GRC
description
Transcript of GRC
GRCGRC:Nadzór (Governance), zarządzanie
ryzykiem (Risk), zgodność (Compliance)
Coraz powszechniej używany skrót myślowy, który obejmuje te trzy obszary działalności przedsiębiorstwa
Te trzy obszary działalności przedsiębiorstwa są stopniowo coraz bardziej dopasowywane i integrowane w celu poprawy funkcjonowania przedsiębiorstwa i spełnienia oczekiwań interesariuszy.
Definicje GRCGRC:Nadzór—Sprawowanie władzy; mechanizmy
kontrolne; rządzenie; porządkowanie. Ryzyko (zarządzanie )—Zagrożenie;
niebezpieczeństwo; narażenie na straty, obrażenia lub zniszczenie (Czynność lub sztuka zarządzania; sposób postępowania, kierowania, działania lub wykorzystania w określonym celu; zachowanie; administrowanie; doradztwo; mechanizmy kontrolne).
Zgodność—Czynność przestrzegania zasad; uleganie: życzeniom, wymaganiom lub propozycjom; ustępstwo; podporządkowanie.
Rodzaje NadzoruIstnieją różne rodzaje nadzoru:
Nadzór korporacyjnyNadzór nad projektemNadzór nad technologiami
informatycznymiNadzór nad środowiskiemNadzór ekonomiczny i finansowy
Każdy rodzaj nadzoru ma jeden lub więcej zbiorów wytycznych, podobne cele ale często różne warunki i techniki używane do ich realizacji.
Wdrażanie nadzoruIntegracja wdrażanych działań GCR
w organizacji wymaga systemowego podejścia dla osiągania celów biznesowych interesariuszy.
Takie podejście jest zazwyczaj oparte na różnych czynnikach umożliwiających (np. zasadach, politykach, modelach, metodykach, strukturach organizacyjnych).
ORGANIZUJ
OCENIAJ
WYKRYWAJ
MIERZ
REAGUJ DZIAŁAJ
Wzbogacaj kulturę organizacji
8 UNIWERSALNYCH WYNIKÓW8 ZINTEGROWANYCH SKŁADNIKÓW
KONTEKST
INTERAKCJA
Osiągaj cele biznesowe
Zwiększaj zaufanie interesariuszy
Przygotuj i chroń organizację
Zapobiegaj, wykrywaj, ograniczaj przeciwności
Motywuj i inspiruj pożądane zachowanie
Ulepszaj reakcję i wydajność
Optymalizuj wartość ekonomiczną i społeczną
Przykład modelu GRCNa podstawie "OCEG Red Book
GRC Capability Model" wersja 2.1
Ład Korporacyjny w ITISO/IEC 38500: 2008
Ład Korporacyjny w Technologiach Informatycznych
1.1 ZakresNorma dostarcza wytyczne dla dyrektorów organizacji
(uwzględniając właścicieli, członków zarządu, dyrektorów, partnerów, wyższe kadry kierownicze itp.) jak skutecznie, wydajnie i w stopniu akceptowalnym wykorzystywać technologie informatyczne w ramach danej organizacji.
Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.
Ład Korporacyjny w ITISO/IEC 38500: 2008
Ład Korporacyjny w Technologiach Informatycznych
2.1 Zasady2.1.1 Zasada 1: Odpowiedzialność2.1.2 Zasada 2: Strategia2.1.3 Zasada 3: Pozyskiwanie2.1.4 Zasada 4: Sprawność2.1.5 Zasada 5: Zgodność2.1.6 Zasada 6: Czynnik ludzki
Ład Korporacyjny w ITISO/IEC 38500: 2008
Ład Korporacyjny w Technologiach Informatycznych
2.2 ModelDyrektorzy powinni nadzorować IT realizując trzy główne zadania:a) Szacowanie bieżącego i przyszłego wykorzystania IT.b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu
zapewnienia zgodności wykorzystania IT z celami biznesowymi.c) Monitorowanie zgodności z politykami i wykonania planów.Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania
decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.
Ład Korporacyjny w IT(cd.)
ISO/IEC 38500: 2008
Ład Korporacyjny w Technologiach Informatycznych
2.2 Model
Dyrektorzy powinni nadzorować IT realizując trzy główne zadania:a) Szacowanie bieżącego i przyszłego wykorzystania IT.b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu zapewnienia zgodności wykorzystania IT z celami biznesowymi.c) Monitorowanie zgodności z politykami i wykonania planów.
ISACA i COBITISACA aktywnie promuje badania, które
prowadzą do rozwoju produktów istotnych i użytecznych dla profesjonalistów zajmujących się nadzorem, zarządzaniem ryzykiem, audytem i bezpieczeństwem IT.
ISACA opracowała i utrzymuje uznaną na całym świecie metodykę COBIT, która pomaga specjalistom IT i kierownictwu organizacji w wypełnieniu obowiązków związanych z nadzorem nad IT jednocześnie dostarczając wartość dla biznesu.