Mechanizm kontrolny to konkretne dzia\u0142anie, procedura lub zabezpieczenie, kt\u00f3re ogranicza ryzyko i pomaga organizacji realizowa\u0107 jej cele. Nie jest to synonim kontroli wewn\u0119trznej jako ca\u0142o\u015bci. Kontrola wewn\u0119trzna<\/a> to system, a mechanizm kontrolny to jego sk\u0142adnik, osadzony w konkretnym procesie, przypisany do konkretnej osoby i na tyle precyzyjny, \u017ce mo\u017cna oceni\u0107, czy dzia\u0142a.<\/p>\n\n\n\n Przyk\u0142adem mo\u017ce by\u0107 obowi\u0105zkowa weryfikacja faktury przez drug\u0105 osob\u0119 przed zatwierdzeniem p\u0142atno\u015bci. Taki mechanizm odpowiada na konkretne ryzyko b\u0142\u0119du lub nadu\u017cycia, dzia\u0142a na poziomie operacyjnym i mo\u017cna sprawdzi\u0107, czy jest stosowany. To odr\u00f3\u017cnia go od og\u00f3lnej zasady, \u017ce p\u0142atno\u015bci powinny podlega\u0107 kontroli.<\/p>\n\n\n\n Mechanizmy kontrolne r\u00f3\u017cni\u0105 si\u0119 zakresem i charakterem, ale ka\u017cdy skuteczny mechanizm opiera si\u0119 na tym samym fundamencie. Trzeba wiedzie\u0107, jakie ryzyko ogranicza, kto za niego odpowiada i w jaki spos\u00f3b mo\u017cna oceni\u0107 jego skuteczno\u015b\u0107. Bez kt\u00f3regokolwiek z tych element\u00f3w kontrola nie spe\u0142nia swojej funkcji.<\/p>\n\n\n\n Analiza ryzyka<\/a> bez konkretnej odpowiedzi na jej wyniki niewiele zmienia. T\u0119 odpowied\u017a przynosz\u0105 mechanizmy kontrolne. Przek\u0142adaj\u0105 one wnioski z analizy na codzienne dzia\u0142anie organizacji i sprawiaj\u0105, \u017ce ryzyko jest realnie ograniczane, a nie tylko opisane.<\/p>\n\n\n\n Mechanizm kontrolny powinien by\u0107 po\u0142\u0105czony bezpo\u015brednio z ryzykiem. Mechanizmy powstaj\u0105 przecie\u017c dlatego, \u017ce organizacja chce ograniczy\u0107 konkretne ryzyko. Je\u015bli wi\u0119c tego powi\u0105zania nie ma, trudno oceni\u0107, czy mechanizm jest potrzebny i czy spe\u0142nia swoj\u0105 funkcj\u0119. Dlatego projektowanie mechanizm\u00f3w kontrolnych zawsze zaczyna si\u0119 od pytania o ryzyko, a nie o procedury.<\/p>\n\n\n\n Mechanizmy kontrolne w organizacji dzia\u0142aj\u0105 na poziomie strategicznym, operacyjnym, procesowym i w obszarze IT. Na poziomie strategicznym mog\u0105 dotyczy\u0107 nadzoru nad realizacj\u0105 cel\u00f3w biznesowych, na poziomie operacyjnym reguluj\u0105 przebieg konkretnych proces\u00f3w, a w obszarze IT zabezpieczaj\u0105 systemy i dane. Sp\u00f3jny system kontroli wewn\u0119trznej uwzgl\u0119dnia wszystkie te miejsca i dba o to, \u017ceby mechanizmy w ka\u017cdym z nich wsp\u00f3\u0142gra\u0142y ze sob\u0105.