Compliance demonstrieren

In einer sich wandelnden Compliance-Landschaft mit Tausenden von Industriestandards, internen Richtlinien und ständig wechselnden regulatorischen Anforderungen ist die Optimierung des Handlungsspielraums eine gewaltige Aufgabe. Es ist für Organisationen von entscheidender Wichtigkeit, dass sie die notwendigen Prozesse und die erforderliche Technologie einsetzen, um das Compliance-Risiko in angemessener Art und Weise identifizieren, rationalisieren, priorisieren und beilegen. Dieser Artikel behandelt die Demonstration von Absicherung über ein Compliance-Programm unter Verwendung der Projekte-, Frameworks- und Compliance-Maps-Apps.

Dieser Artikel beschreibt, wie Sie Compliance mit dem Framework COBIT® 5 demonstrieren können. Derselbe Workflow eignet sich jedoch auch für die Demonstration von Compliance mit:

  • Bestimmungen, die für Finanzinstitute gelten, wie Truth-in Lending, das Geldwäschebekämpfungsgesetz oder Depository Insurance
  • anderen Frameworks für die IT-Sicherheit wie ISO oder NIST
  • Datenschutzbestimmungen wie EU GDPR, GLBA, HIPAA und FERPA
  • Bestimmungen, wie für Behörden oder höhere Bildungseinrichtungen gelten wie Uniform Grant Guidance, Single Audit oder Title IV

Was bedeutet es, Compliance zu demonstrieren?

Die Demonstration von Compliance bedeutet, dass eine Organisation sich in der Pflicht sieht, ihre Geschäfte im Einklang mit den für sie geltenden Bestimmungen und Standards zu führen.

Bei der Demonstration von Compliance geht es nicht nur darum, dass die Compliance-Anforderungen erfüllt wurde, sondern auch zu demonstrieren, wie die Anforderungen erfüllt und welche strukturierten Programme eingesetzt werden, um eine kontinuierliche Compliance zu ermöglichen.

Wo demonstriert man Compliance?

Bei Diligent verwenden wir die Projekte-, Frameworks- und Compliance Maps-Apps, um Prüfern und anderen interessierten Parteien zu bescheinigen, dass ein starkes Kontrollumfeld vorhanden ist. Unser Compliance-Programm verhindert, dass aufsichtsrechtliche Strafen und Datenschutzverletzungen der Organisation schaden. Es kann uns auch in die Lage versetzen, mit Beteiligten zusammenarbeiten, die unterschiedliche Vorschriften und Standards einhalten müssen.

Der umfassende Überblick

  • Compliance-Maps In dieser App führen die Mitarbeiter aus Compliance-Teams die anfängliche Bewertung von Compliance-Lücken und Risiken durch, indem sie die Anforderungen den bestehenden betrieblichen Kontrollen zuordnen, die im Framework enthalten sind.
  • Frameworks Diese App wird im Zusammenhang mit Compliance-Maps verwendet, um die Masterbeziehungen zwischen den Anforderungen und den Kontrollen zu erfassen, Änderungen an den Kontrollen in einer sich entwickelnden regulatorischen Umgebung und einem Geschäftsumfeld zu verwalten und um einzelne Projekte zu erstellen.
  • Projekte-App Die App wird genutzt, um das Design und die betriebliche Effizienz der Kontrolle zu testen und Probleme zu erfassen. Falls erforderlich, können Sie Änderungen auch wieder mit einem Framework aus einem Projekt synchronisieren.

Wenn Sie die Anforderungen Framework-Kontrollen zuordnen, werden Testergebnisse und Probleme aus mehreren Projekten automatisch in der Compliance-Map zusammengefasst. Sie sind so in der Lage, den Compliance-Status in Echtzeit zu überwachen und Berichte dazu zu erstellen.

Schritte

Bereit für eine Tour?

Beschäftigen wir uns ein wenig genauer mit den Funktionen in diesem Kontext.

1. Programm einrichten

Der erste Schritt beim Aufbau Ihres Compliance-Programms besteht aus der Einrichtung Ihrer Projekte und Frameworks. Sie können Frameworks erstellen, um einen strukturierten Satz von Informationen zu verwalten und Frameworks verwenden, um mehrere Projekte aufzubauen. Sie können auch die Terminologie und Bezeichnungen in den Projekten entsprechend den Standards Ihrer Organisation anpassen und Änderungen aus einem Projekt zurück in ein Framework synchronisieren, wenn Sie diese Änderungen auf andere Projekte anwenden möchten.

