定义风险和程序

记录并确保程序缓解运营风险。您可以首先定义风险,然后定义程序,反之亦可。

说明

您可以在工作计划工作流中定义风险和程序,它包括保障团队将会执行的一套步骤或程序,以及每个步骤的结果记载。

如果您需要执行更复杂类型的项目,您可以在内部控制工作流中定义风险和控制

什么是风险和程序?

风险是不确定性对某个目标的影响,该影响与预期值之间具有正偏差或负偏差。

程序是所采取的一组措施或操作,用来管理风险并增加实现既定目标的可能性。

“风险”或“程序”的术语可能不同,具体取决于您的组织的配置。例如,风险可能被称为要求,程序可能被称为控制。

开始之前

在可以定义风险和程序之前,您需要:

  1. 创建项目框架
  2. 定义目标
说明

根据您的组织的项目或者框架配置的不同,目标还可能被称为部分、流程、周期、职能领域、 应用程序系统或者另一自定义术语。

工作原理

当您将风险与程序相关联时,您将指定如何缓解风险的措施或操作路线。已识别的风险和相应程序的组合被称为项目计划。

一项风险可以与多个程序相关联,一个程序也可以与多项风险相关联。对于您定义的每个程序,将自动创建测试。

定义程序和测试之间的复杂关系

项目计划在每个程序和相关联的测试之间创建一对一的关系。如果您要在程序和测试之间定义多个复杂关系,您有两个选择:

关系 描述 我如何做到这点?
一对多

一个测试和许多测试结果之间的关系

针对多个事项(例如企业应用系统)应用测试,记录同一测试中所有事项的测试结果。

多对一

单个测试结果和多个测试之间的关系

在第一个测试中执行和记录测试结果,并链接到来自其他测试的测试结果。

说明

对于适用该结果的其他测试,您可以从浏览器地址栏复制 URL,并粘贴到程序结果字段。

限制

每个目标最多可包含 1000 个风险和 1000 个程序。

示例

定义风险和程序

场景

您是负责整个 FCPA 合规调查项目的高级主管。识别的其中一个程序不足与不当的公司费用有关,属于人力资源的程序不足。董事会想知道哪些人负责补救。

进程

下表说明了您定义的作为组织项目计划一部分的风险和程序。为了跟进程序不足(T&E-01),您指定相应的人力资源人员作为程序的所有者。

风险 相关联的程序
T&E-A:通过利用下属职员隐藏不当的公司费用。 T&E-01:获得持有公司信用卡的员工名单,包括员工职位。扫描名单以确定通常不会发放公司卡的员工。例如,文职人员或行政人员。
T&E-B:员工在为外国官员付费,并在其差旅报销申请中隐藏费用。
  • T&E-02:确定包含与政府/或第三方代理打交道的员工的目标组织。同时确定负责政府客户的销售人员。
  • T&E-03:获取包含所有差旅娱乐员工报告的列表,包括金额和经过调查处理的总账账目,并通过 Analytics 反腐败关键字搜索进行排查。
  • T&E-04:应使用 Analytics 的受限名单排查费用报告中所列出的作为参与人员或其他人员的所有名字。应调查所有例外情况。
  • T&E-05:通过费用类型阈值运行所有费用报告。抽样以测试是否合理。

结果

  • 人力资源人员收到一封电子邮件通知,并能协助更新程序定义。
  • 您可以向负责 T&E-01 补救的董事会报告。

权限

专业经理和专业用户可以定义和关联风险和程序。

定义风险和程序

说明

  • 界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 实例中,某些术语、字段和选项卡可能有所不同。
  • 如果必填字段留空,您会看到一则警告消息:此字段是必填项。某些自定义字段可能包含默认值。
  1. 执行以下操作之一:
    • 要定义项目中的风险和程序:
      1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

        如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

      2. 打开项目,单击外勤工作选项卡。
    • 要定义框架中的风险和程序:
      1. 打开框架
      2. 打开一个框架,然后单击选项卡。
  2. 找出适当的目标,单击转到,然后选择项目计划
  3. 请执行以下任一操作:
    • 如需定义风险,请单击添加风险,输入所需信息,然后单击保存
    • 如需定义程序,请单击查看类别标签旁的程序,单击添加程序,输入所需信息,然后单击保存
  4. 如需将风险和程序相关联,请执行以下操作:
    1. 确保您已创建至少一个风险和一个程序。
    2. 在风险或程序旁,单击关联的风险关联的程序,定义适当的关联,然后单击保存