<\/p>\n\n\n\n Nie mo\u017cna zaprojektowa\u0107 skutecznego mechanizmu kontrolnego bez wcze\u015bniejszego zrozumienia, przed czym ma on chroni\u0107. Identyfikacja ryzyka jest wi\u0119c warunkiem koniecznym, a nie opcjonalnym etapem poprzedzaj\u0105cym budow\u0119 systemu kontroli. Organizacje, kt\u00f3re pomijaj\u0105 ten krok, tworz\u0105 mechanizmy oderwane od rzeczywistych zagro\u017ce\u0144.<\/p>\n\n\n\n W zarz\u0105dzaniu ryzykiem<\/a> rozr\u00f3\u017cnia si\u0119 jego dwa poziomy. Ryzyko nieod\u0142\u0105czne to zagro\u017cenie istniej\u0105ce przed zastosowaniem jakichkolwiek mechanizm\u00f3w kontrolnych. Z kolei ryzyko rezydualne<\/a> to takie, kt\u00f3re pozostaje po ich wdro\u017ceniu. Mechanizm kontrolny powinien zmniejsza\u0107 luk\u0119 mi\u0119dzy tymi dwoma poziomami. Im lepiej jest on dobrany do charakteru ryzyka, tym skuteczniej t\u0119 luk\u0119 zamyka.<\/p>\n\n\n\n Punktem wyj\u015bcia jest wi\u0119c rzetelna identyfikacja ryzyka i jego analiza. Ustalamy wtedy, co mo\u017ce p\u00f3j\u015b\u0107 nie tak, jak cz\u0119sto mo\u017ce si\u0119 to zdarzy\u0107, gdzie w organizacji dane ryzyko mo\u017ce wyst\u0105pi\u0107 i jakie b\u0119d\u0105 jego konsekwencje. Dopiero na tej podstawie mo\u017cna okre\u015bli\u0107, jakiego rodzaju mechanizm jest potrzebny i gdzie powinien dzia\u0142a\u0107.<\/p>\n\n\n\n Mechanizmy kontrolne dziel\u0105 si\u0119 na trzy grupy wed\u0142ug tego, kiedy i jak dzia\u0142aj\u0105. Jedne zapobiegaj\u0105 wyst\u0105pieniu ryzyka, inne wykrywaj\u0105 nieprawid\u0142owo\u015bci, a jeszcze inne pomagaj\u0105 ograniczy\u0107 skutki i przywr\u00f3ci\u0107 sytuacj\u0119 do normy. Dobry system kontroli wewn\u0119trznej korzysta ze wszystkich trzech rodzaj\u00f3w mechanizm\u00f3w, bo \u017caden z nich nie jest wystarczaj\u0105cy w pojedynk\u0119.<\/p>\n\n\n\n Takie mechanizmy dzia\u0142aj\u0105, zanim ryzyko wyst\u0105pi. Ich celem jest niedopuszczenie do b\u0142\u0119du lub nadu\u017cycia, zanim b\u0119dzie trzeba go naprawia\u0107. W\u015br\u00f3d nich mo\u017cna wyr\u00f3\u017cni\u0107 podzia\u0142 obowi\u0105zk\u00f3w mi\u0119dzy r\u00f3\u017cne osoby lub dzia\u0142y, wymogi dotycz\u0105ce autoryzacji transakcji, ograniczenia dost\u0119pu do system\u00f3w i danych czy obowi\u0105zkowe szkolenia przed dopuszczeniem pracownika do okre\u015blonych zada\u0144. Mechanizmy prewencyjne stanowi\u0105 najbardziej po\u017c\u0105dany rodzaj kontroli, poniewa\u017c eliminuj\u0105 problem u \u017ar\u00f3d\u0142a.<\/p>\n\n\n\n One z kolei ujawniaj\u0105 nieprawid\u0142owo\u015bci, kt\u00f3re ju\u017c wyst\u0105pi\u0142y. Warto\u015b\u0107, jak\u0105 nios\u0105, polega na skr\u00f3ceniu czasu mi\u0119dzy pojawieniem si\u0119 problemu a jego wykryciem. Im szybciej organizacja go zauwa\u017cy, tym mniejsze poniesie szkody. Do grupy tych mechanizm\u00f3w nale\u017c\u0105 uzgadnianie kont, przegl\u0105dy raport\u00f3w finansowych i operacyjnych, alerty systemowe, wyrywkowe kontrole oraz audyty wewn\u0119trzne<\/a>.