Os controles são implementações específicas de um objetivo de controle. Os controles desativados não aparecem na lista. Antes de definir controles, reserve um tempo para racionalizar, consolidar e definir os controles importantes em sua organização.
Racionalize seus controles
Se você carregar todos os seus controles em massa, perderá a oportunidade de refinar e simplificar seu conjunto de controles.
Como este controle afeta meu objetivo de negócios?
Este controle está realmente impedindo ou detectando risco?
Você pode colocar um controle diferente que proteja melhor o seu negócio?
Há um controle que você pode implementar que reduz a sobrecarga do processo e melhora o desempenho DE TI, além de reduzir o risco?
Um controle complicado pode ser substituído por um controle mais simples e eficaz?
À medida que seus negócios mudam e seus dados, processos e tecnologia DE TI melhoram, substitua controles e procedimentos desatualizados.
Nota:
Quando você define controles manualmente ou quando os importa da Estrutura de conformidade unificada (UCF), uma entidade é associada aos controles. É um campo obrigatório no formulário de controle. No entanto, se você importar controles de uma origem diferente do UCF, poderá encontrar controles que não tenham entidades associadas. É importante que você retorne ao formulário de controle e. adicione uma entidade ao controle . As entidades ausentes podem causar resultados não confiáveis nos cálculos. Além disso, se você encontrar um controle com uma entidade que foi desabilitada, o controle deverá ser descontinuado.
Consolide seus controles
Procure oportunidades para consolidar controles. Procure controles comuns e repetidos em várias autoridades regulatórias de estruturas (por exemplo, SOX, GLBA e AML). Evite operar um único controle várias vezes para cada regulamento, mapeando controles cruzados e eliminando os redundantes. Este processo estabelece um único conjunto consolidado de controles. A estrutura de controle, executar e preservar o mapeamento cruzado de controles é essencial para auditorias.Figura 1. As regulamentações e requisitos do setor se sobrepõem
Defina controles e regras de negócios
As regras de negócio que você define antecipadamente, estabelecem o. GRCdefinições de configuração mais tarde. Esteja preparado para:
Identificar controles e responsáveis pelo controle
Defina testes de controle e resultados esperados
Estabelecer frequências de teste e controle
Identificar riscos: Impacto e probabilidade
Prepare atestados, avaliações, questionários e evidências necessárias
Componha casos de uso prováveis (quem precisa interagir com ou exibir o conteúdo do GRCe para que finalidades)
Mapeie fontes autorizadas para políticas, procedimentos, controles e riscos