Control Activity
Wat is een Control Activity?
Bij elk van de binnen jouw organisatie geïdenticeerde risico's uit de risk-control matrix (en dan met name de risico's die als key zijn aangemerkt) worden de controls beschreven die deze risicio's (substantieel) zouden moeten afdekken binnen de huidige procesomgeving van jouw organisatie.
De beschrijvingen van de controls worden uiteindelijk uitgedrukt in een Control Activity (= CA). Deze beschrijvingen dienen to-the-point te zijn en geen overbodige teksten te bevatten. Een buitenstaander moet eenvoudig kunnen zien dat de CA bijdraagt aan het mitigeren / afdekken van het risico. Hierbij dien je tevens duidelijk aan te geven of het een user based control is of een application based control.
Wees jezelf ervan bewust dat een beschreven CA testbaar moet zijn. En dan bedoelen we testbaar op de effectieve werking ervan.
Zorg ervoor dat je bij de beschrijving van de CA de uit het engels afkomstige '5W's betrekt. Dit helpt je to-the-point te zijn en de meest relevante zaken in de beschrijving mee te nemen:
1. Who performs (Wie voert uit?)
2. What info/input needed to carry out activity? (Welke info/input is benodigd om de CA uit te voeren?)
3. How often performed? (Wanneer en met welke frequentie wordt de CA uitgevoerd?)
4. How control evidenced? (Waaruit blijkt dat de CA is uitgevoerd. Maw hoe evidence vastgelegd en is reperformance mogelijk?)
5. How are exceptions reviewed and approved? (Hoe worden afwijkingen van de gestelde norm vastgesteld en wie autoriseert de afwijkingen?)
Doel bepalen, plan maken en aan de slag
Doel bepalen, plan maken en aan de slag. Spreekt dat je aan? Start dan nu geheel kosteloos jouw route naar groei en succes. We geven je 14 dagen de tijd om onze gestructureerde Route ICR aanpak te ervaren. Ontdek jouw Route ICR van ambitie naar resultaat. En geen zorgen, je zit nergens aan vast!