<\/p>\n\n\n\n T\u0119 grup\u0119 mechanizm\u00f3w uruchamia si\u0119, gdy ryzyko ju\u017c si\u0119 zmaterializowa\u0142o i trzeba ograniczy\u0107 jego skutki oraz przywr\u00f3ci\u0107 prawid\u0142owy stan. Do mechanizm\u00f3w koryguj\u0105cych zaliczamy procedury eskalacji, plany naprawcze, dzia\u0142ania dyscyplinarne wobec os\u00f3b odpowiedzialnych za nieprawid\u0142owo\u015bci, a tak\u017ce aktualizacj\u0119 procedur, je\u015bli zdarzenie ujawni\u0142o braki w dotychczasowym systemie kontroli.<\/p>\n\n\n\n Sama liczba posiadanych mechanizm\u00f3w nie decyduje o skuteczno\u015bci systemu dzia\u0142a\u0144 kontrolnych firmy. Wa\u017cniejsze jest to, \u017ceby ka\u017cde istotne ryzyko mia\u0142o przypisany mechanizm w\u0142a\u015bciwego typu i \u017ceby te mechanizmy by\u0142y ze sob\u0105 sp\u00f3jne.<\/p>\n\n\n\n Zaprojektowanie mechanizmu kontrolnego, kt\u00f3ry rzeczywi\u015bcie dzia\u0142a, wymaga przej\u015bcia przez kilka etap\u00f3w w okre\u015blonej kolejno\u015bci. Pomini\u0119cie kt\u00f3regokolwiek z nich sprawia, \u017ce kontrola mo\u017ce by\u0107 niekompletna lub niedostosowana do rzeczywistego zagro\u017cenia.<\/p>\n\n\n\n Pierwszy krok to precyzyjne okre\u015blenie ryzyka, na kt\u00f3re mechanizm ma odpowiada\u0107. Nie wystarczy og\u00f3lne stwierdzenie, \u017ce istnieje ryzyko b\u0142\u0119du lub nadu\u017cycia. Trzeba wiedzie\u0107, gdzie dok\u0142adnie w organizacji mo\u017ce ono wyst\u0105pi\u0107, kto jest na nie nara\u017cony i jakie mog\u0105 by\u0107 jego konsekwencje.<\/p>\n\n\n\n Kolejny etap to wyb\u00f3r odpowiedniego typu mechanizmu. W zale\u017cno\u015bci od charakteru ryzyka mo\u017ce by\u0107 potrzebna kontrola prewencyjna, detekcyjna lub koryguj\u0105ca. Czasem jedno ryzyko wymaga kilku mechanizm\u00f3w jednocze\u015bnie, dzia\u0142aj\u0105cych na r\u00f3\u017cnych poziomach organizacji.<\/p>\n\n\n\n Nast\u0119pnie trzeba wskaza\u0107 osob\u0119 odpowiedzialn\u0105 za stosowanie mechanizmu. Bez tego nawet dobrze zaprojektowana kontrola pozostaje martwa. Osoba odpowiedzialna powinna mie\u0107 realny wp\u0142yw na proces, kt\u00f3rego mechanizm dotyczy, i wiedzie\u0107, czego si\u0119 od niej oczekuje.<\/p>\n\n\n\n Kolejny krok to udokumentowanie mechanizmu w procedurach, rejestrze ryzyka lub matrycy kontroli. Dokumentacja nie jest tylko formalno\u015bci\u0105, lecz warunkiem skutecznego stosowania i p\u00f3\u017aniejszej weryfikacji mechanizmu.