Kontrollen sind spezifische Implementierungen eines Kontrollziels. Außer Kraft gesetzte Steuerungen werden nicht in der Liste angezeigt. Bevor Sie Steuerungen definieren, nehmen Sie sich Zeit, um die wichtigen Steuerungen in Ihrer Organisation zu rationalisieren, zu konsolidieren und zu definieren.
Rationalisieren Sie Ihre Kontrollen
Wenn Sie alle Ihre Steuerungen per Massenvorgang hochladen, verpassen Sie die Möglichkeit, Ihren Steuerungssatz zu verfeinern und zu optimieren. Wenn sich Ihr Geschäft ändert und sich Ihre IT-Daten, -Prozesse und -Technologie verbessern, ersetzen Sie veraltete Steuerungen und Verfahren, wenn Sie Ihre GRC -Anwendung implementieren. Berücksichtigen Sie Folgendes:
Wie wirkt sich diese Kontrolle auf mein Geschäftsziel aus?
Verhindert oder erkennt diese Kontrolle tatsächlich Risiken?
Gibt es eine andere Kontrolle, die Sie platzieren können, um Ihr Unternehmen besser zu schützen?
Gibt es eine Kontrolle, die Sie einrichten können, um den Prozess-Overhead zu reduzieren, die IT-Leistung zu verbessern und gleichzeitig das Risiko zu minimieren?
Kann eine komplizierte Steuerung durch eine einfachere, effektivere Steuerung ersetzt werden?
Hinweis:
Wenn Sie Steuerungen manuell definieren oder aus dem Unified Compliance Framework (UCF) importieren, wird den Steuerungen eine Entität zugeordnet. Dies ist ein Pflichtfeld im Steuerungsformular. Wenn Sie jedoch Steuerungen aus einer anderen Quelle als UCF importieren, können Steuerungen auftreten, denen keine Entitäten zugeordnet sind. Es ist wichtig, dass Sie zum Kontrollformular zurückkehren und der Kontrolle eine Entität hinzufügen. Fehlende Entitäten können zu unzuverlässigen Ergebnissen bei Berechnungen führen. Wenn Sie ein Steuerelement mit einer deaktivierten Entität finden, sollte das Steuerelement außer Kraft gesetzt werden.
Konsolidieren Sie Ihre Steuerungen
Suchen Sie nach Möglichkeiten, um Steuerungen zu konsolidieren. Suchen Sie nach allgemeinen, wiederholten Kontrollen für mehrere Aufsichtsbehörden von Frameworks (z. B. SOX, GLBA und AML). Vermeiden Sie es, eine einzelne Steuerung für jede Vorschrift mehrmals auszuführen, indem Sie Steuerungen übergreifenden zuordnen und die redundanten Steuerungen eliminieren. Dieser Prozess erstellt einen einzigen konsolidierten Satz von Steuerungen = Kontroll-Framework. Die Durchführung und Beibehaltung der übergreifenden Zuordnung von Steuerungen ist für Audits von entscheidender Bedeutung.Abbildung : 1. Branchenvorschriften und -anforderungen überschneiden sich
Definieren von Steuerungen und Geschäftsregeln
Die Business Rules, die Sie im Voraus definieren, legen die Konfigurationseinstellungen GRC später fest. Seien Sie bereit für:
Identifizieren Sie Steuerungen und Steuerungsbesitzer
Definieren Sie Kontrolltests und erwartete Ergebnisse
Legen Sie Test- und Kontrollhäufigkeiten fest
Risiken identifizieren: Auswirkung und Wahrscheinlichkeit
Bereiten Sie Nachweise, Bewertungen, Fragebögen und erforderliche Nachweise vor
Verfassen wahrscheinlicher Anwendungsfälle (wer muss mit dem GRC -System interagieren oder dessen Inhalte anzeigen und zu welchen Zwecken)?
Ordnen Sie autoritative Quellen Richtlinien, Verfahren, Kontrollen und Risiken zu