Projekte und Frameworks einrichten

Frameworks sind hilfreich für die Reduzierung des manuellen Aufwands beim Einrichten von Projekten, und können verwendet werden, um zentral Informationen verwalten, indem Sie regulatorische oder geschäftliche Umgebungen einbeziehen.

Projektterminologie konfigurieren

Die Terminologie kann sich zwischen verschiedenen Projekttypen und auch zwischen Organisationen, die dieselben Projekttypen ausführen, stark unterscheiden. Organisationen können verschiedene Projekttypen konfigurieren, sodass die von jedem Team verwendete Terminologie in den relevanten Projekten widergespiegelt wird.

2. Maßgebende Dokumente identifizieren

Sobald Sie die Projekte und Frameworks eingerichtet haben, besteht der nächste Schritt aus der Identifikation der maßgebenden Dokumente, die für Ihre Organisation gelten, und diese Dokumente in die Compliance-Map aufzunehmen.

Bei den maßgebenden Dokumenten kann es sich um Bestimmungen handeln, die von einer Regulierungsstelle, wie einer Behörde, veröffentlicht wurden, oder um fachliche Normen von einer Berufsgenossenschaft oder einem Wirtschaftsverband oder interne Richtlinien bzw. Verfahren von der Geschäftsführung.

Tipp

Bestimmte Standards und Bestimmungen sind als Teil Ihres regulären Abonnementplans verfügbar: Weitere Standards und Bestimmungen können in Form von Content-Suites über die Content & Intelligence-Galerie, einem Zentralspeicher für branchenspezifische Inhalte, die in Diligent-Produkten verwendet werden können, abonniert werden.

3. Anforderungen interpretieren und rationalisieren

Sobald Sie den relevanten Inhalt in die Compliance-Map importiert haben, können Sie eine Compliance-Risikobewertung durchführen und damit beginnen, die Anforderungen zu interpretieren und zu rationalisieren. Sie haben die volle Kontrolle über den internen Compliance-Prozess. Dazu gehört die Festlegung der Position im Spektrum, wo das Unternehmen angesiedelt sein soll, und die Compliance-Abdeckung, die erreicht werden soll.

Compliance-Risikobewertung durchführen

Organisationen, die Compliance-Programme mit hoher Qualität durchführen, führen eine systematische Identifikation und Bewertung von Risiken durch. Compliance-Risikobewertungen ermöglichen die Bewertung, ob Standards oder Bestimmungen angewendet werden können, sie legen Prioritäten für Standards oder Bestimmungen fest, die zuerst verwaltet werden sollten, und informieren darüber, welche Anforderungen für die Organisation gelten.

Zutreffende und abgedeckte Anforderungen identifizieren

Sobald Sie die Compliance-Risikobewertung abgeschlossen haben, können Sie mit der Identifikation der geltenden und abgedeckten Anforderungen beginnen.

Es gibt zwei primäre Methoden, mit deren Hilfe Sie Anforderungen auswerten und rationalisieren können:

  • Sie gehen genau entsprechend der Vorschrift in der Anforderung vor und führen Sie die Implementierung entsprechend durch Auf diese Weise reduzieren Sie das Risiko einer Konformitätsverletzung, erhöhen aber den Aufwand, um die Compliance zu implementieren und zu verwalten
  • Sie interpretieren die Anforderungen, indem Sie Ihr berufliches Urteilsvermögen walten lassen und anhand rationaler Erwägungen, die optimale, für Ihre Organisation ausreichende Deckung zu finden Auf diese Weise reduzieren Sie den Compliance-Aufwand, aber erhöhen das Risiko einer Compliance-Verletzung für Ihre Organisation

Tipp

Eine gute Compliance-Strategie verfolgt das Ziel, den erforderlichen Prozess und die Kontrolländerungen zu rationalisieren, um die Compliance-Abdeckung durch die Ausnutzung von so vielen bestehenden Prozessen wie möglich zu maximieren.

