下文是薛博士在[第207期] 以ITGRC为导向的IT十大管理中对ITGRC的精辟见解
G-Governance治理、R-Risk风险、C-Compliance合规(遵循法律及制度规定)。
G- 公司治理主要涉及建立完善的制度安排,明确责任,制定公司战略目标和策略,制定和评估绩效,遵循法律及制度规定,透明地披露经营状况,对各项经营和管理过程本身进行有效的管理和监督,实现利益相关者的利益最大化。
R- 风险管理则是对所有业务和法规风险进行有效的识别、评估和管理。
C- 合规- 遵循管理是指通过内部控制管理机制和体系,确保各项制度和法规得以遵从、政策得以贯彻、各项经营和管理目标得以有效达成。
ITGRC包含两个意义:
1.以IT支持GRC的实施,包括:
- 基于IT的控制环境
- 基于IT的风险评估
- 基于IT的控制活动
- 基于IT的监控
- 基于IT的信息沟通
- 对IT要实施GRC
ITG(IT治理)
- 公司治理是指公司的领导和控制体系。
- 公司的IT治理是指公司领导和控制当前和将来IT利用的体系。
IT治理涉及评估和领导支持公司的IT的使用,并监视IT的使用,以实现计划。它包
括组织内IT使用的策略和方针。 - 公司IT治理的六个原则:职责、策略、可获得性、绩效、合规、人员行为。
- 公司IT治理的模型:
a) 评估现在和将来对IT的利用。
b) 领导准备和实施计划和方针的,以保证IT的利用符合业务目标。
c) 监视方针的合规性,以及对应计划的实际绩效。
ITR(IT风险)
- 风险是对目标的不确定性影响。一个影响可能是积极的、消极的或者偏离了预期
目标。一个目标可能是财务上的,关于健康和安全的,或者由其他条款界定。
风险通常描述一个事件、情况变化、一个结果或这些方面相结合,以及他们如何影
响目标的实现。风险可以表示为一个事件的结果、情况变化能及其可能性的排列组合。 - ITR包括:治理风险、规划和架构的风险、项目管理风险、基础设施的风险、应用
系统的风险、IT服务交互风险、信息安全风险、业务持续的风险、绩效风险、合规
风险。 - 公司IT风险管理(ITRM)是指指挥和控制公司中有关风险的协调活动,包括风险管理原则、框架和过程。
- ITRM原则包括:a)创造价值 b) 整合入公司流程体系 c)决策的组成部分
d) 明析不确定性 e) 必须是体系、结构和及时的 f)基于最佳可用的信息 g)按
需调整 h)考虑人为和文化因素 i)含义清楚和全面的 j)动态、互动和对变更
的负责 k)促使公司的持续改进和强盛。
- ITRM框架包括:a)任务和义务 b)风险管理架构的设计 c)风险管理的实施 d)框架的监测和审查 e)框架的持续改进。
- ITRM流程包括五个活动: a)沟通和协商 b)确定背景 c)风险评估 d)风险处置 e)监测和审查。
ITC(IT合规)
- 合规是指使企业的经营活动与法律、规则和准则相一致。
IT合规风险是指企业IT因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、
重大财务损失和声誉损失的风险。
- IT合规管理(ITC)是企业一项核心的风险管理活动。企业应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序
的一致性。 - 企业合规风险管理(ITCRM)的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。
监管机构依法对企业合规风险管理实施监管,检查和评价(审计)企业合规风险管理的有效性。
详情请看我发布的新话题 - 以ITGRC为导向的IT十大管理