定义风险和控制
记录并确保控制缓解运营风险。您可以首先定义风险,然后定义控制,反之亦可。
您可以在内部控制工作流中定义风险和控制,该工作流被用于更复杂的项目类型,其中定义了注解,执行了排查以验证控制设计,进行了测试以验证控制的运行有效性。
什么是风险和控制?
风险是不确定性对某个目标的影响,该影响与预期值之间具有正偏差或负偏差。
控制是所采取的一组措施或操作,用来管理风险并增加实现既定目标的可能性。
“风险”或“控制”的术语可能不同,具体取决于您的组织的配置。例如,风险可能被称为要求,控制可能被称为程序。
开始之前
在定义风险和控制之前,您需要:
根据您的组织的项目或者框架配置的不同,目标还可能被称为部分、流程、周期、职能领域、 应用程序系统或者另一自定义术语。
工作原理
当您将风险与控制相关联时,您将指定如何缓解风险的措施或操作路线。已识别的风险和相应的控制的组合被称为风险控制矩阵。
一项风险可以与多个控制相关联,一个控制也可以与多项风险相关联。
您定义的每个控制会有一个对应的排查,用于验证控制是否恰当设计。创建或前滚项目时,可以根据需要选择一轮、两轮或四轮测试,以验证控制是否有效运行。
定义控制和测试之间的复杂关系
风险控制矩阵在每个控制和相关联的测试之间创建一对一的关系。如果您要在控制和控制测试之间定义多个复杂关系,您有两个选择:
| 关系 | 描述 | 我如何做到这点? |
|---|---|---|
| 一对多 |
一个测试和许多测试结果之间的关系 |
针对多个事项(例如企业应用系统)应用测试,记录同一测试中所有事项的测试结果。 |
| 多对一 |
单个测试结果和多个测试之间的关系 |
在第一个测试中执行和记录测试结果,并链接到来自其他测试的测试结果。 说明
对于适用该结果的其他测试,您可以从浏览器地址栏复制 URL,并粘贴到测试结果字段。 |
限制
每个目标最多可包含 1000 个风险和 1000 个控制。
示例
定义风险和控制
场景
您是负责整个 IT 一般控制审计项目的首席财务官。识别的其中一个控制不足与网络安全有关,由 IT 负责。董事会想知道哪些人负责补救。
流程
下表说明了您定义的作为组织风险控制矩阵一部分的风险和控制。为了跟进控制不足(NS-002),您指定相应的 IT 人员作为控制的所有者。
| 风险 | 相关联控制 |
|---|---|
| NS-A:没有技术来检测和保护网络免遭未经授权的漏洞评估工具。 |
|
| NS-B:对网络安全设备的配置做出不当或有风险的更改。 |
|
| NS-C:未发现网络或系统安全漏洞是因为没有审计流程。 |
|
| NS-D:系统和网络设备利用过时的、易受攻击的系统软件。 |
|
| NS-E:向网络传输的数据以及从网络传输的数据被未经授权的个人拦截。 |
|
结果
- IT 人员收到一封电子邮件通知,并能够帮助更新控制定义。
- 您可以向负责 NS-002 补救的董事会报告。
权限
专业经理和专业用户可以定义和关联风险和程序。
定义风险和控制
说明
- 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
- 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。
- 执行以下操作之一:
- 要定义项目中的风险和程序:
从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。
- 打开项目,单击外勤工作选项卡。
- 要定义框架中的风险和程序:
- 打开框架。
- 打开一个框架,然后单击节选项卡。
- 要定义项目中的风险和程序:
- 找出适当的目标,单击转到,然后选择风险控制矩阵。
- 请执行以下任一操作:
- 如需定义风险,请单击添加风险,输入所需信息,然后单击保存。
- 如需定义控制,请单击查看类别标签旁的控制,单击添加控制,输入所需信息,然后单击保存。
- 如需将风险和控制相关联,请执行以下操作:
- 确保您已创建至少一个风险和一个控制。
- 在风险或控制旁,单击关联的风险或关联的控制,定义适当的关联,然后单击保存。
风险字段
富文本字段不能超过 524,288 个字符。
提示
要对富文本字段启用拼写检查,请执行以下操作之一:
- Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
- Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词
