Cîteva reflecţii despre control….

/ 2 aprilie 2010

 

Regulamentul BNR la care făceam referire în postul precedent face indirect o trimitere la modelul COSO pentru controlul intern. Cînd însă asociem şi tehnologia, lucrurile tind să se complice. Curiozitatea academică mă face să mă întreb cît timp o fi fost alocat pentru atingerea cerinţelor prezentate în Regulament…..

Deşi poate fi o simplă amăgire, cred că reuşita implementării şi funcţionării controalelor într-o organizaţie ţine de cultura organizaţională. Este opinia mea după contactele avute cu piaţa. Cu cît cultura va fi mai rigidă cu atît va fi mai dificil să induci o schimbare. Şi cred că acest lucru este valabil pentru multe domenii. Deoarece, în multe cazuri, percepţia celor afectaţi de un control nu este pozitivă! Este motivul pentru care, în majoritatea cazurilor, se face vorbire de user awareness şi training. Şi mai există un element important, dar tratat cu superficialitate sau chiar omis: feed back-ul de la cei afectaţi/implicaţi. Dacă nu eşti interesat de feed back înseamnă că nu ştii să asculţi. Change este descris ca un proces, dar dacă este omisă resursa umana din discuţie, şansele de reuşită se diminuează destul de mult.

Pentru a vorbi de controale IT ar trebui să înţelegem controlul ca mecanism. Rădăcinile sale sînt oarecum amestecate între teoria şi practica contabilă şi cea a managementului.

Voi detalia cele scrise în altă postare pentru că auditul a devenit un termen şi o practică la modă astăzi, în România. Moda trece însă, dar necesitatea unor evaluări competente şi independente rămîne. Auditul trebuie să verifice dacă sunt întrunite condiţiile necesare pentru a se asigura echilibrul unei organizaţii, să instrumenteze stăpînirea dezordinii, adaptarea la schimbări şi să evalueze gradul de securitate şi riscurile pe care le poate întîmpina o firmă.

Dacă fac o trimitere la teoria sistemelor (n.b. mi s-a dat apă la moară la EUROCACS cînd Vernoon Poole a spus că este nevoie mai mult ca niciodată de “system thinking”), ne aducem aminte că există auto-monitorizare. Dacă ne referim la o organizaţie, controlul este considerat un proces ce include:

  • stabilirea obiectivelor organizaţiei, atît în ceea ce priveşte conduita angajaţilor, cît şi rezultatele financiare;
  • monitorizarea performanţelor şi cuantificarea acestora, în funcţie de conduita angajaţilor şi rezultatele obţinute;
  • compararea obiectivelor cu rezultatele obţinute şi identificarea diferenţelor;
  • identificarea motivelor neatingerii anumitor obiective;
  • recompensarea rezultatelor pozitive şi reducerea sau eliminarea situaţiilor care au condus la neatingerea unor obiective;
  • urmărirea îndeaproape a acţiunilor întreprinse pentru rezolvarea problemelor organizaţiei.

Dar teoria sistemelor nu e suficientă. Pentru că avem de a face şi cu o latură socio-culturală, controlul caută să ajungă la atingerea obiectivelor şi să minimizeze diferenţele dintre obiective şi rezultate prin recompensarea, instruirea şi socializarea angajaţilor. Ţinta controlului, în acest caz, o reprezintă atitudinea angajaţior, încurajarea modelelor comportamentale de valoare şi respectarea Standardelor/Normelor existente.

Trecînd de la teorie la practică, observăm că nici una din aceste abordări nu se aplică singular. Exercitarea controlului în orice organizaţie presupune o observare atentă a conduitei angajaţilor şi o evaluare corespunzătoare a rezultatelor obţinute. Pentru că avem de a face cu o egalitate foarte simplă:

 

GÎNDIRE+ACŢIUNE = REZULTATE + CONSECINŢE

 

Atît conduita anagajaţilor cît şi rezultatele organizaţiei, sunt de multe ori privite dintr-o perspectivă ierarhică:

  • planificarea strategică are loc la nivelul conducerii superioare şi vizează stabilirea obiectivelor organizaţiei şi a strategiilor prin care se vor atinge aceste obiective;
  • controlul managerial de la nivelul de mijloc are rolul de a verifica măsura în care planurile şi programele fiecărei componente organizaţionale sunt proiectate astfel încît să îndeplinească planurile strategice ale organizaţiei;
  • controlul operaţional verifică măsura în care sarcinile specifice fiecărei componente operaţionale sunt realizate eficient şi întocmai.

În standarde, ISACA structurează controalele pe 2 paliere principale, avînd la bază modelul COSO (S15 IT Controls ):

  • Controale generale – controalele care minimizează riscul funcţionării incorecte, în ansamblu, a sistemelor  IT din organizaţie şi a aplicaţiilor. Se regăsesc la nivelul proceselor şi serviciilor IT.
    • universal valabile -  concepute pentru a gestiona şi monitoriza mediul IT. Afectează toate activităţile IT conexe. (G11 Effect of Pervasive IS Controls.)
    • detaliate – vizează achiziţia, implementarea, furnizarea şi suportul serviciilor şi sistemelor informaţionale (a se vedea COBIT). Sînt un mix între controalele de la nivelul aplicaţiilor şi acele controale generale care nu sînt universal valabile
  • controale la nivelul aplicaţiilor – vizează completitudinea, acurateţea, existenţa şi autorizarea, prezentarea şi distribuirea informaţiilor. Se regăsesc la nivelul proceselor economice!

 

 

image

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.