Vertrauen zu geben, anstatt das Steuersystem zu sehen, wie mehrere Verteidigungslinien haben. Real Kontrollsysteme werden aus mehreren Schichten hergestellt, aber das ist fast unmöglich, zu sehen oder zu verstehen, wenn das falsche Matrix-Layout verwendet wird.
Ideal für die Gestaltung von Kontrollen.
Verschiedene Arten von Analysen
Als Corporate-Governance-Regeln in verschiedenen Ländern entwickelt haben, ist es diese Matrizen, die in der Regel unter den ersten Anforderungen sind, direkt oder indirekt.
Jedoch können auch andere Arten der Analyse sind ebenfalls möglich. Beispielsweise:
Datenkonvertierung. Wenn Daten von einem alten Computersystem auf einen neuen eine Reihe von Kontrollen bewegt wird, benötigt diese Daten, um sicherzustellen, ist nicht in dem Prozess verloren oder beschädigt.
Die Einhaltung von Gesetzen und Vorschriften. Dies kann durchaus eine lange Analyse, auch in der Übersicht sein.
Support-Prozesse. Zum Beispiel Menschen in einem Computer-Abteilung des Unternehmens Prozesse durchführen, die andere unterstützen. Die Prozesse der EDV-Abteilung kann auch für Fehler und Betrugsrisiken analysiert werden.
IT-Sicherheitsrisiken. E-Business-Prozesse erfordern eine sorgfältige Sicherheitskonzept und eine detaillierte Analyse erforderlich ist, um zu bestätigen, dass das Design angemessen ist, zumindest im Prinzip.
Business Unit Überblick. Dies ist die Ebene, auf der obersten Ebene Analysen werden in der Regel für die Einhaltung der Corporate-Governance-Vorschriften wie der britischen Turnbull Führung aufgeschlagen.
Risikorahmen und Kontrollziele
Der ideale Rahmen von Risiken als Spaltenüberschriften in einer Kontrollmatrix zu verwenden, ist eine, die nichts Wesentliches im Rahmen der Analyse und passt bequem mit den Auswirkungen der internen Kontrollen unterlässt. Wenn die Risiken zu breit sind, ist es schwierig, Abdeckung genau zu zeigen. (A Kontrolle hat gegen das Risiko zu setzen, aber es ist nicht klar, dass die Steuerung nur einen Teil dieses besonderen Risikos abdeckt.) Auf der anderen Seite, wenn die Risiken zu fein sind die Matrix unnötig groß wird.
Wenn der Umfang der Analyse ist eine korrekte Abrechnung zu gewährleisten, gibt es eine einfache und systematische Art und Weise einen Rahmen von Risiken zu erzeugen. Hier ist es, Schritt für Schritt:
Ermitteln der zugrunde liegenden Informationsverarbeitung. ohne interne Steuerschritte. Die meisten Menschen finden es hilft Diagramme zu zeichnen, aber mit der Praxis verzichtet werden kann. Achten Sie auf die physikalischen Speicher von Daten (zum Beispiel Papierformulare, Computer-Datenbanken und Computerdateien), physikalische Übertragung von Daten, Datenerfassung Schritte und Berechnungen. Ausschließen interne Kontrollschritte wie Kontrollen und Genehmigungen, die Dinge getan, um sicherzustellen, dass die zugrunde liegende Informationsverarbeitung richtig gemacht wird. Es ist normalerweise nicht notwendig, jede Datenbewegung zu identifizieren, die in einer einzigen Datenbank, die von einer einzelnen Computer-Anwendung verwendet geschieht, obwohl dies manchmal hilfreich sein kann. Achten Sie darauf, alle Datenerfassungsschritte einschließlich solcher Dinge wie Delkredere Eintrag aufzulisten, und obskuren Referenzdaten bearbeitet.
Tragen Sie einen Standardsatz von „Kontrollziele“ zu jedem Schritt. Die traditionellen Kontrollziele sind Vollständigkeit, Richtigkeit und Gültigkeit, auf die Einmaligkeit hinzugefügt werden soll. (Siehe unten für eine Erklärung). Die Folge davon ist, alle möglichen Fehler bei jedem Schritt in eine kleine Anzahl von Standardkategorien aufzuteilen.