<\/p>\n\n\n\n Ostatni etap to zaplanowanie sposobu oceny skuteczno\u015bci kontroli. Trzeba z g\u00f3ry ustali\u0107, jak cz\u0119sto mechanizm b\u0119dzie testowany, kto b\u0119dzie to robi\u0142 i jakie wyniki \u015bwiadcz\u0105 o tym, \u017ce dzia\u0142a prawid\u0142owo. Bez tych ustale\u0144 nie mo\u017cna w\u0142a\u015bciwie oceni\u0107, czy system dzia\u0142a\u0144 kontrolnych spe\u0142nia swoj\u0105 rol\u0119, ani wskaza\u0107 miejsc do poprawy.<\/p>\n\n\n\n Odpowiedzialno\u015b\u0107 za mechanizmy kontrolne musi by\u0107 przypisana do konkretnych os\u00f3b, nie do dzia\u0142\u00f3w ani zespo\u0142\u00f3w. Rozmyta odpowiedzialno\u015b\u0107 w praktyce oznacza jej brak. Kto\u015b musi nadzorowa\u0107 dzia\u0142anie mechanizmu i reagowa\u0107 w razie problem\u00f3w.<\/p>\n\n\n\n Za poszczeg\u00f3lne mechanizmy kontrolne odpowiadaj\u0105 najcz\u0119\u015bciej kierownicy jednostek lub w\u0142a\u015bciciele proces\u00f3w, w kt\u00f3rych dany mechanizm funkcjonuje. To oni najlepiej rozumiej\u0105 specyfik\u0119 danego obszaru i maj\u0105 na niego realny wp\u0142yw.<\/p>\n\n\n\n Warto te\u017c odr\u00f3\u017cni\u0107 osob\u0119 stosuj\u0105c\u0105 mechanizm od osoby nadzoruj\u0105cej jego skuteczno\u015b\u0107. Pracownik, kt\u00f3ry wykonuje czynno\u015b\u0107 kontroln\u0105, i kierownik, kt\u00f3ry weryfikuje, czy jest ona wykonywana prawid\u0142owo, pe\u0142ni\u0105 r\u00f3\u017cne, ale potrzebne funkcje.<\/p>\n\n\n\n W organizacjach podlegaj\u0105cych regulacjom zewn\u0119trznym odpowiedzialno\u015b\u0107 za mechanizmy kontrolne wi\u0105\u017ce si\u0119 bezpo\u015brednio z wymogami compliance, czyli zgodno\u015bci. Zarz\u0105dzanie zgodno\u015bci\u0105<\/a> wymaga nie tylko posiadania odpowiednich mechanizm\u00f3w, ale te\u017c udowodnienia, \u017ce one dzia\u0142aj\u0105 i \u017ce kto\u015b za nie odpowiada. Brak jasno przypisanej odpowiedzialno\u015bci to jeden z najcz\u0119\u015bciej wskazywanych przez audytor\u00f3w problem\u00f3w w systemach kontroli wewn\u0119trznej.<\/p>\n\n\n\n Mechanizm zapisany tylko w codziennej praktyce jest trudny do sprawdzenia i podatny na stopniowe zmiany, kt\u00f3rych nikt nie \u015bledzi. Dlatego ka\u017cdy mechanizm kontrolny powinien by\u0107 opisany w procedurach operacyjnych, rejestrze ryzyka lub matrycy kontroli.<\/p>\n\n\n\n Dokumentacja mechanizmu powinna odpowiada\u0107 na kilka podstawowych pyta\u0144:<\/p>\n\n\n\n Matryca kontroli<\/a> zestawia te informacje w jednym miejscu dla wszystkich mechanizm\u00f3w w organizacji, co u\u0142atwia zar\u00f3wno codzienne stosowanie, jak i p\u00f3\u017aniejsze przegl\u0105dy oraz testy.