Les contrôles sont des implémentations spécifiques d’un objectif de contrôle. Les contrôles mis hors service n’apparaissent pas dans la liste. Avant de définir des contrôles, prenez le temps de rationaliser, consolider et définir les contrôles importants dans votre organisation.
Rationalisez vos contrôles
Si vous chargez tous vos contrôles en bloc, vous manquez l’occasion d’affiner et de rationaliser votre ensemble de contrôles. Au fur et à mesure que votre entreprise évolue et que vos données, processus et technologies informatiques s’améliorent, remplacez les contrôles et procédures obsolètes lorsque vous implémentez votre GRC application. Tenez compte des éléments suivants :
Comment ce contrôle affecte-t-il mon objectif business ?
Ce contrôle prévient-il ou détecte-t-il réellement le risque ?
Y a-t-il un contrôle différent que vous pouvez mettre en place pour mieux protéger votre entreprise ?
Existe-t-il un contrôle que vous pouvez mettre en place pour réduire les frais généraux des processus et améliorer les performances informatiques tout en atténuant les risques ?
Un contrôle compliqué peut-il être remplacé par un contrôle plus simple et plus efficace ?
Remarque :
Lorsque vous définissez manuellement des contrôles ou lorsque vous les importez à partir d’Unified Compliance Framework (UCF), une entité est associée aux contrôles. Il s’agit d’un champ obligatoire du formulaire de contrôle. Toutefois, si vous importez des contrôles à partir d’une source autre que UCF, vous pouvez rencontrer des contrôles qui n’ont pas d’entités associées. Il est important que vous retourniez au formulaire Contrôle et ajoutiez une entité au contrôle. Les entités manquantes peuvent entraîner des résultats peu fiables dans les calculs. En outre, si vous rencontrez un contrôle avec une entité qui a été désactivée, le contrôle doit être mis hors service.
Consolidez vos contrôles
Rechercher des opportunités de consolidation des contrôles. Recherchez des contrôles communs et répétés entre plusieurs autorités de réglementation des cadres (par exemple, SOX, GLBA et AML). Évitez d’utiliser une seule commande plusieurs fois pour chaque régulation, en croisant les contrôles et en éliminant les contrôles redondants. Ce processus établit un ensemble consolidé unique de contrôles = cadre de contrôle, l’exécution et la préservation de la cartographie croisée des contrôles sont essentielles pour les audits.Figure 1. Chevauchement des réglementations et des exigences de l’industrie
Définir les contrôles et les règles métier
Les règles métier que vous définissez en amont établissent les paramètres de GRC configuration ultérieurement. Préparez-vous à :
Identifier les contrôles et les propriétaires de contrôle
Définir les tests de contrôle et les résultats attendus
Établir les fréquences d’essai et de contrôle
Identifier les risques : impact et probabilité
Préparer des attestations, des évaluations, des questionnaires et les preuves requises
Composer des cas d’utilisation probables (qui a besoin d’interagir avec le contenu du système ou de l’afficher GRC et à quelles fins)
Mappez les sources faisant autorité aux politiques, aux procédures, aux contrôles et aux risques
