Um das IT-Governance, Risk und Compliance Modul einzusetzen, wird im ersten Schritt ein Programm angelegt, welches die Audit Vorgaben für das Unternehmen beinhaltet. Dieses Programm kann dabei mehrere regluative Anforderungen bzw. Standards beinhalten (z.B. den Payment Card Industry (PCI) Standard oder den Informations-Sicherheits-Standard ISO 27001):
Auf Basis dieser Auswahl werden vom Service Manager die entsprechenden Control Objekte auf Basis des Unified Compliance Framework (UCF) vorgeschlagen:
Der Vorteil durch die Harmonisierung der Control Objekte auf Basis des UCF liegt darin, dass Control Objekte, welche für mehrere Vorgaben erforderlich sind, im System nur einmal vorhanden sind und dementsprechend im Auditprozess auch nur einmal abgehandelt werden.
Auf Basis dieser Control Objekte werden je nach eingesetzter Technologie die entsprechenden manuellen oder automatischen Control Aktivitäten vorgeschlagen:
Die folgende Abbildung zeigt die Abhängigkeiten der einzelnen Bereiche:
IT-Compliance Blog 