向高层管理人员传达业务控制的结果从来不是一个容易的过程, 特别是如果我们想要确保基于风险和控制有效性的具体信息得到沟通. Generally, risk and controls rely on different methodologies; this is not ideal. 相反,我们需要灵活的方法、业务流程之间的协作和适当的工具. 为了创建这种协同方法,我们可以调整我们在组织中已经使用的方法.
在没有经验的情况下理解如何最好地解决问题增加了困难. 当你没有特定任务的经验时, 第一步是找到一种方法,这种方法已经经过了适当的审查,并且已经是你日常工作的一部分,可以应用. 风险在风险登记册中,控制在能力成熟度模型(CMM)中被评估。. 它们不是立即集成的,因为它们源自为不同目的遵循不同逻辑的过程,例如影响和概率评估, 以及绩效和成熟度评估. 最高管理层更关注风险, 对业务目标的敏感性是优先考虑的, 而控制更多的是操作的焦点,并且与单个过程的目标相关联.
为了提高信息的质量,我们需要聚合信息, 我们必须用类似的细节从共同的周界收集它. 在风险和控制之间形成联系的理想候选者是在组织中发生的活动和所使用的资产. 活动只不过是按照规则在资产上执行的动作,以产生结果. 规则是有利于目标的业务需求,结果是业务的产物. 所有相关资产和管理它们的行动的列表是风险世界的一部分, 虽然这些行动和保护措施的清单是控制世界的一部分. 通过建立风险之间的关系, assets and controls, 我们可以在它们之间共享收集到的数据, 保留原有的意义,并根据已建立的关系引入新的组合.
风险登记和CMM的功能保持不变, 但是资产和公共活动之间的关系允许创建新信息, which adds value. 虽然这确实需要额外的操作工作,但它仍然使用现有的数据基础. 如果对数据质量的信任应该下降,那么我们可以重新考虑审计过程.
只要有一点创意,我们就可以使用这个过程来审查审计计划的逻辑. 如果我们适当地改变审计范围和测试的深度, 我们可以减少在低风险情况下花费的时间, 让我们有更多时间对风险更大的案件进行深入分析. 这确保了更好地覆盖业务范围,足以弥补对方法更改的担忧.
Editor’s note: 要进一步了解这个话题,请阅读Luigi Sbriz最近在《澳门赌场官方软件》上发表的文章, 能力成熟度模型与风险登记集成:澳门赌场官方下载治理的正确途径,” ISACA Journal, volume 1, 2022. ISACA Journal Turns 50 This Year! 和我们一起庆祝吧,别忘了你还可以通过访问你的 preference center and opting in!
