Introduction to GRC, IT GRC and Integrated GRC implementation
āļāļēāļĢāļāļđāļĢāļāļēāļāļēāļĢāđāļāļ§āļāļīāļ “GRC”, “IT GRC” and “Integrated GRC” (Integrated Governance, Risk Management, and Compliance and Implementation Roadmap Guideline)
āļĒāļļāļāđāļŦāđāļāđāļāļ§āļāļīāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđāđāļāđāļāđāļāđāļāļāļīāļĻāļāļēāļāđāļāļĩāļĒāļ§āļāļąāļāļāļąāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļ āļēāļāļāļļāļĢāļāļīāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļĨāļ°āļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ (Today Conceptual Thinking: “How to align IT with Business”) āđāļāļāļąāļāļāļļāļāļąāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļļāļĢāļāļīāļāļāļąāđāļ āļāļđāđāļŦāļĄāļ·āļāļāļāļ°āđāļāđāļāđāļĢāļ·āđāļāļāļāļĩāđāļāđāļāļāđāļāļāđāļ§āļĒāļāļąāļāļāļĒāđāļēāļāļŦāļĨāļĩāļāđāļĨāļĩāđāļĒāļāđāļĄāđāđāļāđ (IT/Business Alignment) (āļāļđāļĢāļđāļāļāļĩāđ 1) āđāļāļĢāļēāļ°āļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļ āļēāļāļāļļāļĢāļāļīāļ (Business Requirement) āļāļ°āđāļāđāļāļāļąāļ§āļāđāļāļāļĩāđāļāļķāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāđāļāļāļēāļĢāļāļąāļāđāļāļĢāļĩāļĒāļĄāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ (IT Requirement ) āđāļāļ·āđāļāđāļŦāđāļŠāļēāļĄāļēāļĢāļāļāļāļāļŠāļāļāļāļāļļāļĢāļāļīāļāđāļāđāļāļĒāđāļēāļāļāļąāļāļāđāļ§āļāļāļĩ (IT Responsiveness)
āļŠāļąāļāđāļāļāđāļāđāļāļēāļāļāļēāļĢāļāļĩāđāļāļāļāđāļāļĢāđāļāļĢāļ°āļāļąāļ Enterprise āļāļīāļĒāļĄāļāļģāļāļĢāļāļāđāļāļ§āļāļīāļ “BSC” āļŦāļĢāļ·āļ “Balanced Scorecard” āļĄāļēāđāļāđāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļļāļĢāļāļīāļ āđāļĨāļ° āļāļĢāļāļāđāļāļ§āļāļīāļ “BSC” āļāđāđāļāđāļāļđāļāļāļģāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāļāļąāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđāļāļāļĢāļāļāđāļāļ§āļāļīāļ “IT BSC” āļŦāļĢāļ·āļ “IT Balanced Scorecard”āđāļāļ·āđāļāđāļŦāđāđāļāđāđāļāļ§āđāļēāļāļđāđāļāļĢāļīāļŦāļēāļĢāļāļāļāđāļāļĢāđāļāđāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđ “Align” āļŦāļĢāļ·āļ “āđāļāđāļāđāļāđāļāļāļīāļĻāļāļēāļāđāļāļĩāļĒāļ§āļāļąāļ” āļāļąāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļ āļēāļāļāļļāļĢāļāļīāļāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļāļĒāļĄāļĩāļāļēāļĢāļāļģ “Framework”āļŦāļĢāļ·āļ “Best Practices” āļāđāļēāļāđ āļĄāļēāđāļāđāđāļāļāļēāļĢāļāđāļēāļāļāļīāļāļāļēāļĄāļŦāļĨāļąāļāļ§āļīāļāļēāļāļēāļĢ āļāļķāđāļāđāļāđāļāļāļĩāđāļĄāļēāļāļāļ “Integrated Framework on Business/IT Alignment” (āļāļđāļĢāļđāļāļāļĩāđ2) āđāļāđāļāļāļĢāļāļāđāļāļ§āļāļīāļāđāļāļāļāļāļāđāļĢāļ§āļĄ (Holistic Approach) āļāļĩāđāđāļŠāļāļāđāļŦāđāđāļŦāđāļāļāļķāļāļāļ§āļēāļĄāļŠāļāļāļāļĨāđāļāļāļāļąāļāļĢāļ°āļŦāļ§āđāļēāļ āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļĨāļ° āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļļāļĢāļāļīāļ

āļĢāļđāļāļāļĩāđ 2 Integrated Framework on Business/IT Alignment (source: IT governance (CobiT) ITGI)
āđāļāļĒāđāļĢāļīāđāļĄāļāļēāļāđāļĢāļāļāļĨāļąāļāļāļąāļāļāļąāļāļāļąāļĒāļāļēāļāļāđāļēāļāļāļļāļĢāļāļīāļ (Business Driver) āļāļĩāđāļāđāļāļāđāļāđāļāļēāļĄāđāļāđāļēāļŦāļĄāļēāļĒāļāļēāļāļāļļāļĢāļāļīāļ (Performance : Business Goals) āđāļĨāļ° āđāļāļāļāļ°āđāļāļĩāļĒāļ§āļāļąāļāļāđāļāđāļāļāļāļāļīāļāļąāļāļīāđāļŦāđāļāļđāļāļāđāļāļāļāļēāļĄāļāļāļŦāļĄāļēāļĒāđāļĨāļ°āļāļāļĢāļ°āđāļāļĩāļĒāļāļāđāļēāļāđ (Conformance : Regulatory Compliance) (āļāļđāļĢāļđāļāļāļĩāđ 3)
āļāļĨāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒāļāļēāļĢāļāļ§āļāļāļļāļĄāļ āļēāļĒāđāļāļāļāļāđāļāļĢāđāļĨāļ°āļāđāļĒāļāļēāļĒāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļāļāļāļāļāļāđāļāļĢ āļĢāļ§āļĄāļāļąāđāļāļāļēāļĢāļāđāļēāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļāļāļāļāļāļđāđāļāļĢāļ§āļāļŠāļāļāļ āļēāļĒāđāļāđāļĨāļ°āļ āļēāļĒāļāļāļ āđāļāļĒāđāļāđāļāđāļāļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢ “āļāļēāļĢāļāđāļēāļāļąāļāļāļđāđāļĨāļāļīāļāļāļēāļĢāļāļĩāđāļāļĩ” āļŦāļĢāļ·āļ “Corporate/Enterprise Governance” āļāļķāđāļāđāļāļāļĨāļļāđāļĄāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ āļŦāļĢāļ·āļ C-Level āļĄāļąāļāļāļīāļĒāļĄāļāļĢāļ°āļĒāļļāļāļāđ āđāļāđ “Balanced Scorecard” āđāļĨāļ° “COSO ERM” Framework āđāļāļāļēāļĢāļāđāļēāļāļāļīāļ āđāļāļĒāļĄāļĩ CobiTāđāļāđāļ IT Governance Framework āļāļāļĒāđāļāļ·āđāļāļĄāļāļĒāļđāđāļāļĢāļāļāļĨāļēāļ (āļāļđāļĢāļđāļāļāļĩāđ 2) āđāļĨāļ° āļāļđāļāļāļģāļĄāļēāđāļāđāđāļāļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļ “IT” āđāļāđāļēāļāļąāļ “Business” āđāļāļ·āđāļāđāļŦāđāđāļāļīāļāļāļ§āļēāļĄāļŠāļāļāļāļĨāđāļāļ (Alignment) āļĒāļąāļāļāļĨāđāļŦāđāđāļāļīāļāļāļĢāļ°āđāļĒāļāļāđāļŠāļđāļāļŠāļļāļāļāļąāļāļāļāļāđāļāļĢāđāļāļāļēāļĢāļāļģāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđāļāļēāļ (IT benefit realization)
