Les contrôles sont des implémentations spécifiques d’un objectif de contrôle. Les contrôles mis hors service n’apparaissent pas dans la liste. Avant de définir des contrôles, prenez le temps de rationaliser, consolider et définir les contrôles importants dans votre organisation.
Rationaliser vos contrôles
Si vous chargez tous vos contrôles en bloc, vous manquez l’occasion d’affiner et de rationaliser votre ensemble de contrôles. Au fur et à mesure que votre entreprise évolue et que vos données informatiques, vos processus et votre technologie s’améliorent, remplacez les contrôles et procédures obsolètes lorsque vous implémentez votre GRC application. Considérez ce qui suit :
Comment ce contrôle affecte-t-il mon objectif business ?
Ce contrôle prévient-il ou détecte-t-il réellement le risque ?
Y a-t-il un autre contrôle que vous pouvez placer pour mieux protéger votre entreprise ?
Y a-t-il un contrôle que vous pouvez mettre en place pour réduire les frais généraux des processus et améliorer les performances informatiques tout en atténuant les risques ?
Un contrôle compliqué peut-il être remplacé par un contrôle plus simple et plus efficace ?
Remarque :
Lorsque vous définissez des contrôles manuellement ou lorsque vous les importez à partir d’Unified Compliance Framework (UCF), une entité est associée aux contrôles. Il s’agit d’un champ obligatoire du formulaire de contrôle. Toutefois, si vous importez des contrôles à partir d’une source autre que l’UCF, vous risquez de rencontrer des contrôles qui n’ont pas d’entités associées. Il est important que vous reveniez au formulaire Contrôle et que vous ajoutiez une entité au contrôle. Les entités manquantes peuvent entraîner des résultats peu fiables dans les calculs. En outre, si vous rencontrez un contrôle avec une entité qui a été désactivée, le contrôle doit être mis hors service.
Consolidez vos contrôles
Recherchez des opportunités de consolidation des contrôles. Recherchez des contrôles communs et répétés entre plusieurs autorités réglementaires de cadres (par exemple, SOX, GLBA et AML). Évitez d’utiliser une seule commande plusieurs fois pour chaque régulation, en croisant les contrôles et en éliminant les contrôles redondants. Ce processus établit un seul ensemble consolidé de contrôles = cadre de contrôle, l’exécution et la préservation du mappage croisé des contrôles sont essentielles pour les audits.Figure 1. Les réglementations et les exigences du secteur se chevauchent
Définir des contrôles et des règles métier
Les règles métier que vous définissez en amont établissent les paramètres de GRC configuration ultérieurement. Soyez prêt à :
Identifier les contrôles et les propriétaires de contrôle
Définir les tests de contrôle et les résultats attendus
Établir des fréquences de test et de contrôle
Identifier les risques : impact et probabilité
Préparer les attestations, les évaluations, les questionnaires et les preuves requises
Composer les cas d’utilisation probables (qui a besoin d’interagir ou d’afficher le GRC contenu du système et à quelles fins)
Mappez les sources d’autorité aux politiques, aux procédures, aux contrôles et aux risques
