In Governance, Risk und Compliance, Entitäten können Personen, Prozesse, Abteilungen, Anwendungen oder Objekte sein, deren Risiko verwaltet werden muss. Diese Entitäten verfügen über Steuerungen, die zum Anzeigen des Status definiert sind.

Um Entitäten zu verstehen, betrachten Sie das folgende Beispiel. Angenommen, Sie sind ein neuer GRC Anwender und Sie möchten einen Change-Management-Prozess für alle Ihre kritischen Finanzsysteme implementieren. Alle Systeme können als einzelne Entitäten betrachtet werden. Ordnen Sie alle Systeme einer Entitätsklasse mit dem Namen „Finanzen“ zu. Haben Sie einen Entitätstypfilter für kritische Finanzsysteme, um die Systeme zu bestimmen, die als kritisch identifiziert werden.

Der primäre Vorteil der Erstellung von Entitäten besteht darin, dass Sie die Verantwortlichkeit beibehalten können, da jede Entität einen Besitzer hat. Um diesen Vorteil zu verstehen, gehen Sie davon aus, dass Sie alle Server auf eine neue Weise konfigurieren möchten. Nachdem Sie die Konfiguration abgeschlossen haben, führen Sie ein Audit durch und stellen dann fest, dass nur ein Server nicht mit der neuen Konfiguration übereinstimmte. Wenn Sie nicht alle Entitäten definiert hätten, wäre das gesamte Audit-Ergebnis als fehlgeschlagen eingestuft worden. Da Sie jedoch die Entitäten definiert haben, werden nur die nicht konforme Serverentität und ihr identifizierter Besitzer verantwortlich gemacht, anstatt alle Server.

Durch definierte Entitäten wird sichergestellt, dass die Entitätsbesitzer identifiziert werden können und entsprechende Steuerungen auf diese Entitäten angewendet werden können. Es hilft auch bei der Nachverfolgung der Entitäten, die nicht konform sind. Jede Entität, die untergeordnete Entitäten hat, kann als nachgelagerte Entitäten bezeichnet werden. Jede Entität mit übergeordneten Entitäten kann als vorgelagerte Entitäten bezeichnet werden.

Nach dem Erstellen von Entitäten können Sie die ähnlichen Entitäten taggen, indem Sie die Entitätsklasse für sie einzeln definieren, oder Sie können sie mit einer vorhandenen Entitätsklasse verknüpfen.

Entitätsklassen

Entitätsklassen werden verwendet, um konzeptionelle Informationen zur Entität hinzuzufügen oder die Entität zu kennzeichnen. Um das Konzept der Entitätsklasse zu verstehen, sehen Sie sich ein Beispiel an. Ein Unternehmen hat Niederlassungen in drei Städten. Der Bürobereich wird als Entität betrachtet, und die Entitätsklasse für diese Entitäten wäre der Standort. Sie können eine Entitätsklasse erstellen, indem Sie sie einer Entitätsstufe zuordnen, wie im folgenden Beispiel gezeigt.

Entitätstypen

Ein Entitätstyp ist eine Gruppierung von Entitäten, die auf der Filterung basiert. Mit Entitätstypen können Sie Entitäten suchen und erstellen, die einer Reihe von Filterbedingungen entsprechen. Hierarchie kann innerhalb der Entitätsklassen erstellt werden.

Mit Entitätstypen können Sie auch Risiken und Steuerungen für jede Entität erstellen, ohne viel Zeit aufzuwenden. Beispielsweise kann eine Organisation mehrere Abteilungen haben, z. B. Finanzen, HR oder IT. Alle diese Abteilungen können als Entitäten betrachtet und unter dem Entitätstyp Abteilungen gruppiert werden.

Sie können einen Entitätstyp erstellen, indem Sie ihn der Kerngeschäftssäule wie Technologien oder Einrichtungen zuordnen, wie im folgenden Beispiel gezeigt.

Entitätsebenen

Wenn Sie Entitätsstufen erstellen, wenden Sie eine Ebene oder Hierarchie auf die Entitätsklassen an. Diese Ebene gilt für alle Entitäten in diesen Entitätsklassen. Mit Entitätsstufen können Sie den Status der kritischsten Elemente im Geschäft auswählen und anzeigen, wie im folgenden Beispiel gezeigt.