下文是薛博士在[第207期] 以ITGRC爲導向的IT十大管理中對ITGRC的精闢見解
G-Governance治理、R-Risk風險、C-Compliance合規(遵循法律及制度規定)。
G- 公司治理主要涉及建立完善的制度安排,明確責任,制定公司戰略目標和策略,制定和評估績效,遵循法律及制度規定,透明地披露經營狀況,對各項經營和管理過程本身進行有效的管理和監督,實現利益相關者的利益最大化。
R- 風險管理則是對所有業務和法規風險進行有效的識別、評估和管理。
C- 合規- 遵循管理是指通過內部控制管理機制和體系,確保各項制度和法規得以遵從、政策得以貫徹、各項經營和管理目標得以有效達成。
ITGRC包含兩個意義:
1.以IT支持GRC的實施,包括:
- 基於IT的控制環境
- 基於IT的風險評估
- 基於IT的控制活動
- 基於IT的監控
- 基於IT的信息溝通
- 對IT要實施GRC
ITG(IT治理)
- 公司治理是指公司的領導和控制體系。
- 公司的IT治理是指公司領導和控制當前和將來IT利用的體系。
IT治理涉及評估和領導支持公司的IT的使用,並監視IT的使用,以實現計劃。它包
括組織內IT使用的策略和方針。 - 公司IT治理的六個原則:職責、策略、可獲得性、績效、合規、人員行爲。
- 公司IT治理的模型:
a) 評估現在和將來對IT的利用。
b) 領導準備和實施計劃和方針的,以保證IT的利用符合業務目標。
c) 監視方針的合規性,以及對應計劃的實際績效。
ITR(IT風險)
- 風險是對目標的不確定性影響。一個影響可能是積極的、消極的或者偏離了預期
目標。一個目標可能是財務上的,關於健康和安全的,或者由其他條款界定。
風險通常描述一個事件、情況變化、一個結果或這些方面相結合,以及他們如何影
響目標的實現。風險可以表示爲一個事件的結果、情況變化能及其可能性的排列組合。 - ITR包括:治理風險、規劃和架構的風險、項目管理風險、基礎設施的風險、應用
系統的風險、IT服務交互風險、信息安全風險、業務持續的風險、績效風險、合規
風險。 - 公司IT風險管理(ITRM)是指指揮和控制公司中有關風險的協調活動,包括風險管理原則、框架和過程。
- ITRM原則包括:a)創造價值 b) 整合入公司流程體系 c)決策的組成部分
d) 明析不確定性 e) 必須是體系、結構和及時的 f)基於最佳可用的信息 g)按
需調整 h)考慮人爲和文化因素 i)含義清楚和全面的 j)動態、互動和對變更
的負責 k)促使公司的持續改進和強盛。
- ITRM框架包括:a)任務和義務 b)風險管理架構的設計 c)風險管理的實施 d)框架的監測和審查 e)框架的持續改進。
- ITRM流程包括五個活動: a)溝通和協商 b)確定背景 c)風險評估 d)風險處置 e)監測和審查。
ITC(IT合規)
- 合規是指使企業的經營活動與法律、規則和準則相一致。
IT合規風險是指企業IT因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、
重大財務損失和聲譽損失的風險。
- IT合規管理(ITC)是企業一項核心的風險管理活動。企業應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序
的一致性。 - 企業合規風險管理(ITCRM)的目標是通過建立健全合規風險管理框架,實現對合規風險的有效識別和管理,促進全面風險管理體系建設,確保依法合規經營。
監管機構依法對企業合規風險管理實施監管,檢查和評價(審計)企業合規風險管理的有效性。
詳情請看我發佈的新話題 - 以ITGRC爲導向的IT十大管理