Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

Risk Mitigation
109
the approach to control testing should be proportionate, with more frequent
assessments for higher risks or unstable risk environments.
■
Scope and sample size: the scope of testing and the size of the sample tested are
important, yet it can be difficult to find the right balance. The reliability of the
results must be judged in relation to the time and effort committed to testing. Over
the years, I have seen control effectiveness undermined by numerous operational
incidents resulting from insufficient sampling or biased sample tests.
Assessment results for controls are usually rated on a 2-, 3- or 4-point scale,
depending on the firm. Controls are usually assessed for design and effectiveness. Con-
trol effectiveness relates to their application, while design focuses on how well they
have been conceived and how fit they are for purpose. Control design is particularly
important and is presented in the next section.
B e w a r e o f P o o r C o n t r o l D e s i g n
Experience shows that many controls in firms are ineffective by design. This leads
at best to a waste of resources and at worst to a false sense of security in vulnerable
environments. There are three common types of poor controls:
■
Optimistic controls
: these require either exceptional ability or exceptional motiva-
tion from the controller to be effective. Because they are cursory rather than thor-
ough, they are often referred to as “tick-box” controls. One example is sign-offs
for large volumes of documents just before a deadline.
■
Duplicative controls
: “four-eyes check” is the most common form of duplicative
control. Though widespread, having more than one person check the same infor-
mation can dilute accountability. Also, because too much trust may be placed in
collective control, individual attention and focus may be less rigorous, increas-
ing the overall risk. Four-eyes checks are more effective when carried out by a
manager and a subordinate, or by people from different departments, and more
generally when accountability is clearly attributed to those performing the tasks.
■
More of the same
: this means responding to a control failure by adding a control of
the same design, even though the previous one has failed. Two real-case examples
clearly illustrate the flaws of this approach:
■
A firm sent the wrong mailing to a group of clients, due to failure of the four-eyes
check between the mailing third-party supplier and the firm. In response to the
incident, management added a third person to the process control, turning the
four-eyes into six-eyes. Unsurprisingly, the process failed again and the inci-
dent reoccurred. Adding a third person simply diluted the accountability and
weakened the process even further.
■
A firm with sensitive customer information built a strict process for third-party
onboarding. But the process was so cumbersome that employees tended to

110
RISK MITIGATION
bypass it to onboard suppliers more quickly. In response, the firm made the
onboarding process even more stringent, further encouraging employees to
bypass it. As a result, large volumes of the firm’s client data ended up being
held by a third party without a proper, enforceable, third-party contract.
More controls do not necessarily mean less risk. Poor control design can increase
the vulnerability of a process to various risks. Conversely, proper process design
reduces inherent risk by the simple fact of organizing tasks properly, without the need
to add controls. In the field of health and safety, the concept of “prevention through
design” (PtD) focuses on minimizing occupational hazards early in the design process.
The next section explores the more general issue of preventing non-financial risks by
using better design of processes.
P R E V E N T I O N T H R O U G H D E S I G N
“We cannot change the human condition, but we can change the conditions
under which humans work.”

Download 5,45 Mb.

Do'stlaringiz bilan baham: