GORC - Governance, Risk, Compliance

1. Governance

2. Risk

3. Compliance

In der Mitte: Business Strategy

Plus Audit & Assurance

• Corporate Governance is an important input for defining IT Governance
• IT Governance must ensure that IT risks are effectively managed
• IT Governance requires senior business participation, especially at the board level

1. Achieve Business Objectives
2. Ensure Risk Aware Setting of Objectives & Strategic Planning
3. Enhance Organizational Culture
4. Increase Stakeholder Confidence
5. Prepare and Protect the Organization
6. Prevent, Detect, and Reduce Adversity & Weaknesses
7. Motivate and Inspire Desired Conduct
8. Stay Ahead of the Game
9. Improve Responsiveness and Efficiency
10. Optimize Economic Return and Values

1. Learn
2. Align
3. Perform
4. Review

1. Understand and prioritize stakeholder expectations
2. Set business objectives that are congruent with values and risks
3. Achieve objectives while optimizing the risk profile and protecting value
4. Operate within legal, contractual, internal, social, and ethical boundaries
5. Provide relevant, reliable, and timely information to stakeholders
6. Enable the measurement of a systems performance and effectiveness

1. Entscheidungen (Decisions&Accountability)

2. Integration

1. Structures: Organisationseinheiten, Rollen, um IT Entscheidungen zu tätigen. Gremien. Formale Festlegung von Rollen und Funktionen. Statisch, Aufbauorganisatorisch
2. Prozesse: dynamische Sicht. Formal Prozesse definieren.
3. Relational Mechanisms: Massnahmen, die dazu beitragen sollen, den Austausch zu fördern. Vertikale sowie horizontale Ausrichtung à Plattform / Rahmen schaffen

1. Prozessbeschreibung
2. Prozesszweck
3. IT-Related Goals und verwandte Metriken
4. Prozessziele und verwandte Metriken
5. RACI Chart
6. Managementpraktiken
7. Inputs
8. Outputs
9. Aktivitäten
10. Vewandte Standards (bsp. ITIL, ISO etc.)

In COBIT 5 sind verschiedene Enabler definiert, die darauf ausgelegt sind, die Implementierung eines umfassenden Governance- und Managementsystems für die Unternehmens-IT zu unterstützen. Als Enabler wird im Allgemeinen alles bezeichnet, das zur Erreichung der Unternehmensziele beiträgt

1. Principles, Policies and Frameworks
2. Processes
3. Organisational strucutre
4. Cultur, Ethics and Behaviour
5. Information
6. Services, Infrastructure and Applications
7. People, Skills and Competences

Governance: Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritisation and decision making; and monitoring performance and compliance against agreed-on direction and objectives

Management: Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives.

1. Aufrechterhaltung der Geschäftskontinuität
2. Erhöhung der Reputation
3. Steigerung der Flexibilität
4. Kosteneinsparungen
5. Wachstumsmöglichkeiten
6. Vereinfachung der Komplexität

1. IT system failure
2. Human error
3. Cyber security breach
4. Data loss form failed back/restore
5. Natural or manmade disasters
6. Third-party security breach or IT system failure

1. in Geldeinheiten (bspw. Schadenskosten)
2. einheitenlosen Punktwerten/Kategorien (bspw. Reputationsverlust) oder
3. Anzahl (bspw. betroffene Personen) angegeben werden.

1. Fachliches Risiko:
   1. Strategisch/operativ
   2. Fertigungsrisiken, Finanzrisiken, Vertriebsrisiken und IT-Risiken
2. Inhärentes Risiko
   1. bestimmte Angriffsformen aus dem Internet
   2. die unerwartete Abwanderung von Mitarbeitern mit betriebswichtigem IT-Know-how
   3. Fehler im Umgang mit der IT durch Mitarbeiter)
3. Wesentliches, bedeutendes oder relevantes Risiko (Material Risk)
4. Höchste akzeptable Risiko
5. Restrisiko (Residual Risk)
6. Compliance-Risiko
7. Erkennungsrisiko (Detection Risk), Bewertungsrisiko und Kontrollrisiko (Control Risk)

1. technische
2. aufbauorganisatorische
3. ablauforganisatorische (prozessbezogene)
4. betriebswirtschaftliche
5. rechtliche
6. personelle

1. Öffentlichkeit
2. Unternehmen
3. Dienstleister
4. Kunden
5. Lieferanten

Gefahr: Die Gefahr wird als eine abstrakte Beschreibung von negativen, nicht oder nur schwer kalkulierbaren Sachverhalten definiert, die Schäden zur Folge haben.

Bedrohung: Eine Bedrohung ist eine reale Gefahr und weist damit einen präzisen zeitlichen, örtlichen, persönlichen, institutionellen oder materiellen Bezug auf

1. höhrere Gewalt
2. vorsätzliche Handlungen
3. technisches Versagen

1. Technische Verwundbarkeiten
2. Personelle Verwundbarkeiten
3. Organisatorische Verwundbarkeiten

Beschreibt die Verbindung zwischen einem IT-Risiko und dazu gehörenden Bedrohungen

1. Vertraulichkeit
2. Integrität
3. Verfügbarkeit
4. Zurechenbarkeit

Der Faktor »Zeit« beschreibt,

• wann genau (Zeitpunkt), – Wann tritt das Risiko ein
• wie lange (Zeitdauer) und – Wie lange dauert es?

mit welcher wechselnden Intensität oder Charakteristik im Zeitablauf das IT-Risiko eintritt und wie sich der Schadensverlauf entwickelt.

1. wie IT-Risiken behandelt und gemeldet werden,
2. wer IT-Risiken oder Zweifel im Zusammenhang mit der Form ihrer Identifikation, Analyse, Bewertung und Behandlung melden kann und
3. was passiert, wenn IT-Risiken gemeldet werden.

1. Availability
2. Access
3. Accuracy
4. Agility

1. Technology & Infrastructure
2. Applications & Information
3. People & Skills
4. Vendors & other Partners
5. Policy & Process
6. Organizational

1. Gesetzliche oder aufsichtsrechtliche Verpflichtungen
2. Vermeidung oder Verringerung aktueller und künftiger Geschäftsrisiken
3. Vermeidung von Risiken aus Ineffizienzen in Geschäftsprozessen
4. Vermeidung von Betrug und menschlichen Fehlern

1. IT-Risikobewusstsein
2. IT-Risikokultur
3. IT-Risikoneigung / IT-Risikoakzeptanz

1. Vermeidung (Vorbeugung, Prävention)
2. Verringerung (Reduktion, Begrenzung, Abschwächung, Mitigation)
3. Vorsorge (bsp. durch BIldung von Rückstellungen)
4. Transfer (bsp. an Versicherung)
5. Akzeptanz

1. Definition des Kontext
2. Identifikation*
3. Analyse*
4. Bewertung*
5. Behandlung
6. Reporting, Kommunikation, Beratung
7. IT-Risikocontrolling

* IT-Risk Assessment