Man kann sich GRC wie einen dreibeinigen Hocker vorstellen, bei dem Governance, Risiko und Compliance alle notwendig sind, um eine Organisation zu managen und zu leiten. Erfahren Sie mehr über diese drei Komponenten sowie über zusätzliche Disziplinen, die unter das Dach von GRC fallen.
Wofür steht GRC?
GRC steht für Governance, Risiko und Compliance. Lassen Sie uns unten jede Komponente genauer betrachten.
Governance
Governance sind die Regeln, Geschäftsprozesse und Richtlinien, die eine Organisation steuern, um ihren Zweck, ihre Mission, Vision und Werte zu erreichen, während sie Rechenschaftspflicht, Transparenz und ethisches Verhalten sicherstellen. Es beginnt mit der Führung und hilft, die Betriebs- und Verwaltungsabläufe, die Ethik, das Unternehmensrisikomanagement, die Compliance und mehr zu leiten.
Governance stellt sicher, dass die Interessen aller Stakeholder ausgeglichen sind, und gibt den Führungskräften einen Rahmen, der ihnen hilft, Entscheidungen zu treffen, die mit den Zielen der Organisation übereinstimmen und ihnen hilft, Cyberrisiken zu managen.
Wichtige Aktivitäten umfassen:
- Festlegung der Mission, Vision und Werte der Organisation
- Identifizierung und Festlegung von Grenzen, einschließlich Gesetzen, Vorschriften, Verträgen und Ethik
- Zuweisung der Entscheidungskompetenz
- Förderung einer Kultur der Rechenschaftspflicht und Integrität
- Aufbau einer Datenmanagement-Strategie
Risiko
Risiko bezieht sich auf die eher alltäglichen, technischen Prozesse, die eingerichtet sind, um Risiken zu mindern und zu überwachen.
Wichtige Aktivitäten umfassen:
- Einführung von Key Risk Indicators (KRIs)
- Durchführung von Risikoanalysen und internen Audits
- Minderung, Behebung und/oder andere risikobasierte Entscheidungen treffen
- Management von Risiken mit Drittanbietern und Lieferanten
Compliance
Compliance sind die Schritte, die ein Unternehmen unternimmt, um Standards und Vorschriften zu erfüllen, um sicher und legal zu arbeiten. Dazu gehört die erforderliche Sorgfalt bei Cybersicherheitsrahmen wie SOC 2® und ISO 27001, Datenschutzgesetze wie GDPR und HIPAA sowie Branchenanforderungen wie PCI DSS.
Wichtige Aktivitäten umfassen:
- Identifizierung aller anwendbaren Gesetze, Vorschriften und Standards basierend auf Compliance-Risiken
- Implementierung von Kontrollen und Verfahren, um wirksam mit Gesetzen, Vorschriften und Standards zu konformieren
- Verfolgung von Änderungen der Gesetze, Vorschriften und Standards, die ihre Branche, ihr Land und ihre Kunden betreffen
- Einrichtung eines Prozesses für kontinuierliche Überwachung
Empfohlene Lektüre
6 Vorteile der kontinuierlichen Überwachung für die Cybersicherheit
Read MoreAndere GRC-Komponenten
Die Open Compliance and Ethics Group (OCEG), die das GRC-Konzept erstmals entwickelte, hat das GRC-Fähigkeitsmodell erstellt. Dieses Modell, das allgemein als OCEG Red Book bezeichnet wird, dokumentiert GRC-Best Practices basierend auf einer Studie von mehr als 250 Organisationen und Erkenntnissen eines Panels von mehr als 100 Experten.
Die neueste Version (Das GRC-Fähigkeitsmodell 3.5) erklärt, dass GRC zwar Governance, Risiko und Compliance bedeutet, aber mehrere andere Disziplinen umfasst. Einige dieser Disziplinen sind mit jeder der drei Komponenten gekoppelt.
Die unten aufgeführten Disziplinen fallen alle laut diesem Modell unter das Dach von GRC:
- Governance + Aufsicht: Diese Disziplin ist verantwortlich für die Führung der Organisation zur Erreichung ihres Zwecks, ihrer Mission, Vision und Werte. Wahrscheinlich wird sie vom Vorstand und/oder einem Aufsichtskomitee geleitet.
- Strategie + Leistung: Diese Disziplin ist verantwortlich für die Führung und Bereitstellung von Ressourcen zur Erreichung von Zielen und zur Überwachung der Leistung. Wahrscheinlich wird sie von der Geschäftsführung oder dem Führungsteam geleitet.
- Risiko + Entscheidungsunterstützung: Diese Disziplin ist verantwortlich für die Identifizierung und Bewältigung von Risiken und deren Auswirkungen auf die Fähigkeit einer Organisation, ihre Ziele zu erreichen, und bietet Möglichkeiten zur Unterstützung von Entscheidungen unter Unsicherheit. Wahrscheinlich wird sie von Risikomanagern geleitet.
- Compliance + Ethik: Diese Disziplin ist verantwortlich für die Identifizierung und Erfüllung obligatorischer und freiwilliger Verpflichtungen sowie der zugrunde liegenden ethischen Prinzipien und Werte. Dies umfasst die Einhaltung von Gesetzen und Vorschriften sowie führender Standards für Sicherheit und Datenschutz. Wahrscheinlich wird sie von Compliance-Managern und Ethikbeauftragten geleitet.
- Sicherheit + Kontinuität: Diese Disziplin ist verantwortlich für die Identifizierung und Bewältigung von Bedrohungen für kritische physische und digitale Vermögenswerte und Infrastrukturen. Wahrscheinlich wird sie von Informationssicherheits- und Datenschutzbeauftragten geleitet.
- Audit + Sicherheit: Diese Disziplin ist verantwortlich für die Bestätigung der Fähigkeit der Organisation, Ziele zuverlässig zu erreichen, Unsicherheiten zu bewältigen und mit Integrität zu handeln. Wahrscheinlich wird sie von internen und externen Prüfern geleitet.