Az ”irányítási képességfelmérés" (Governance SPICE) [5] kifejezés az irányítás, kockázatkezelés és belső kontrollrendszer felmérésére utal és az alábbi szakmai koncepciókra, elképzelésekre, illetve fogalmakra épül:
- Vállalatirányítási elvek (OECD)
- Elismert kontroll keretrendszerek (COSO, COBIT, Enterprise SPICE, stb.)
- Kockázati tolerancia (Risk Tolerance) és kockázatviselési szint (Risk Appetite) (COSO ERM szerint)
- Teljesítménymérés (COBIT szerint)
- Folyamatképesség-felmérés (ISO/IEC 15504-2:2003)
- Folyamathoz kapcsolódó kockázat értékelése (ISO/IEC 15504-4:2004)
- Szervezeti érettség (ISO/IEC TR 15504-7:2008)
Az “Irányítási Képesség” egy folyamat arra vonatkozó képességének - a COSO célkitűzés-kategóriákra épülő - jellemzése, hogy mennyire felel meg az aktuális vagy tervezett üzleti céloknak:
2. sz. ábra: Irányítási képességszintek alkalmazása
A belső és külső ellenőrzési szabványok (ld. IIA és ISA normák) a létező belső kontrollok rendszer alapú értékelését írják elő olyan nemzetközileg elismert kontroll keretrendszerek szerint, mint a COSO (Internal Control – Integrated Framework) és a COBIT (Control Objectives for Information and related Technology). Ezen keretrendszerek folyamat-leírásai alkalmasak az ISO/IEC 15504-2 szabvány követelményeinek megfelelő folyamat referenciamodellek (Process Reference Model) felállítására.
A 3. sz. ábra bemutatja azt az általános koncepciót, hogy az ISO/IEC 15504 szabvány szerinti képességfelmérés miként alkalmazható a legismertebb kontroll keretrendszereket - mint pl. a COSO-t és a COBIT-ot - megvalósító irányítási rendszerek felmérésére. A bemutatott 3 dimenzió a COSO vállalati kockázatkezelési és belső kontroll modellekből származik:
- Üzleti folyamatok és tevékenységek vezetői felügyelete és kontrollja
- A belső kontrollrendszer kialakítását és működtetését támogató irányítási folyamatok
- A szervezeti és működési célok megvalósulását mérő célkitűzés-kategóriák
3. sz. ábra: Irányítási Képesség-felmérési Modell (Governance SPICE)
A COSO és COBIT alapú folyamat-referenciamodellek és az ISO/IEC 15504-2 szabvány által meghatározott folyamatattribútumok - az egységes értékelési skála alkalmazásával - közös alapul szolgálnak a belső kontrollok irányítási képességének felméréséhez és jelentéséhez. Az ISO/IEC 15504 szabvány nemcsak átlátható módszert kínál a vállalkozás számára releváns irányítási folyamatok végrehajtásának felméréséhez, hanem eszköz nyújt a cél- és felmért képességi profilok eltérései alapján a kontrollkockázati területek meghatározásához is.
Kapcsolódó cikk: A vállalatirányítási képesség a kockázatkezelés vonatkozásában