<\/p>\n\n\n\n Monitoring kontroli to systematyczne sprawdzanie, czy mechanizmy s\u0105 stosowane i czy przynosz\u0105 oczekiwane rezultaty. Organizacje korzystaj\u0105 w tym celu z kilku uzupe\u0142niaj\u0105cych si\u0119 narz\u0119dzi:<\/p>\n\n\n\n Wyniki monitorowania powinny prowadzi\u0107 do konkretnych dzia\u0142a\u0144, np. aktualizacji mechanizm\u00f3w, zmiany odpowiedzialno\u015bci lub rewizji oceny ryzyka. Je\u015bli monitoring nie skutkuje \u017cadnymi zmianami, znaczy to albo, \u017ce system dzia\u0142a bez zarzutu, albo \u017ce wyniki nie s\u0105 traktowane powa\u017cnie.<\/p>\n\n\n\n Projektowanie mechanizm\u00f3w kontrolnych wygl\u0105da prosto w teorii. Praktyka pokazuje jednak, \u017ce te same b\u0142\u0119dy pojawiaj\u0105 si\u0119 w organizacjach niezale\u017cnie od ich wielko\u015bci i bran\u017cy.<\/p>\n\n\n\n Organizacja wprowadza kontrol\u0119, bo tak trzeba albo bo wymaga tego zewn\u0119trzny audyt, a nie dlatego, \u017ce zidentyfikowa\u0142a zagro\u017cenie, na kt\u00f3re ten mechanizm odpowiada. Taki mechanizm generuje koszty, ale nie ogranicza ryzyka.<\/p>\n\n\n\n Mechanizm przypisany do dzia\u0142u, a nie do konkretnej osoby, nie ma w\u0142a\u015bciciela. Nikt nie czuje si\u0119 zobowi\u0105zany do jego stosowania ani do reakcji, gdy co\u015b idzie nie tak.<\/p>\n\n\n\nRola mechanizm\u00f3w kontrolnych w zarz\u0105dzaniu ryzykiem<\/h2>\n\n\n\n
Identyfikacja ryzyka jako punkt wyj\u015bcia<\/h2>\n\n\n\n
Rodzaje mechanizm\u00f3w kontrolnych<\/h2>\n\n\n\n
Mechanizmy prewencyjne<\/h3>\n\n\n\n
Mechanizmy detekcyjne<\/h3>\n\n\n\n
Mechanizmy koryguj\u0105ce<\/h3>\n\n\n\n
Jak zbudowa\u0107 skuteczny mechanizm kontrolny?<\/h2>\n\n\n\n
Odpowiedzialno\u015b\u0107 za mechanizmy kontrolne<\/h2>\n\n\n\n
Dokumentowanie i monitorowanie mechanizm\u00f3w kontrolnych<\/h2>\n\n\n\n
Co powinna zawiera\u0107 dokumentacja?<\/h3>\n\n\n\n
\n
Jak weryfikowa\u0107 skuteczno\u015b\u0107 mechanizm\u00f3w?<\/h3>\n\n\n\n
\n
Weryfikuj\u0105 one, czy mechanizm dzia\u0142a zgodnie z za\u0142o\u017ceniami. Mog\u0105 by\u0107 wyrywkowe lub obejmowa\u0107 wszystkie przypadki w danym okresie.<\/li>\n\n\n\n
Pozwalaj\u0105 \u015bledzi\u0107 skuteczno\u015b\u0107 kontroli w czasie i wychwytywa\u0107 odchylenia, zanim stan\u0105 si\u0119 problemem.<\/li>\n\n\n\n
Daj\u0105 szersze spojrzenie na ca\u0142y system mechanizm\u00f3w i pozwalaj\u0105 sprawdzi\u0107, czy odpowiada on aktualnym ryzykom organizacji.<\/li>\n\n\n\n
Zapewniaj\u0105 niezale\u017cn\u0105 ocen\u0119 systemu, wskazuj\u0105 luki i rekomenduj\u0105 zmiany.<\/li>\n<\/ul>\n\n\n\nCz\u0119ste b\u0142\u0119dy, czyli gdzie mog\u0105 zawie\u015b\u0107 mechanizmy kontrolne<\/h2>\n\n\n\n
Mechanizm bez powi\u0105zania z ryzykiem<\/h3>\n\n\n\n
Brak osoby odpowiedzialnej<\/h3>\n\n\n\n
Kontrola tylko na papierze<\/h3>\n\n\n\n