Mit Compliance-Maps Kontrollen den Anforderungen zuordnen
Compliance-Maps ist eine App auf der Diligent One-Plattform
Sie können mit Compliance-Maps Branchenstandards und Bestimmungen mit Ihren Kontroll-Frameworks verbinden. Auf diese Weise können Sie die Abdeckung visualisieren, regulatorische Änderungen verfolgen, die Risikoexposition des Unternehmens minimieren, den betrieblichen Aufwand reduzieren und Aufsichtsräten und Führungsteams ein ganzheitliches Verständnis der globalen Compliance-Haltung des Unternehmens vermitteln.
Was sind Compliance-Maps?
Bei Compliance-Maps handelt es sich um eine App, welche die Dokumentation von regulatorischen Anforderungen und zugeordneten Kontrollen zentralisiert. Mithilfe der Compliance-Maps-App können Sie:
- zutreffende Vorschriften und Standards identifizieren
- eine Anforderungsliste für alle zutreffenden Vorschriften und Standards harmonisieren
- Kontrollen in Frameworks zu Anforderungen zuordnen
- Testergebnisse und Probleme (Aggregation) zusammenfassen, um den Compliance-Status in Echtzeit zu überwachen und entsprechende Berichte zu erstellen.
Funktionsweise
Landesweit tätige Organisationen müssen oft Hunderte von Anforderungen einhalten. Auch für Prüfungsabteilungen ist die Compliance wichtig, falls sie interne Richtlinien aufweisen, die zur Sicherstellung eines effektiven Geschäftsablaufs zu überwachen sind.
Compliance-Maps erstellen
Um die Einhaltung der Anforderungen durch Ihre Organisation zu demonstrieren, können Sie eine Compliance-Map erstellen. Dies geschieht, indem Sie
- den Umfang der Compliance identifizieren und feststellen, welche Anforderungen für Ihre Organisation zutreffen;
- die Gründe für Anforderungen angeben, die nicht zutreffend sind;
- den Kontrollen Anforderungen zuordnen.
Sobald Sie Anforderungen Kontrollen zugeordnet haben, werden Testergebnisse und Probleme in der Compliance-Map aggregiert. Dadurch können Sie
- Lücken identifizieren
- Probleme priorisieren
- Compliance-Fortschritt verfolgen
Beziehungen in Compliance-Maps
Die folgende Abbildung veranschaulicht die Beziehungen zwischen Vorschriften/Standards, Anforderungen und Kontrollen in Compliance-Maps.
Hinweise
- Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Instanz von Diligent One können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
- Wenn ein erforderliches Feld leer bleibt, wird Ihnen eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.
Begriffe
Die folgende Liste definiert die Begriffe, die in Compliance-Maps verwendet werden:
- Vorschriften Bindende Dokumente, die durch staatliche Bundesbehörden geschrieben und veröffentlicht werden und oftmals in einem Gesetz kategorisiert sind.
Beispiele
FedRAMP 2016 0.1
Green Book - Revision 2014 (GAO-14-704G)
NIST SP 800-53 Sicherheitskontrollen - Rev4
- Standards Bindende Dokumente, die Quellen empfohlener Vorgehensweisen und zugehörige Fundstellen darstellen.
Beispiele
COBIT-5-Framework
Datensicherheitsstandard für die Zahlungskartenbranche (Payment Card Industry (PCI) Data Security Standard)
COSO-Framework für interne Kontrollen 2013
-
Anforderungen Eine Reihe von Direktiven, die zur Zusammenfassung eines Standards oder einer Vorschrift festgelegt wurden.
HinweisObwohl Anforderungen in unterschiedlichen Vorschriften und Standards auch als Prinzipien, Attribute, Aktivitäten, Aufgaben oder Schritte bezeichnet sein können, wird in der Projekte-App als einheitlicher Begriff Anforderung verwendet.
Beispiele
- Sicherungsverfahren für Anwendungen, Datenbanken, Systemkonfigurationen, Netzwerkkonfigurationen, Dokumente und Messaging-Systeme etablieren und durchführen.
- Das Konzept des Geschäftsbetriebs in einem Kontinuitätsplan dokumentieren, einschließlich einer Systembeschreibung, der Nachfolge und der Verantwortlichkeiten.
-
Kontrollen Aktionen oder Handlungsabläufe zur Sicherstellung, dass eine Organisation die Anforderungen einhält.
Beispiele
- Es existieren Richtlinien und Verfahren zur Datensicherung, welche die Verantwortlichkeit des Arbeitnehmers klarstellen und belangbar machen.
- Es wird eine Datenreplikation zwischen Servern in Echtzeit durchgeführt, damit bei einem Scheitern des Kern-Produktionssystems ein Hotbackup verfügbar ist.
- Zutreffend Der Hinweis, ob die Anforderung für Ihre Organisation zutreffend oder angemessen ist.
- Abgedeckt Der Hinweis, dass die Anforderung erfüllt ist.
- Kontrollgewicht Der Prozentsatz der Anforderung, die von der Kontrolle abdeckt wird.
- Abdeckung Eine prozentuale Maßzahl, die angibt, in welchem Umfang zutreffende Anforderungen als „abgedeckt“ angegeben wurden.
- Lücken Anzahl aller zutreffenden Anforderungen, die nicht abgedeckt sind.
- Absicherung Eine Berechnung, welche das Vertrauen Ihrer Organisation ausdrückt, dass die Anforderungen erfüllt sind.
Vorteile
Die Implementierung eines erfolgreichen Compliance-Programms erfordert große Anstrengungen und spezialisierte Kenntnisse der Vorschriften und Standards.
Compliance-Maps tragen dazu bei, diese Anstrengungen zu verringern, indem sie
- Compliance-Management zentralisieren eine umfassende Ansicht für externe Parteien erstellen und diese in die Lage versetzen, das Compliance-Programm und den Fortschritt der Organisation schnell zu verstehen
- den Aufwand rationalisieren und vereinfachen durch die Harmonisierung von Anforderungen und die Bereitstellung von Abdeckung über mehrere überlappende Bestimmungen und Standards müssen Arbeiten nicht mehr doppelt ausgeführt werden
- das Issue-Management vereinfachen Sie erhalten einen Überblick, indem Sie die Prozesse zum Testen von Kontrollen einfach verwalten und während des gesamten Compliance-Prüfungsprozesses markierte Probleme erfassen und für eine Beilegung zuweisen können
- Sicherheitseinstufung und Berichterstellung bereitstellen Sie können Ihre Absicherung mit Hilfe einer einzigen Gesamtmetrik einstufen, die dem Management sofort ein Verständnis des Umfangs vermittelt, in dem die Organisation nach Bestimmung, Geschäftsprozess oder Entität konform ist
Schlüsselvorteile für verschiedene Fachkräfte
Berufsbezeichnung | Vorteile |
---|---|
|
|
|
|