Kontrollziele sind nur die Kehrseite der Risiken. Wenn das Risiko „Incomplete Entsendung von Verkäufen an das Verkaufsbuch“ ist, dann ist das Ziel „Complete Entsendung der Verkäufe an das Verkaufsbuch.“ Das traditionelle Trio der Vollständigkeit, Richtigkeit und Gültigkeit basiert auf der Idee basiert, dass Abrechnungsprozesse in erster Linie das Kopieren von Informationen von einem Ort zum anderen beinhalten, Punkt für Punkt (zum Beispiel Verkauf von Verkauf). „Complete“ bedeutet, dass alle Elemente, die über waren kopiert worden sein. „Accurate“ bedeutet, dass alle über ihren Wert kopierten Elemente gehalten oder jede Berechnung korrekt ist. „Gültig“ bedeutet, dass keine Einzelteile eingefügt werden, ohne von der vorhergehenden Stufe kopiert wurde, das heißt nichts oben gemacht worden ist. Es gibt einen weiteren Fehler, die auftreten könnte, was für ein Element in mehr als einmal kopiert werden. Traditionell wird dies entweder unter Vollständigkeit oder Gültigkeit enthalten, aber keiner der beiden Ansätze sind zufrieden stellend, wie viele Kontrollen Vollständigkeit und Aktualität ohne Unterstützung auf Vervielfältigung bestätigen. Am besten ist es ein viertes Kontrollziel einzuführen „Einmaligkeit“.
Diese Kontrollziele sind immer in Bezug auf die vorherige Stufe der Verarbeitung, anstatt zu Urwahrheit. So sorgen beispielsweise Kontrollen häufig vor, dass einige Daten vollständig von einer Datenbank in einer anderen kopiert wurden, aber nicht, dass die Daten eine vollständige Aufzeichnung der Geschäftsaktivitäten sind sie vertreten. Also, vollständig, richtig, gültig und einzigartig bedeutet immer im Vergleich mit den Daten in dem vorherigen Schritt.
Wenn einige der Kontrollen auf eine oder mehr Ebene gelten, aber nicht alle ist es möglich, diese Unterscheidung auf der Steuermatrix zu zeigen, indem sie mehrere Schritte (dh Spalten) für den Datenfluss, einen für jede Ebene der Struktur wollen Sie separat analysieren .
Schulden-Management wird oft als zusätzliches Kontrollziel enthält. Genau dies ist nicht direkt ein Problem für die Finanzberichterstattung, sofern Wertberichtigungen korrekt ist. Allerdings ist es beruhigend zu wissen, dass zweifelhafte Forderungen werden nicht übernommen, da dies das Risiko von Rückstellungen reduziert falsch sein Ausdrehen.
Drei weitere Kontrollziele, die verwendet werden könnten, sind Vertraulichkeit, Nachvollziehbarkeit, und Nachweisbarkeit. (Nichtabstreitbarkeit bezieht sich auf elektronische Aufzeichnungen von Verträgen. Angenommen, ein Kunde einen Auftrag erteilt, behauptet aber später nicht getan zu haben. Wenn Sie einen gewöhnlichen Computer Aufzeichnung der Bestellung dem Kunden sagen, könnten Sie es aus. Aber moderne Verschlüsselungstechniken erlauben Sie einen Datensatz eines Auftrags zu halten elektronisch von einem Kunden in einer solchen Art und Weise erhalten, dass Sie es nicht nach oben gemacht haben könnte, und so kann der Kunde nicht „ablehnen“ der Auftrag.)
Eine Kontrolle als Anwendung auf einen Schritt gezeigt werden, wenn es die Wahrscheinlichkeit, dass irgendeine der Kontrollziele erhöht hat für diesen Schritt erreicht. Die Reihe von Schritten gilt eine Steuerung kann die „Spanne“ der Steuerung aufgerufen werden. Hier sind einige Beispiele, das Prinzip zu zeigen:
z.B. Eine Hash-Summe wird verwendet, um zu überprüfen, dass eine Datei von Daten ohne Änderung von einem Computer zu einem anderen kopiert. (Nehmen wir an, die Schnittstelle einen Schritt in dem Prozess ist brechen.) Die Steuerung sollte nur als Anwendung auf diese Schnittstelle Schritt gezeigt werden.
z.B. Eine Überleitung ist an einem Punkt in der Verarbeitung und einem anderen Punkt zwischen Daten durchgeführt, die später in drei Schritten. Die Steuerung sollte als die für alle drei Stufen angezeigt.
z.B. Eine Kontrolle wird dazu verwendet, dass Software-Programme, die innerhalb einer Anwendung zu gewährleisten, sind nicht zufällig verändert. Dadurch verringert sich leicht das Risiko von Fehlern und Betrug verschiedener Typen für alle Schritte mit, dass die Anwendung ausgeführt wird.