4. Attestierungsprojekte durchführen

Die Verwendung von Frameworks als ein zentrales Repository der Informationen ermöglicht Ihnen die Ausführung von Attestierungsprojekte zur Durchführung von betrieblichen Risikobewertungen, die Arbeit mit Eigentümern Information, um zentral die Compliance-Leistung über alle Ziele hinweg zu überwachen und Probleme zu erfassen. Die Durchführung von Attestierungsprojekten ermöglicht Ihnen, mit Hilfe von Benchmarks zu messen, wie Ihre Organisation bei der Verwaltung des Compliance-Risikos und der Anforderungen abschneidet.

Betriebliche Risikobewertungen durchführen

Die Durchführung einer betrieblichen Risikobewertung ist ein Prozess, bei dem festgestellt wird, wie viel Risiko eine Organisation ausgesetzt ist. Sie entwickeln ein einheitliches Paket aus Bewertungskriterien, die über operative Segmente, Entitäten oder Geschäftseinheiten verwendet werden können, und Sie stufen die betrieblichen Risiken auf Grundlage des definierten Einstufungs-Frameworks ein.

Tipp

Um die manuelle Einstufung von betrieblichen Risiken zu vermeiden, können Sie Bewertungsfaktoren einsetzen, um verschiedene Risikobewertungen zu automatisieren. Sie können eine in der Ergebnisse-App erstellte Metrik mit einer Risikobewertung in der Projekte-App verknüpfen und die inhärenten Risikoeinstufungen auf Grundlage von vordefinierten Metrikbereichen automatisch ausfüllen.

Kontrollen dokumentieren und bewerten

Eigentürmer von Kontrollen können dazu beitragen, das Vorhandensein der bereits eingesetzten Kontrollen zu dokumentieren und deren Effektivität über die Attestierung und/oder das Beifügen von Beweisen auszuwerten. Sie definieren Aktionspläne, um die fehlenden Kontrollen zu implementieren und Lösungen für die Fälle von fehlender Compliance zu finden oder um zu erklären, warum eine Kontrolle nicht erforderlich ist.

Tipp

Mitarbeiter im Kundenverkehr können außerhalb der Projekte-App über die App „Kontrollzentrum” die Kontrollen, auf die sie Zugriff haben, verwalten. Kontrollzentrum ist eine App, die Kontrollinformationen aus der Projekte-App auf einer vereinfachten und zentralisierten Ansicht darstellt.

Probleme und Aktionen erfassen

Während des gesamten Compliance-Prozesses können Sie markierte Probleme erfassen und für eine Beilegung zuweisen und Probleme an die Eigentümer der Kontrolle oder des Problems delegieren, um den Status und damit in Zusammenhang stehende Aktionspläne zu delegieren. Sie können außerdem Aktionen beliebigen Interessenvertretern zuweisen, um sie einfach zu überwachen, Beweise zu erfassen und eine Lösung zu finden.

5. Bericht zum Status der Compliance

Compliance ist ultimativ das Ergebnis der Führung eines Programms mit einem guten Management oder hervorragenden Kontrollen. Compliance-Maps bieten die Möglichkeit für alle drei Verteidigungslinien, schnell Erkenntnisse über die Arbeit in jeder Abteilung zu erlangen und zusammengefasste Informationen in Echtzeit anzuzeigen.

Um den Compliance-Prozess zu demonstrieren, können Sie die Compliance Assurance mit einer allgemeinen Metrik (Abdeckung) einstufen. Diese Metrik vermittelt dem Management sofort ein Verständnis des Umfangs, in dem die Organisation nach Bestimmung, Geschäftsprozess oder Entität konform ist. Sie können außerdem jederzeit Berichte in Echtzeit generieren, die den Status einzelner Kontrollbereiche sowie den Fortschritt des Compliance-Programms insgesamt kommunizieren.

Wie geht's weiter?

Sie lernen, wie man das Compliance-Programm implementieren und automatisieren kann

Die Ergebnisse-App ermöglicht Gutachtern, Vorfälle mit Hilfe von Datenanalysen zu erfassen, getriggerte Workflows zur Incident-Management zu definieren, eine Analyse der Grundursache und Aktivitäten zur Beilegung durchzuführen und Fälle zu schließen, sobald sie für die Berichterstellung bereit sind.

Weitere Informationen finden Sie unter Compliance-Programme implementieren.