Richtlinien gewährleisten Compliance und reduzieren das Risiko von Risiken. Eine Richtlinie kann jeden Typ haben – eine Richtlinie, ein Verfahren, ein Standard, ein Plan, eine Prüfliste, Framework oder Vorlage. Die Veröffentlichung einer Richtlinie befindet sich im Genehmigungsprozess.

Wenn Sie eine Richtlinie erstellen, befindet sie sich im Status Entwurf, und alle erforderlichen Informationen zur Richtlinie werden definiert und im Datensatz erfasst. Die erforderlichen Informationen, die Sie erfassen, sind die Attribute, die den Prozess-Flow der Richtlinie steuern.

Der Lebenszyklus eines Richtliniendatensatzes durchläuft verschiedene status. Dies dient dazu, zu verstehen, wo sich der Datensatz derzeit befindet, und seinen Fortschritt anzuzeigen. Jeder Status hat einen bestimmten Satz zugehöriger Aktivitäten, bevor er in den nächsten Status wechselt. Eine Richtlinie kann bei Bedarf auch in den vorherigen Status verschoben werden, der entsprechend dem aktuellen Status konfiguriert und identifiziert wird.

Entwurf

Ein Compliance-Administrator, Compliance-Manager oder ein Compliance-Anwender kann eine Richtlinie erstellen, die zugehörigen Informationen definieren und erfassen. In diesem Entwurfsstatus werden Prüfer identifiziert, die die Richtlinie im Überprüfungsstatus bearbeiten können, und Genehmiger, die die Richtlinie genehmigen können. Bereits vorhandene Kontrollziele können der Richtlinie hinzugefügt oder neue erstellt werden. Jede Richtlinie hat einen Gültigkeitszeitraum, innerhalb dessen sie aktualisiert, überprüft, erneut veröffentlicht oder stillgelegt wird. In diesem Status sind die Aktionen, die Sie für die Richtlinie ausführen können, Aktualisieren, bereit zur Überprüfung und Löschen.

Prüfung

Nur die Richtlinienüberprüfer können die Richtlinie in diesem Status aktualisieren, um sicherzustellen, dass sie alle regulatorischen Anforderungen erfüllt. Sie überprüfen die Kontrollziele, die zugehörigen Entitäten, Steuerungen und Bezugsvermerke, fügen zusätzliche Informationen hinzu, entfernen unnötige Zuordnungen oder erstellen neue Kontrollziele. Der Überprüfer kann die Richtlinie in den Status Entwurf zurückversetzen, wenn die Richtlinie die Anforderungen nicht erfüllt oder wenn weitere Details erforderlich sind. Der Überprüfer kann auch die Genehmigung für die Richtlinie anfordern oder löschen, wenn er nicht mehr benötigt wird.

Auf Genehmigung warten

Wenn der Richtlinie ein Richtliniengenehmiger zugewiesen ist, wechselt die Richtlinie in den Status Warten auf Genehmigung. Andernfalls wird er in den Status veröffentlicht verschoben. In diesem Status kann der Genehmiger auch die Richtlinie löschen. Im Status Warten auf Genehmigung wird eine Richtliniengenehmigungsaufgabe erstellt und dem Genehmiger zugewiesen. Die Aufgabe befindet sich im Status „angefordert“, und der Genehmiger kann sie in einen der folgenden status ändern:

• Angefordert
• Genehmigt
• Abgelehnt
• Abgebrochen
• Nicht mehr erforderlich

Veröffentlicht

Wenn die Richtlinie in den Status veröffentlicht wechselt, generiert das System automatisch einen Knowledge Base-artikel. Die Richtlinie wird zu einem Mandat für alle Anwender, ihre Richtlinien und Anforderungen zu befolgen. Dies geschieht über die Steuerungen, die der Richtlinie zugeordnet sind. In diesem Status kann die Richtlinie auch zurück an „Überprüfen“, „stillgelegt“ oder „gelöscht“ gesendet werden.

Deaktiviert

Eine Richtlinie kann außer Kraft gesetzt werden, wenn sie nicht mehr erforderlich ist oder wenn sie keinem Geschäftszweck mehr dient. Der erstellte Knowledge Base-artikel wird entfernt, die Richtlinie bleibt jedoch zu Audit-Zwecken im Status „deaktiviert“. Wenn die Richtlinie erneut benötigt wird, kann sie an die Phase „Entwurf“ zurückgesendet werden, und der Lebenszyklus der Richtlinie beginnt erneut.