Komprimieren Kontrollmatrizen Kontrollziele mit
Wenn das Risiko Rahmen einen kleinen Satz von standardisierten Kontrollziele verwendet, wie oben erörtert es möglich ist, eine strenge, aber außerordentlich kompakte Matrix zu erzeugen.
Ein Problem bei dieser Technik ist es, die Ziele richtig zu kalibrieren. Sie können ein Gefühl für Ziele erhalten, indem tatsächlichen Steuerelemente in einem Prozess Scoring, die gedacht ist gut kontrolliert und in denen die Leistung gut war (das heißt Fehler bekannt und ziemlich niedrig). Diese Werte bieten einen Leitfaden für die Ziele auf andere Prozesse zu setzen.
Diese Art von Raffinesse ist hilfreich, wenn Sie es tun können, aber nicht unbedingt erforderlich. Auch ohne Ziele und Berichterstattung Faktoren die Tabellenkalkulation noch wesentlich präziser ist, als es mit dem herkömmlichen Ansatz wäre.
Eine weitere Verbesserung des Grundes Tabelle ist ein weiteres Arbeitsblatt hinzufügen, um eine farbige Version der ursprünglichen Matrix zu zeigen, für jedes Steuerziel einzeln. Dies kann mit einer Zelle für jedes Kontrollziel oder ein einzelnes Blatt mit einem Blatt durchgeführt werden, in denen Sie die einem Buchstaben-Abkürzung des Objektivs, dessen Analysetyp angezeigt werden soll.
Hilfreiche Kontrollrahmen
Die idealen Steuerrahmengruppen alle möglichen Kontrollen in einen Satz von Schichten oder Verteidigungslinien auf der Grundlage der Art der Steuerung. Durch das Auffinden oder die Gestaltung von Kontrollen nach jeder Kategorie sollte es möglich sein, ein komplettes System zu produzieren, die alle relevanten Ebene der Management-Kontrolle. Wenn es schwierig ist, wirksame Kontrollen auf einer Ebene zu entwerfen sollte es leicht sein, die anderen Ebene, auf denen Kompensations Stärke sehen ausgelegt werden kann.
Hier ist die Multi-Layer-Modell Ich mag und empfehlen für Finanzzyklen zu steuern, beginnend an der Spitze:
Überwachen Vergangenheit Wirksamkeit der Kontrollen und Korrekturmaßnahmen, zum Beispiel durch Verfolgen Fehlerraten, Transaktionen über Ausnahme Ströme und entgangenen Einnahmen und die Änderung der Prozess, um es von Natur aus zuverlässiger, oder das Hinzufügen von Schecks.
Überwachen Sie zukünftige Ereignisse und passen den Prozess und seine Kontrollen rechtzeitig, zum Beispiel durch die Kapazitätsplanung, vorausschauend für hohe Risiko Veränderungen und Verbreitung sie aus, und die Überprüfung für die anstehenden Vertragsänderungen, die schwierig und zeitaufwendig werden zu implementieren.
Überwachen Sie die Kontrollen zu gewährleisten, dass sie funktionieren. zum Beispiel durch Prüftätigkeit, Berichte von Regelleistung und Regelselbsteinschätzung zu überprüfen. Wo Vertrauen auf Exception Reporting platziert ist keine Nachrichten gute Nachrichten - oder die Kontrollen haben den Betrieb eingestellt. Dies ist besonders wichtig für die Kontrollen, die zur Deckung der Risiken abzielen, die selten auftreten.
Schützen Sie den Prozess von Störungen, mit physikalischen und Software-Sicherheitsmaßnahmen.
Machen Sie den Prozess erstattungsfähig. zum Beispiel durch Datensicherung, Disaster-Recovery-Planung und Bau Elastizität und Wiederherstellbarkeit in jede Schnittstelle.
Machen Sie den Prozess von Natur aus zuverlässig. beispielsweise durch Software Qualitätssicherung, die Prüfung der Verwendbarkeit von Software, die mit dem Menschen interagiert und zuverlässige Hardware.
