c2b_default

GORC - Governance, Risk, Compliance

Es handelt sich hierbei um Themen, welche man für die GORC Prüfung im FS19 auswendig lernen darf :-) Die Karten sind als Ergänzung zur Zusammenfassung gedacht.

Es handelt sich hierbei um Themen, welche man für die GORC Prüfung im FS19 auswendig lernen darf :-) Die Karten sind als Ergänzung zur Zusammenfassung gedacht.

29
0.0 (0)

Fichier Détails

Cartes-fiches 29
Utilisateurs 17
Langue Deutsch
Catégorie Gestion d'entreprise
Niveau Université
Crée / Actualisé 17.06.2019 / 26.06.2023
Lien de web
https://card2brain.ch/box/20190617_gorc_governance_risk_compliance
Intégrer
<iframe src="https://card2brain.ch/box/20190617_gorc_governance_risk_compliance/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Étudier

Fünf COBIT 5 Prinzipien

Principle 1: Meeting Stakeholder Needs

Principle 2: Covering the Enterprise End-to-End

Principle 3: Applying a Single Integrated Framework

Principle 4: Enabling a Holistic Approach

Principle 5: Separating Governance and Management

Teile der Holistic View (GORC)

1. Governance

2. Risk

3. Compliance

In der Mitte: Business Strategy

Plus Audit & Assurance

Key Findings IT Governance (3)

  • Corporate Governance is an important input for defining IT Governance
  • IT Governance must ensure that IT risks are effectively managed
  • IT Governance requires senior business participation, especially at the board level

10 Outcomes von GRC

  1. Achieve Business Objectives
  2. Ensure Risk Aware Setting of Objectives & Strategic Planning
  3. Enhance Organizational Culture
  4. Increase Stakeholder Confidence
  5. Prepare and Protect the Organization
  6. Prevent, Detect, and Reduce Adversity & Weaknesses
  7. Motivate and Inspire Desired Conduct
  8. Stay Ahead of the Game
  9. Improve Responsiveness and Efficiency
  10. Optimize Economic Return and Values

Teile des GRC Capability Model (4)

  1. Learn
  2. Align
  3. Perform
  4. Review

Vorteile von Governance für Unternehmung (6)

  1. Understand and prioritize stakeholder expectations
  2. Set business objectives that are congruent with values and risks
  3. Achieve objectives while optimizing the risk profile and protecting value
  4. Operate within legal, contractual, internal, social, and ethical boundaries
  5. Provide relevant, reliable, and timely information to stakeholders
  6. Enable the measurement of a systems performance and effectiveness

Ansichten von IT Governance (2)

1. Entscheidungen (Decisions&Accountability)

2. Integration

Arten von IT Governance Praktiken (3)

  1. Structures: Organisationseinheiten, Rollen, um IT Entscheidungen zu tätigen. Gremien. Formale Festlegung von Rollen und Funktionen. Statisch, Aufbauorganisatorisch
  2. Prozesse: dynamische Sicht. Formal Prozesse definieren.
  3. Relational Mechanisms: Massnahmen, die dazu beitragen sollen, den Austausch zu fördern. Vertikale sowie horizontale Ausrichtung à Plattform / Rahmen schaffen

Verfügbare Informationen, welche von COBIT zu jedem Prozess zu Verfügung gestellt werden (mindestens 5 aufzählen)

  1. Prozessbeschreibung
  2. Prozesszweck
  3. IT-Related Goals und verwandte Metriken
  4. Prozessziele und verwandte Metriken
  5. RACI Chart
  6. Managementpraktiken
  7. Inputs
  8. Outputs
  9. Aktivitäten
  10. Vewandte Standards (bsp. ITIL, ISO etc.)

COBIT 5 Enabler (7)

In COBIT 5 sind verschiedene Enabler definiert, die darauf ausgelegt sind, die Implementierung eines umfassenden Governance- und Managementsystems für die Unternehmens-IT zu unterstützen. Als Enabler wird im Allgemeinen alles bezeichnet, das zur Erreichung der Unternehmensziele beiträgt

 

  1. Principles, Policies and Frameworks
  2. Processes
  3. Organisational strucutre
  4. Cultur, Ethics and Behaviour
  5. Information
  6. Services, Infrastructure and Applications
  7. People, Skills and Competences

Unterschied Governance und Management COBIT 5

Governance: Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritisation and decision making; and monitoring performance and compliance against agreed-on direction and objectives

 

Management: Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives.

Vorteile durch Optimierung des IT-Risikomanagements (6)

  1. Aufrechterhaltung der Geschäftskontinuität
  2. Erhöhung der Reputation
  3. Steigerung der Flexibilität
  4. Kosteneinsparungen
  5. Wachstumsmöglichkeiten
  6. Vereinfachung der Komplexität

Gefahren gemäss IBM Global IT Risk Study (6)

  1. IT system failure
  2. Human error
  3. Cyber security breach
  4. Data loss form failed back/restore
  5. Natural or manmade disasters
  6. Third-party security breach or IT system failure

Arten, Auswirkungen von Risiken anzugeben (3)

  1. in Geldeinheiten (bspw. Schadenskosten)
  2. einheitenlosen Punktwerten/Kategorien (bspw. Reputationsverlust) oder
  3. Anzahl (bspw. betroffene Personen) angegeben werden.

