Richtlinien stellen die Compliance sicher und reduzieren das Risiko. Eine Richtlinie kann von jedem Typ sein – es kann sich um eine Richtlinie, ein Verfahren, einen Standard, einen Plan, eine Prüfliste, ein Framework oder eine Vorlage handeln. Die Veröffentlichung einer Richtlinie erfolgt innerhalb des Genehmigungsprozesses.

Wenn Sie eine Richtlinie erstellen, befindet sie sich im Status Entwurf, und alle erforderlichen Informationen über die Richtlinie werden definiert und im Datensatz erfasst. Die erforderlichen Informationen, die Sie erfassen, sind die Attribute, die den Prozess-Flow der Richtlinie bestimmen.

Der Lebenszyklus eines Richtliniendatensatzes durchläuft verschiedene Status. Dies dient dazu, zu verstehen, wo sich der Datensatz derzeit befindet, und seinen Fortschritt anzuzeigen. Jeder Status hat einen bestimmten Satz zugehöriger Aktivitäten, bevor er in den nächsten Status verschoben wird. Eine Richtlinie kann bei Bedarf auch in den vorherigen Status verschoben werden, der entsprechend dem aktuellen Status konfiguriert und identifiziert wird.

Entwurf

Ein Compliance-Administrator, ein Compliance-Manager oder ein Compliance-Benutzer kann eine Richtlinie erstellen und die zugehörigen Informationen definieren und erfassen. In diesem Entwurfsstatus werden Prüfer identifiziert, die die Richtlinie im Überprüfungsstatus bearbeiten können, und Genehmiger, die die Richtlinie genehmigen können. Bereits vorhandene Kontrollziele können der Richtlinie hinzugefügt oder neue erstellt werden. Jede Richtlinie hat einen Gültig bis-Zeitraum, innerhalb dessen sie aktualisiert, überprüft, erneut veröffentlicht oder außer Kraft gesetzt wird. In diesem Status stehen Ihnen die Aktionen Aktualisieren, Bereit für Überprüfung und Löschen zur Verfügung.

Prüfung

Nur die Richtlinienüberprüfer können die Richtlinie in diesem Status aktualisieren, um sicherzustellen, dass sie alle gesetzlichen Anforderungen erfüllt. Sie überprüfen die Kontrollziele, die zugehörigen Entitäten, Kontrollen und Bezugsvermerke und fügen zusätzliche Informationen hinzu, entfernen unnötige Zuordnungen oder erstellen neue Kontrollziele. Der Prüfer kann die Richtlinie zurück in den Status „Entwurf“ verschieben, wenn die Richtlinie die Anforderungen nicht erfüllt oder weitere Details erforderlich sind. Der Prüfer kann auch Genehmigung für die Richtlinie anfordern oder Löschen, wenn sie nicht mehr benötigt wird.

Warte auf Freigabe

Wenn der Richtlinie ein Richtliniengenehmiger zugewiesen ist, wird die Richtlinie in den Status Genehmigung ausstehend verschoben. Andernfalls wird er in den Status „Veröffentlicht“ versetzt. In diesem Status kann der Genehmiger auch die Richtlinie löschen. Im Status Genehmigung ausstehend wird eine Richtliniengenehmigungsaufgabe erstellt und dem Genehmiger zugewiesen. Die Aufgabe befindet sich im Status „Angefordert“, und der Genehmiger kann sie in einen der folgenden Status ändern:

• Angefordert
• Genehmigt
• Abgelehnt
• Storniert
• Nicht mehr erforderlich

Veröffentlicht

Wenn die Richtlinie in den Status Veröffentlicht verschoben wird, generiert das System automatisch einen Knowledge Base-Artikel. Die Richtlinie wird durch die Steuerungen, die der Richtlinie zugeordnet sind, zu einem Mandat für alle Benutzer, die Richtlinien und Anforderungen zu befolgen. In diesem Status kann die Richtlinie auch „Zurück zur Überprüfung“, „Deaktiviert“ oder „Gelöscht“ gesendet werden.

Deaktiviert

Eine Richtlinie kann außer Kraft gesetzt werden, wenn sie nicht mehr benötigt wird oder wenn sie nicht mehr einem Geschäftszweck dient. Der erstellte Knowledge Base-Artikel wird entfernt, die Richtlinie bleibt jedoch zu Auditzwecken im Status „Deaktiviert“. Wenn die Richtlinie erneut benötigt wird, kann sie an die Phase „Entwurf“ zurückgesendet werden, und der Lebenszyklus der Richtlinie beginnt erneut.