Podpora učinkovitemu obvladovanju tveganj (IV)

Spremljanje: Cilj spremljanja je neprestano zagotavljanje kakovosti sistema in izboljševanje okvirja v katerem sistem deluje. Spremljati in ocenjevati moramo nastavitve, obstoj in delovanje okvirja tveganj in kontrol. Rezultat ocenjevanja nastavitev nam pove v kolikšni meri okvir ustreza svojemu namenu in odgovori na naslednja vprašanja:

  • So vsa tveganja identificirana?
  • So vsa tveganja bila ocenjena?
  • Smo določili vse potrebne kontrolne aktivnosti?
  • Ali vse kontrolne aktivnosti ustrezno zmanjšujejo tveganja?
  • Ali so stroški kontrol manjši kot potencialne izgube?

Okolje v katerem delujejo organizacije se nenehno spreminja zato je pomembno, da preverjamo tudi v kolikšni meri sistem ustreza trenutnemu okolju. ARIS Risk&Compliance Manager nudi podporo tako neprestanemu spremljanju kontrol kot tudi polavtomatskemu spremljanju podprtemu z delovnimi tokovi.

Ustreznost preverjamo preko testiranj kontrol.  Testiranja se izvedejo po predpisanih procedurah ter v predpisanih intervalih. ARIS Risk&Compliance Manager preko elektronske pošte opozori odgovorne osebe kdaj morajo izvesti posamezno testiranje. Opis naloge v aplikaciji vsebuje vse informacije za izvedbo testa: jasna navodila kako izvesti testiranje, opis kontrole, ki je predmet testiranja ter povezavo na ustrezni model procesa.  Po končnem testiranju se rezultati dokumentirajo,  dokumentacija se prenese v aplikacijo in kontrola pridobi nov status (učinkovita oz. neučinkovita). O statusu kontrol, ki se jih spremlja avtomatsko, ARIS Risk&Compliance Manager obvešča odgovorne osebe v realnem času.

V primeru, ko je rezultat testa "neučinkovito", se obvesti osebo odgovorno za pregled testa. Ta po pregledu rezultatov testa odloči ali je trenutno stanje pomanjkljivost, ki jo je potrebno odpraviti, ali ne.

Če je potrjeno, da kontrolna aktivnost ni učinkovita, je potrebno določiti primeren ukrep. Tudi ti ukrepi se obvladujejo znotraj že vzpostavljenega sistema. V ARIS Risk&Compliance Managerju se v povezavi z neučinkovito kontrolno aktivnostjo kreira naloga, ki se ji določi prioriteta in odgovorna oseba za njeno izvedbo. (Naloge so lahko povezane tudi z ostalimi sredstvi v repozitoriju kot na primer aplikacije, ocene tveganj, osebe itd.)

Rezultati testiranj so takoj vidni preko nadzornih plošč, ki so del ARIS Risk&Compliance Managerja. Vsebina nadzornih plošč je vezana na uporabnika in njegovo vlogo, kar pomeni, da vsak uporabnik vidi le tisto vsebino za katero je avtoriziran. Vsebino je prav tako možno filtrirati po časovnem intervalu, izbranih oddelkih ali kakšnem drugem kriteriju. Vse rezultate je možno predstaviti v obliki MS Excel ali PDF datotek ter jih deliti na primer z zunanjimi presojevalci.

Rezultate testiranj lahko združujemo po različnih pogledih na primer po procesih, po oddelkih, po zakonodaji, po odgovorni osebi. Pogled po zakonodaji tako daje odgovornim osebam vpogled o uspešnosti delovanja v skladu s specifičnimi zahtevami.

Obveščanje: Vse vloge, ki so vključene v proces obvladovanja tveganj, morajo biti obveščene o nalogah, ki jih morajo opraviti. Poleg nalog, ki so del načrta upravljanja sistema, ARIS Risk&Compliance Manager odgovorne osebe obvešča tudi o nalogah, ki so posledica prekoračenih mej (npr. frekvenca škodnih dogodkov ali velikost izgub).

Končni uporabniki, vodstvo, presojevalci in ostale vloge v sistemu si lahko na enostaven in pregleden način pogledajo nastavitve sistema obvladovanja tveganj preko spletnega portala ARIS Connect, kjer so tveganja in kontrolne aktivnosti vključene v procesno arhitekturo skupaj s poslovnimi vlogami, odgovornostmi in IT sistemi.

Drugi način komunikacije pomembnih informacij poteka preko aplikacije MashZone. MashZone omogoča enostavno kreiranje nadzornih plošč na osnovi tabel, poročil ali podatkovnih baz. Nadzorne plošče, ki jih kreiramo z MashZone lahko enostavno vključimo v ARIS Connect spletni portal ali v ARIS Risk&Compliance Manager.

Zgornja slika prikazuje nadzorno ploščo, ki na eni strani vsebuje informacije o učinkovitosti poslovnega procesa in na drugi o tveganjih v procesu. Velikokrat napor, da bi povečali kontrolo nad tveganji v procesu, vodi v zmanjšanje učinkovitosti procesa. Zaradi tega je dobro imeti te informacije skupaj na istem mestu.

Objavljeno v Obvladovanje tveganj.