Steuerungen sind spezifische Implementierungen eines Kontrollziels. Außer Kraft gesetzte Steuerungen werden nicht in der Liste angezeigt. Nehmen Sie sich vor der Definition von Steuerungen Zeit, um die wichtigen Steuerungen in Ihrer Organisation zu rationalisieren, zu konsolidieren und zu definieren.
Optimieren Sie Ihre Steuerungen
Wenn Sie alle Ihre Steuerungen in einem Massenvorgang hochladen, verpassen Sie die Möglichkeit, Ihre Steuerungen zu verfeinern und zu optimieren. Wenn sich Ihr Geschäft ändert und Ihre IT-Daten, -Prozesse und -Technologien besser werden, ersetzen Sie veraltete Steuerungen und Verfahren, wenn Sie Ihre Anwendung GRC implementieren. Berücksichtigen Sie Folgendes:
Wie wirkt sich diese Kontrolle auf mein Geschäftsziel aus?
Verhindert oder erkennt diese Kontrolle tatsächlich Risiken?
Gibt es eine andere Kontrolle, die Sie platzieren können, um Ihr Unternehmen besser zu schützen?
Gibt es eine Kontrolle, die den Prozessaufwand reduziert, die IT-Leistung verbessert und gleichzeitig das Risiko mindert?
Kann ein komplexes Steuerelement durch ein einfacheres, effektiveres Steuerelement ersetzt werden?
Hinweis:
Wenn Sie Steuerungen manuell definieren oder wenn Sie sie aus dem Unified Compliance Framework (UCF) importieren, wird den Steuerungen eine Entität zugeordnet. Es handelt sich um ein Pflichtfeld im Steuerungsformular. Wenn Sie jedoch Steuerungen aus einer anderen Quelle als UCF importieren, können Sie auf Steuerungen stoßen, denen keine Entitäten zugeordnet sind. Es ist wichtig, dass Sie zum Formular „Steuerung“ zurückkehren und der Steuerung eine Entität hinzufügen. Fehlende Entitäten können bei Berechnungen zu unzuverlässigen Ergebnissen führen. Wenn Sie ein Steuerelement mit einer deaktivierten Entität finden, sollte das Steuerelement deaktiviert werden.
Konsolidieren Sie Ihre Steuerungen
Suchen Sie nach Möglichkeiten, Steuerungen zu konsolidieren. Suchen Sie nach allgemeinen, wiederholten Kontrollen über mehrere Regulierungsbehörden von Frameworks (z. B. SOX und GLBA und AML). Vermeiden Sie es, ein einzelnes Steuerelement für jede Verordnung mehrmals zu verwenden, indem Sie Steuerelemente übergreifenden zuordnen und die redundanten Steuerelemente eliminieren. Dieser Prozess erstellt einen einzigen konsolidierten Satz von Steuerungen = Steuerungs-Framework. Die Durchführung und Beibehaltung der übergreifenden Zuordnung von Steuerungen ist für Audits von entscheidender Bedeutung.Abbildung : 1. Branchenvorschriften und Anforderungen überschneiden sich
Steuerungen und Geschäftsregeln definieren
Die Geschäftsregeln, die Sie vorab definieren, legen später die Konfigurationseinstellungen für GRC fest. Vorbereitung auf:
Identifizieren Sie Steuerungen und Steuerungsbesitzer
Definieren Sie Kontrolltests und erwartete Ergebnisse
Legen Sie Test- und Kontrollhäufigkeiten fest
Risiken identifizieren: Auswirkungen und Wahrscheinlichkeit
Bereiten Sie Bestätigungen, Bewertungen, Fragebogen und erforderliche Nachweise vor
Wahrscheinliche Anwendungsfälle verfassen (wer muss mit dem System [] interagieren oder den Inhalt des GRC -Systems zu welchen Zwecken anzeigen)
Ordnen Sie autoritative Quellen Richtlinien, Verfahren, Steuerungen und Risiken zu