风险字段

说明

富文本字段不能超过 524,288 个字符。

提示

要对富文本字段启用拼写检查,请执行以下操作之一:

  • Chrome、Firefox 或 Safari Windows 字段中CTRL + 右键单击,或 Mac 上 Command + 右键单击
  • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词
字段 描述

标题

可选

用于描述风险的有意义的标题

最大长度为 255 个字符。

描述

有关风险的声明

风险 ID

可选

风险的识别号码

最大长度为 255 个字符。

影响

可选

风险发生的后果评级

可能性

可选

风险发生的概率评级

自定义风险评分因素

可选

指定与风险相关的自定义风险评分因素

项目管理员和项目类型管理员可以在管理项目类型下定义风险的自定义属性。

提示

您可以自动执行影响、可能性和自定义风险评分因素的风险评估。有关详细信息,请参阅自动执行运营风险评估

属性

可选

指定与风险关联的属性

项目管理员和项目类型管理员可以在管理项目类型下定义风险的自定义属性。

支持证据

可选

允许您将结果应用程序中的数据链接到项目应用程序中的文档,以合并信息,并在在补救完成时轻松签核,以及通知评估

说明

仅当您的组织使用结果应用程序时,该选项才可用。

与此风险相关联的程序

可选

允许您将程序与风险相关联

实体覆盖范围

可选

允许您将风险标记为一个或多个实体以进行报告

说明

只有专业经理和专业用户可以通过单击显示内容并选择要与程序关联的每个实体,使用实体为程序添加标记。会自动保存变更。

历史记录

查看风险的全部的字段级修改历史

程序字段

说明

富文本字段不能超过 524,288 个字符。

提示

要对富文本字段启用拼写检查,请执行以下操作之一:

  • Chrome、Firefox 或 Safari Windows 字段中CTRL + 右键单击,或 Mac 上 Command + 右键单击
  • Internet Explorer 或 Microsoft Edge 打开浏览器设置,打开拼写检查/突出显示拼写错误的单词
字段 描述

标题

可选

用于描述程序的有意义的标题

最大长度为 255 个字符。

描述

有关程序的声明

程序参考号

程序的识别号码

最大长度为 255 个字符。

说明

该号码被追加到目标前缀的末尾。

所有者

可选

允许您分配许可或非许可用户作为程序的所有者以进行跟踪和报告

被分配为贡献者测试者或贡献者用户角色的用户通常被分配为程序的所有者。

可以基于区域、业务单元或项目相关的框架分配所有者。某人被指定为程序的所有者之后,将会收到一封电子邮件通知,其中包含程序的链接,授予其对所分配程序的写入权限,以及对目标和风险的读取权限。从项目应用程序发送的电子邮件通知,会将 Diligent One 用户重定向到评估应用程序。评估应用程序中的每张卡片都有一个返回项目应用程序的链接。未在 Diligent One 中注册的用户将会收到公共 URL。

说明

如果批量上传程序并在负责人字段中指定某人,其姓名将显示在项目应用程序中,但不会被自动分配程序并通过电子邮件通知。

自定义程序属性

可选

指定与程序关联的属性

项目管理员和项目类型管理员可以在管理项目类型下定义程序的自定义属性。

相关断言

可选

允许您将过程标记为一个或多个相关断言

COSO 原则

可选

允许您使用一个或多个 COSO 原则标记程序

说明

项目应用程序支持包括 17 种 COSO 原则的 2013 COSO 框架。

与此程序相关联的风险

可选

允许您将风险与程序相关联

程序权重

可选

表示程序所缓解的风险的百分比

程序权重的默认设置是 100%。您可以输入 0% 至 100% 之间的程序权重。程序权重的总和可以相加到任何数值。

有关详细信息,请参阅保障组件

实体覆盖范围

可选

允许您将程序标记为一个或多个实体以进行报告

说明

只有专业经理和专业用户可以通过单击显示内容并选择要与程序关联的每个实体,使用实体为程序添加标记。会自动保存变更。

历史记录

查看程序的全部的字段级修改历史