什么是ITGRC

 

下文是薛博士在[第207期] 以ITGRC为导向的IT十大管理中对ITGRC的精辟见解

G-Governance治理、R-Risk风险、C-Compliance合规（遵循法律及制度规定）。

G- 公司治理主要涉及建立完善的制度安排，明确责任，制定公司战略目标和策略，制定和评估绩效，遵循法律及制度规定，透明地披露经营状况，对各项经营和管理过程本身进行有效的管理和监督，实现利益相关者的利益最大化。

R- 风险管理则是对所有业务和法规风险进行有效的识别、评估和管理。

C- 合规- 遵循管理是指通过内部控制管理机制和体系，确保各项制度和法规得以遵从、政策得以贯彻、各项经营和管理目标得以有效达成。

ITGRC包含两个意义：

1．以IT支持GRC的实施，包括：

• 基于IT的控制环境
• 基于IT的风险评估
• 基于IT的控制活动
• 基于IT的监控
• 基于IT的信息沟通

 

• 对IT要实施GRC

ITG（IT治理）

• 公司治理是指公司的领导和控制体系。
• 公司的IT治理是指公司领导和控制当前和将来IT利用的体系。
  IT治理涉及评估和领导支持公司的IT的使用，并监视IT的使用，以实现计划。它包
  括组织内IT使用的策略和方针。
• 公司IT治理的六个原则：职责、策略、可获得性、绩效、合规、人员行为。
• 公司IT治理的模型：

a) 评估现在和将来对IT的利用。

b) 领导准备和实施计划和方针的，以保证IT的利用符合业务目标。

c) 监视方针的合规性，以及对应计划的实际绩效。

ITR（IT风险）

• 风险是对目标的不确定性影响。一个影响可能是积极的、消极的或者偏离了预期
  目标。一个目标可能是财务上的，关于健康和安全的，或者由其他条款界定。
  风险通常描述一个事件、情况变化、一个结果或这些方面相结合，以及他们如何影
  响目标的实现。风险可以表示为一个事件的结果、情况变化能及其可能性的排列组合。
• ITR包括：治理风险、规划和架构的风险、项目管理风险、基础设施的风险、应用
  系统的风险、IT服务交互风险、信息安全风险、业务持续的风险、绩效风险、合规
  风险。
• 公司IT风险管理（ITRM）是指指挥和控制公司中有关风险的协调活动，包括风险管理原则、框架和过程。
• ITRM原则包括：a)创造价值 b) 整合入公司流程体系 c)决策的组成部分

d) 明析不确定性 e) 必须是体系、结构和及时的 f)基于最佳可用的信息 g)按
需调整 h)考虑人为和文化因素 i)含义清楚和全面的 j)动态、互动和对变更
的负责 k)促使公司的持续改进和强盛。

• ITRM框架包括：a)任务和义务 b）风险管理架构的设计 c）风险管理的实施 d）框架的监测和审查 e）框架的持续改进。
• ITRM流程包括五个活动： a）沟通和协商 b）确定背景 c）风险评估 d）风险处置 e）监测和审查。

ITC（IT合规）

• 合规是指使企业的经营活动与法律、规则和准则相一致。

IT合规风险是指企业IT因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、
重大财务损失和声誉损失的风险。

• IT合规管理（ITC）是企业一项核心的风险管理活动。企业应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序
  的一致性。
• 企业合规风险管理（ITCRM）的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。

监管机构依法对企业合规风险管理实施监管，检查和评价（审计）企业合规风险管理的有效性。

详情请看我发布的新话题 - 以ITGRC为导向的IT十大管理