内部控制工作流
如果您需要创建注解和评估控制的设计和有效性,请选择内部控制工作流。
组件
说明
- 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
- 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。
目标
目标是一个项目或框架的关键目的,是项目或框架中已完成工作的组织容器。每个目标说明正在检查的主题事项,以及如何评估绩效。
注解
注解是对待审核目标或领域的描述。注解也称为政策、流程描述或控制指南。
风险
风险是不确定性对某个目标的影响,该影响与预期值之间具有正偏差或负偏差。风险按目标进行组织,可与一个或多个控制相关联。
控制
控制是旨在缓解风险的计划、策略、例程或活动。控制被按目标组织,可能与一个或多个风险相关联。
风险控制矩阵
风险控制矩阵充当项目计划,由已识别的风险和对应的控制组成。您可以通过确定目标中的风险以及确定缓解这些风险的控制来创建风险控制矩阵。
排查
排查是为了确立控制的可靠性和测试控制设计而执行的一系列步骤。您定义的每个控制会有一个对应的排查,用于验证控制是否恰当设计。
测试计划
测试计划是详细说明如何评估控制的文件。测试计划确定测试方法或获得的事件类型,指定全部样本大小(在测试周期中分割),并说明测试步骤或属性。
测试
测试是确保组织内部控制的运行有效性的评估。您所定义的每个控制都有相应的测试(或如果有多个测试轮,则为一系列测试)。
什么时候应该使用内部控制工作流?
如果您需要定义目标、注解、风险和控制,以及执行控制的排查和/或多个测试轮,请使用内部控制工作流。
内部控制工作流适用于更复杂类型的项目,其中:
- 可以完成注解以获得对项目目标的理解
- 确定流程中的关键控制措施
- 进行排查以验证控制的设计是否恰当
- 完成控制测试以验证控制是否有效工作
内部控制工作流很适用于:
- Sarbanes-Oxley
- 内部控制审核
- SOC 审计
