110 likes | 289 Views
GRC. GRC. GRC: Nadzór ( G overnance) , zarządz a nie ryzykiem ( R isk) , zgodność ( C ompliance) Coraz powszechniej używany skrót myślowy, który obejmuje te trzy obszary działalności przedsiębiorstwa
E N D
GRC GRC: • Nadzór (Governance), zarządzanie ryzykiem (Risk), zgodność (Compliance) • Coraz powszechniej używany skrót myślowy, który obejmuje te trzy obszary działalności przedsiębiorstwa • Te trzy obszary działalności przedsiębiorstwa są stopniowo coraz bardziej dopasowywane i integrowane w celu poprawy funkcjonowania przedsiębiorstwa i spełnienia oczekiwań interesariuszy.
Definicje GRC GRC: • Nadzór—Sprawowanie władzy; mechanizmy kontrolne; rządzenie; porządkowanie. • Ryzyko (zarządzanie )—Zagrożenie; niebezpieczeństwo; narażenie na straty, obrażenia lub zniszczenie (Czynność lub sztuka zarządzania; sposób postępowania, kierowania, działania lub wykorzystania w określonym celu; zachowanie; administrowanie; doradztwo; mechanizmy kontrolne). • Zgodność—Czynność przestrzegania zasad; uleganie: życzeniom, wymaganiom lub propozycjom; ustępstwo; podporządkowanie.
Rodzaje Nadzoru • Istnieją różne rodzaje nadzoru: • Nadzór korporacyjny • Nadzór nad projektem • Nadzór nad technologiami informatycznymi • Nadzór nad środowiskiem • Nadzór ekonomiczny i finansowy • Każdy rodzaj nadzoru ma jeden lub więcej zbiorów wytycznych, podobne cele ale często różne warunki i techniki używane do ich realizacji.
Wdrażanie nadzoru • Integracja wdrażanych działań GCR w organizacji wymaga systemowego podejścia dla osiągania celów biznesowych interesariuszy. • Takie podejście jest zazwyczaj oparte na różnych czynnikach umożliwiających (np. zasadach, politykach, modelach, metodykach, strukturach organizacyjnych).
Przykład modelu GRC • Na podstawie "OCEG Red Book GRC Capability Model" wersja 2.1 8 ZINTEGROWANYCH SKŁADNIKÓW 8 UNIWERSALNYCH WYNIKÓW Osiągaj cele biznesowe KONTEKST ORGANIZUJ Wzbogacaj kulturę organizacji Zwiększaj zaufanie interesariuszy OCENIAJ MIERZ Przygotuj i chroń organizację INTERAKCJA Zapobiegaj, wykrywaj, ograniczaj przeciwności REAGUJ DZIAŁAJ Motywuj i inspiruj pożądane zachowanie WYKRYWAJ Ulepszaj reakcję i wydajność Optymalizuj wartość ekonomiczną i społeczną
Ład Korporacyjny w IT • ISO/IEC 38500: 2008 • Ład Korporacyjny w Technologiach Informatycznych • 1.1 Zakres • Norma dostarcza wytyczne dla dyrektorów organizacji (uwzględniając właścicieli, członków zarządu, dyrektorów, partnerów, wyższe kadry kierownicze itp.) jak skutecznie, wydajnie i w stopniu akceptowalnym wykorzystywać technologie informatyczne w ramach danej organizacji. • Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.
Ład Korporacyjny w IT • ISO/IEC 38500: 2008 • Ład Korporacyjny w Technologiach Informatycznych • 2.1 Zasady • 2.1.1 Zasada 1: Odpowiedzialność • 2.1.2 Zasada 2: Strategia • 2.1.3 Zasada 3: Pozyskiwanie • 2.1.4 Zasada 4: Sprawność • 2.1.5 Zasada 5: Zgodność • 2.1.6 Zasada 6: Czynnik ludzki
Ład Korporacyjny w IT • ISO/IEC 38500: 2008 • Ład Korporacyjny w Technologiach Informatycznych • 2.2 Model • Dyrektorzy powinni nadzorować IT realizując trzy główne zadania: • a) Szacowanie bieżącego i przyszłego wykorzystania IT. • b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu zapewnienia zgodności wykorzystania IT z celami biznesowymi. • c) Monitorowanie zgodności z politykami i wykonania planów. • Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.
Ład Korporacyjny w IT(cd.) ISO/IEC 38500: 2008 Ład Korporacyjny w Technologiach Informatycznych 2.2 Model Dyrektorzy powinni nadzorować IT realizując trzy główne zadania: a) Szacowanie bieżącego i przyszłego wykorzystania IT. b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu zapewnienia zgodności wykorzystania IT z celami biznesowymi. c) Monitorowanie zgodności z politykami i wykonania planów.
ISACA i COBIT • ISACA aktywnie promuje badania, które prowadzą do rozwoju produktów istotnych i użytecznych dla profesjonalistów zajmujących się nadzorem, zarządzaniem ryzykiem, audytem i bezpieczeństwem IT. • ISACA opracowała i utrzymuje uznaną na całym świecie metodykę COBIT, która pomaga specjalistom IT i kierownictwu organizacji w wypełnieniu obowiązków związanych z nadzorem nad IT jednocześnie dostarczając wartość dla biznesu.