Setzen Kontrollen Daten und Verarbeitung an Ort und Stelle, mit zugeordneten Korrekturmaßnahmen, Prozessfehler, Störungen mit dem Prozess wie Betrug zu detektieren, und die Versuche von Betrug durch den Prozess zu übergeben.
Setzen Sie Prüfprotokolle an Ort und Stelle, so dass der Prüfer Sicherung der korrekten Funktion gewinnen kann, und so, dass Fehler leicht untersucht und korrigiert werden.
Natürlich können auch andere Steuerrahmen kann verwendet werden, aber was auch immer Framework verwenden Sie es eine gute Idee ist, zu verwenden, Überschriften und Unterüberschriften zumindest die Liste der Steuerelemente in der Steuermatrix zu organisieren.
Kontrollen können einen Code angegeben werden, so dass, wenn sie aus der Bestellung erhalten können sie wieder in die ursprüngliche Reihenfolge des Kontrollrahmens sortiert werden.
Dies ist besonders nützlich, wenn Sie eine Datenbank von Steuerungen und Steuerungstypen bauen. Durch die Steuerelemente auszuwählen, die auf einen bestimmten Prozess anwenden Sie können sie in der Steuermatrix Bereich sortieren oben. in einer Analyse unter Webtrust Zum Beispiel, wenn Sie für die Webtrust-Siegel gehen, ist es recht ausführliche Anleitung über die zu erwartenden Kontrollen so können diese als Ausgangspunkt verwendet werden.
Hier ist ein Beispiel darstellt Kontrollrahmen Schriften und Sortier-Codes. Beachten Sie, dass, um einige der Kontrollen werden nur dann angezeigt, das Beispiel kurz und die neuen Elemente sind gelb zu halten.
Hinzufügen von Informationen über Kontrollen
Wenn die Steuer Matrizen auf Tabelle sind und die Kontrollen aufgelistet vertikal wie empfohlen es ist leicht, Spalten hinzufügen nützliche Informationen über jede Kontrolle zu erfassen (zusätzlich zu seinem Profil der Berichterstattung über Kontrollziele). Diese Informationen können sortiert und berichtet werden, um verschiedene Bedürfnisse zu erfüllen. Aber welche Informationen nützlich? Hier sind ein paar Vorschläge:
Design und Implementierung Informationen: z.B. Name der Entwickler, ob Software geschrieben werden muss, ob die Steuerung bereits vorhanden ist oder nicht. Offensichtlich ist dies relevant, wenn Kontrollen sind noch in der Entwicklung.
Manager verantwortlich für den Betrieb der Steuerung: Nützlich für verschiedene Überprüfung und Bestätigung Übungen. Prozesse fast immer in allen Abteilungen schneiden aber die Leute wollen natürlich wissen, was sie für verantwortlich sind.
Formatieren zu drucken
Wenn Sie auf diesen Punkt aufmerksam zu bezahlen worden sind oben haben Sie realisiert, dass die meisten Steuermatrix-Tabellen nicht auf ein Blatt Papier passen. Im Vergleich zu dem offensichtlichen Format empfahl das Format ist wesentlich kompakte, aber es kann schwierig sein, die Breite einer Seite paßt auch im Querformat.
Die folgenden Techniken reduzieren das Problem:
Drehen Sie die Risiken um 90 Grad: Das sind die Spalten erlaubt schmaler zu sein.
Spalten ausblenden: Ausblenden alle Spalten nicht von der Person, die auf die Hardcopy will.
Stellen Sie Spalten- und Zeilenüberschriften so jede Seite hat sie: Mögliche auf einigen Tabellenkalkulationsprogrammen. Wenn nicht, spaltete die Matrix durch den Satz von Risiken / Schritte aufzuteilen.
Die Abbildung der internen Kontrollen zu Risiken ist etwas mehr und mehr Unternehmen zu erwarten sind zu tun. Jedes Jahr verschwenden unzählige Menschen unzählige Stunden in ineffizient und ungenau Wegen tun. Dieses Dokument erklärt, eine Möglichkeit, die Arbeit leichter zu machen, und doch auch ein nützliches und genaues Ergebnis.
(Und vergessen Sie nicht, individuelle technische Nachhilfe Sitzungen als die beste Art und Weise zu überprüfen, dies richtig zu meistern.)