“只为控制”:控制的真正力量

ookeditse-kamau
作者: Ookeditse Kamau, MBA, CDPSE, CEH, CIA, CISA, CRMA, ISO 27001执业者
发表日期: 2024年1月29日

如果你生在我这一代, “只是为了控制”是一个我们通常用来描述我们对情况拥有的权力的短语. 这个意思也反映了我们在特定情况下的自夸:因为我们可以, 为什么不? 这句话是对权力的颂扬——我们可以随心所欲地使用权力. 把这些写下来就把我带回了想象中的“绝对权力”的美好回忆.”

当我加入审计行业时, 我遇到了另一个叫做“控制”的权力大师,这是一个我日常使用的词,可以很容易地与“权力”一词互换.“控制中隐藏的一件事是权力——控制是好是坏并不重要, 与之互动的人能感受到它的力量. It is also true that processes that lack controls are powerless; this may be the reason why they are prone to disorder and mismanagement.

控制的目的是通过“保护”流程免受诸如浪费之类的负面影响来支持业务流程,同时通过促进有序的效率和有效性来促进业务目标的实现. 简单来说, 实现控制是为了减轻风险,因此说没有风险是正确的, 没有必要进行控制. 控制与负面(向下)风险相关的防御和与正面(向上)风险相关的促进.

如上所述,一个坏的控制和一个好的控制一样,仍然具有力量. 你是否有过这样的情况:你知道你被要求做的事情对你需要做的任务没有任何价值, 但你还是要继续,因为这是你需要做的过程中的一步? 这就是设计不良的控件的无用力量——即使它没有任何生产目的,你仍然会这样做. “只是为了控制一下.”

风险在本质上不是静态的,因此控制也不应该是静态的. 因此,我们不能简单地说“我们一直都是这样做的。.“如果你曾经和审计师坐下来谈过, 您将意识到他们通常使用这三个术语来度量控件的值. 我的意见是,任何称职的商业领袖都应该了解这些术语,并能够应用它们来评估,当他们的功能和/或操作发生变化时,他们是否在有效地使用过程中的控制“力量”. 这些术语是:

  1. 控制的充分性 -这意味着控制已被设计为充分减轻过程中识别的风险. 控制措施通常在政策和程序中概述.
  2. 控制的有效性 -这意味着控制没有被记录在政策和/或程序中, 但它是通过实施动员起来的. 写的什么是看得见的.
  3. 控制运行效果 -这意味着控制不仅在特定时间执行,而且始终如一地执行.

随着风险的变化, 控制评估也变得至关重要,以确保控制中的权力被导向生产任务. 这个月,看看你的流程和内部控制,看看权力是否平衡得很好.

额外的资源