| 字段 | 描述 |
|---|---|
|
标题 可选 |
用于描述风险的有意义的标题 最大长度为 255 个字符。 |
| 描述 |
有关风险的声明 |
|
风险 ID 可选 |
风险的识别号码 最大长度为 255 个字符。 |
|
影响 可选 |
风险发生的后果评级 |
|
可能性 可选 |
风险发生的概率评级 |
|
自定义风险评分因素 可选 |
指定与风险相关的自定义风险评分因素。 项目管理员和项目类型管理员可以在管理项目类型下定义风险的自定义属性。 提示
您可以自动执行影响、可能性和自定义风险评分因素的风险评估。有关详细信息,请参阅自动执行运营风险评估。 |
|
自定义风险属性 可选 |
指定与风险关联的属性。 项目管理员和项目类型管理员可以在管理项目类型下定义风险的自定义属性。 |
|
支持证据 可选 |
允许您将结果应用程序中的数据链接到项目应用程序中的文档,以合并信息,并在在补救完成时轻松签核,以及通知评估 说明
仅当您的组织使用结果应用程序时,该选项才可用。 |
|
与此风险相关联的控制 可选 |
允许您将控制与风险相关联 |
|
实体覆盖范围 可选 |
允许您将风险标记为一个或多个实体以进行报告 说明
只有专业经理和专业用户可以通过单击显示内容并选择要与控制关联的每个实体,使用实体为控制添加标记。会自动保存变更。 |
| 历史记录 |
查看风险的全部的字段级修改历史 |
控制字段
富文本字段不能超过 524,288 个字符。
提示
要对富文本字段启用拼写检查,请执行以下操作之一:
- Chrome、Firefox 或 Safari Windows 字段中 CTRL + 右键单击,或 Mac 上 Command + 右键单击
- Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词
| 字段 | 描述 |
|---|---|
|
标题 可选 |
用于描述控制的有意义的标题 最大长度为 255 个字符。 |
| 描述 |
有关控制的声明 |
| 控制 ID |
控制的识别号码 最大长度为 255 个字符。 说明
该号码被追加到目标前缀的末尾。 |
|
所有者 可选 |
允许您分配许可或非许可用户作为控制的所有者以进行跟踪和报告 被分配为贡献者测试者或贡献者用户角色的用户通常被分配为控制的所有者。 可以基于区域、业务单元或项目相关的框架分配所有者。一旦人员被指定为控制的所有者,则其将收到一封电子邮件通知,其中包含控制的链接,授予其对所分配控制的写入权限,以及对目标和风险的读取权限。 说明
如果批量上传控制并在控制负责人字段中指定某人,其姓名将显示在项目应用程序中,但不会被自动分配控制并通过电子邮件通知。 |
| 频率 |
决定测试计划选项卡中的默认测试方法和样本大小 例如,可以使用指定频率(持续、每周、每月等),或者基于需要设置项目测试报告。 有关详细信息,请参阅执行程序和测试控制。 |
| 类型 |
决定测试计划选项卡中的默认测试方法和样本大小 例如,测试计划可能会包含手动控制、应用程序/系统控制、IT 一般控制或者 IT 依赖项手动控制。 有关详细信息,请参阅执行程序和测试控制。 |
| 阻止或检测? | 指定控制是用于防止风险还是检测风险,还是不适用 |
|
方法 可选 |
指定如何测试或实施控制 |
|
状态 可选 |
指定控制的当前状态 |
|
自定义控制属性 可选 |
指定与控制关联的属性 项目管理员和项目类型管理员可以在管理项目类型下定义控制的自定义属性。 |
|
相关断言 可选 |
允许您将控制标记为一个或多个相关断言 |
|
COSO 原则 可选 |
允许您使用一个或多个 COSO 原则对控制进行标记 说明
项目应用程序支持包括 17 种 COSO 原则的 2013 COSO 框架。 |
|
与此控制相关联的风险 可选 |
允许您将风险与控制相关联 |
|
控制权重 可选 |
表示控制所缓解的风险的百分比 控制权重的默认设置是 100%。您可以输入 0% 至 100% 之间的控制权重。但是,控制权重的总和可以增加到任何数值。 有关详细信息,请参阅保障组件。 |
|
实体覆盖范围 可选 |
允许您将控制标记为一个或多个实体以进行报告 说明
只有专业经理和专业用户可以通过单击显示内容并选择要与控制关联的每个实体,使用实体为控制添加标记。会自动保存变更。 |
| 历史记录 |
查看控制的全部的字段级修改历史 |