Risikoarten (7)

  1. Fachliches Risiko:
    1. Strategisch/operativ
    2. Fertigungsrisiken, Finanzrisiken, Vertriebsrisiken und IT-Risiken
  2. Inhärentes Risiko
    1. bestimmte Angriffsformen aus dem Internet
    2. die unerwartete Abwanderung von Mitarbeitern mit betriebswichtigem IT-Know-how
    3. Fehler im Umgang mit der IT durch Mitarbeiter)
  3. Wesentliches, bedeutendes oder relevantes Risiko (Material Risk)
  4. Höchste akzeptable Risiko
  5. Restrisiko (Residual Risk)
  6. Compliance-Risiko
  7. Erkennungsrisiko (Detection Risk), Bewertungsrisiko und Kontrollrisiko (Control Risk)

Risikofaktoren (6)

  1. technische
  2. aufbauorganisatorische
  3. ablauforganisatorische (prozessbezogene)
  4. betriebswirtschaftliche
  5. rechtliche
  6. personelle

Auswirkungen von Risiken möglich auf... (5)

  1. Öffentlichkeit
  2. Unternehmen
  3. Dienstleister
  4. Kunden
  5. Lieferanten

Gefahr vs. Bedrohung

Gefahr: Die Gefahr wird als eine abstrakte Beschreibung von negativen, nicht oder nur schwer kalkulierbaren Sachverhalten definiert, die Schäden zur Folge haben.

 

Bedrohung: Eine Bedrohung ist eine reale Gefahr und weist damit einen präzisen zeitlichen, örtlichen, persönlichen, institutionellen oder materiellen Bezug auf

Klassifikation von Bedrohungen (3)

  1. höhrere Gewalt
  2. vorsätzliche Handlungen
  3. technisches Versagen

Klassifikation von Verwundbarkeiten (3)

  1. Technische Verwundbarkeiten
  2. Personelle Verwundbarkeiten
  3. Organisatorische Verwundbarkeiten

 

Beschreibt die Verbindung zwischen einem IT-Risiko und dazu gehörenden Bedrohungen

Schutzziele (4)

  1. Vertraulichkeit
  2. Integrität
  3. Verfügbarkeit
  4. Zurechenbarkeit

IT Risiko und der Faktor Zeit

Der Faktor »Zeit« beschreibt,

  • wann genau (Zeitpunkt), – Wann tritt das Risiko ein
  • wie lange (Zeitdauer) und – Wie lange dauert es?

mit welcher wechselnden Intensität oder Charakteristik im Zeitablauf das IT-Risiko eintritt und wie sich der Schadensverlauf entwickelt.

IT Risikokultur nimmt Einfluss darauf .... (3)

  1. wie IT-Risiken behandelt und gemeldet werden,
  2. wer IT-Risiken oder Zweifel im Zusammenhang mit der Form ihrer Identifikation, Analyse, Bewertung und Behandlung melden kann und
  3. was passiert, wenn IT-Risiken gemeldet werden.

Enterprise IT Risks (4)

  1. Availability
  2. Access
  3. Accuracy
  4. Agility

IT Risk Factors (6)

  1. Technology & Infrastructure
  2. Applications & Information
  3. People & Skills
  4. Vendors & other Partners
  5. Policy & Process
  6. Organizational

Motivation für Risikomanagement (4)

  1. Gesetzliche oder aufsichtsrechtliche Verpflichtungen
  2. Vermeidung oder Verringerung aktueller und künftiger Geschäftsrisiken
  3. Vermeidung von Risiken aus Ineffizienzen in Geschäftsprozessen
  4. Vermeidung von Betrug und menschlichen Fehlern

Faktoren der Risikopolitik (3)

  1. IT-Risikobewusstsein
  2. IT-Risikokultur
  3. IT-Risikoneigung / IT-Risikoakzeptanz

IT-Risikostrategien (5)

  1. Vermeidung (Vorbeugung, Prävention)
  2. Verringerung (Reduktion, Begrenzung, Abschwächung, Mitigation)
  3. Vorsorge (bsp. durch BIldung von Rückstellungen)
  4. Transfer (bsp. an Versicherung)
  5. Akzeptanz

Schritte des IT-Risk Management Prozess (7)

  1. Definition des Kontext
  2. Identifikation*
  3. Analyse*
  4. Bewertung*
  5. Behandlung
  6. Reporting, Kommunikation, Beratung
  7. IT-Risikocontrolling

 

 

 

* IT-Risk Assessment

Étudier