GRC

GRC GRC: Nadzór (Governance), zarządzanie ryzykiem (Risk), zgodność (Compliance) Coraz powszechniej używany skrót myślowy, który obejmuje te trzy obszary działalności przedsiębiorstwa Te trzy obszary działalności przedsiębiorstwa są stopniowo coraz bardziej dopasowywane i integrowane w celu poprawy funkcjonowania przedsiębiorstwa i spełnienia oczekiwań interesariuszy.

Definicje GRC GRC: Nadzór—Sprawowanie władzy; mechanizmy kontrolne; rządzenie; porządkowanie. Ryzyko (zarządzanie )—Zagrożenie; niebezpieczeństwo; narażenie na straty, obrażenia lub zniszczenie (Czynność lub sztuka zarządzania; sposób postępowania, kierowania, działania lub wykorzystania w określonym celu; zachowanie; administrowanie; doradztwo; mechanizmy kontrolne). Zgodność—Czynność przestrzegania zasad; uleganie: życzeniom, wymaganiom lub propozycjom; ustępstwo; podporządkowanie.

Rodzaje Nadzoru Istnieją różne rodzaje nadzoru: Nadzór korporacyjny Nadzór nad projektem Nadzór nad technologiami informatycznymi Nadzór nad środowiskiem Nadzór ekonomiczny i finansowy Każdy rodzaj nadzoru ma jeden lub więcej zbiorów wytycznych, podobne cele ale często różne warunki i techniki używane do ich realizacji.

Wdrażanie nadzoru Integracja wdrażanych działań GCR w organizacji wymaga systemowego podejścia dla osiągania celów biznesowych interesariuszy. Takie podejście jest zazwyczaj oparte na różnych czynnikach umożliwiających (np. zasadach, politykach, modelach, metodykach, strukturach organizacyjnych).

8 ZINTEGROWANYCH SKŁADNIKÓW 8 UNIWERSALNYCH WYNIKÓW Przykład modelu GRC Na podstawie "OCEG Red Book GRC Capability Model" wersja 2.1 8 ZINTEGROWANYCH SKŁADNIKÓW 8 UNIWERSALNYCH WYNIKÓW KONTEKST Osiągaj cele biznesowe ORGANIZUJ Wzbogacaj kulturę organizacji Zwiększaj zaufanie interesariuszy MIERZ OCENIAJ Przygotuj i chroń organizację INTERAKCJA Zapobiegaj, wykrywaj, ograniczaj przeciwności REAGUJ DZIAŁAJ Motywuj i inspiruj pożądane zachowanie WYKRYWAJ Ulepszaj reakcję i wydajność Optymalizuj wartość ekonomiczną i społeczną

Ład Korporacyjny w IT Ład Korporacyjny w Technologiach Informatycznych ISO/IEC 38500: 2008 Ład Korporacyjny w Technologiach Informatycznych 1.1 Zakres Norma dostarcza wytyczne dla dyrektorów organizacji (uwzględniając właścicieli, członków zarządu, dyrektorów, partnerów, wyższe kadry kierownicze itp.) jak skutecznie, wydajnie i w stopniu akceptowalnym wykorzystywać technologie informatyczne w ramach danej organizacji. Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.

Ład Korporacyjny w IT Ład Korporacyjny w Technologiach Informatycznych ISO/IEC 38500: 2008 Ład Korporacyjny w Technologiach Informatycznych 2.1 Zasady 2.1.1 Zasada 1: Odpowiedzialność 2.1.2 Zasada 2: Strategia 2.1.3 Zasada 3: Pozyskiwanie 2.1.4 Zasada 4: Sprawność 2.1.5 Zasada 5: Zgodność 2.1.6 Zasada 6: Czynnik ludzki

Ład Korporacyjny w IT Ład Korporacyjny w Technologiach Informatycznych ISO/IEC 38500: 2008 Ład Korporacyjny w Technologiach Informatycznych 2.2 Model Dyrektorzy powinni nadzorować IT realizując trzy główne zadania: a) Szacowanie bieżącego i przyszłego wykorzystania IT. b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu zapewnienia zgodności wykorzystania IT z celami biznesowymi. c) Monitorowanie zgodności z politykami i wykonania planów. Norma dotyczy nadzoru nad procesami zarządzania (i podejmowania decyzji) związanymi z usługami informatycznymi i komunikacyjnymi używanymi przez organizację. Te procesy mogą być nadzorowane przez specjalistów IT w ramach organizacji lub zewnętrznych dostawców usług bądź przez działy biznesowe w ramach organizacji.

Ład Korporacyjny w IT(cd.) ISO/IEC 38500: 2008 Ład Korporacyjny w Technologiach Informatycznych 2.2 Model Dyrektorzy powinni nadzorować IT realizując trzy główne zadania: a) Szacowanie bieżącego i przyszłego wykorzystania IT. b) Bezpośrednie przygotowanie i wdrożenie planów i polityk w celu zapewnienia zgodności wykorzystania IT z celami biznesowymi. c) Monitorowanie zgodności z politykami i wykonania planów.

ISACA i COBIT ISACA aktywnie promuje badania, które prowadzą do rozwoju produktów istotnych i użytecznych dla profesjonalistów zajmujących się nadzorem, zarządzaniem ryzykiem, audytem i bezpieczeństwem IT. ISACA opracowała i utrzymuje uznaną na całym świecie metodykę COBIT, która pomaga specjalistom IT i kierownictwu organizacji w wypełnieniu obowiązków związanych z nadzorem nad IT jednocześnie dostarczając wartość dla biznesu.