āļ āļēāļĒāđāļāđāļāļĢāļāļāđāļāļ§āļāļīāļ CobiT Framework (What to do) āļāđāļāļ·āļ Best Practices āđāļĨāļ°/āļŦāļĢāļ·āļ Standard (How to do) āļāđāļēāļāđāļāļĩāđāļāļāļāđāļāļĢāļāļ§āļĢāļāļģāļĄāļēāļāđāļ§āļĒāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāļāļąāđāļāļāļāļāđāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļ āļēāļĒāđāļāļāļāļāđāļāļĢ āđāļĄāđāļ§āđāļēāļāļ°āđāļāđāļ āļĄāļēāļāļĢāļāļēāļ ISO 9000, ISO/IEC27001 (āļāļ·āđāļāđāļāļīāļĄ ISO 17799) ISO/IEC 20000, ITIL v3 , BS25999 (āļāļģāļĨāļąāļāļāļ°āļāļĨāļēāļĒāđāļāđāļāļĄāļēāļāļĢāļāļēāļ ISO 22301) , BS25777 āđāļĨāļ°āđāļāļ·āđāļāđāļŦāđāļŠāļąāļĄāļĪāļāļāļīāđāļāļĨāđāļāļāļēāļāļāļāļīāļāļąāļāļīāļāļĢāļīāļ āļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļāļĨāļēāļāļāđāļāļāļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļĢāļ°āļāļąāļāļāļąāđāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļ (Procedure) āļāļķāđāļ CobiTāđāļĨāļ° ISO/IEC 27001 āđāļŦāļĄāļēāļ°āļŠāļĄāļāļĩāđāļāļ°āļāļđāļāļāļģāļĄāļēāđāļāđāđāļāļĢāļ°āļāļąāļ “Strategy”āđāļĨāļ° “Process Control” āđāļāđāđāļāļĢāļ°āļāļąāļ “Process Execution” āļāļąāđāļ ITIL āļāļđāļāļ°āđāļŦāļĄāļēāļ°āļŠāļĄāļāļ§āđāļē (āļāļđāļĢāļđāļāļāļĩāđ 4)
āļāļąāļāļāļąāđāļāđāļĢāļēāļāļķāļāļĄāļĩāļāļ§āļēāļĄāļāļģāđāļāđāļāļāļĩāđāļāđāļāļāļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļ CobiT , ITIL, ISO/IEC 20001 , ISO/IEC 27001 āļāļĨāļāļāļāļ BS 25999 / BS 25777 āđāļāļ·āđāļāļāļēāļĢāļāļģāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļāļāļāđāļāļĢāđāļāđāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āđāļĨāļ° āļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāļāļĒāđāļēāļāļāļąāļāđāļāļ āđāļāļĒāđāļāđāļāđāļĨāļ° Standard āļŦāļĢāļ·āļ Best Practices āļāļąāđāļ āļĄāļĩāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄāđāļāļāļēāļĢāļāļģāļĄāļēāđāļāđāļāļĩāđāđāļāļāļāđāļēāļāļāļąāļ (āļāļđāļĢāļđāļāļāļĩāđ 5)
āļāļķāđāļāļāđāļēāļĄāļāļāđāļāļ āļēāļāļĢāļ§āļĄāļāļāļŦāļāļĩāđāļĄāđāļāđāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāđāļāļ§āļāļīāļ BSC āļŦāļĢāļ·āļ IT BSC āđāļāđāđāļĄāļ·āđāļāļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļĢāļ°āļāļąāļāļŦāļāļķāđāļāļāļāļ§āđāļē ISO 9000 , Six Sigma āļŦāļĢāļ·āļ Lean Process āļŠāļēāļĄāļēāļĢāļāļāļāļāđāļāļāļĒāđāđāļāđāđāļāđāļāļāļĒāđāļēāļāļāļĩ āđāļĨāļ° āđāļĄāļ·āđāļāđāļāļēāļ°āļĨāļķāļāļĨāļāđāļāđāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļāļēāļ°āļĢāļ°āļāļāļāđāļāļāļ§āđāļē ISO/IEC 20001 , ISO/IEC 20000 āļŦāļĢāļ·āļ ITIL āļĄāļĩāļāļ§āļēāļĄāđāļŦāļĄāļēāļ°āļŠāļĄāđāļāļāļēāļĢāļāļģāļĄāļēāļāđāļēāļāļāļīāļāđāļāļĢāļ°āļāļąāļāļāļēāļĢāļāļąāļāļāļēāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļģāļāļēāļ (Process Improvement) āļĢāđāļ§āļĄāļāļąāļ ISO 9000 āđāļāļ·āđāļāđāļŦāđāđāļāđāļĄāļēāļāļĢāļāļēāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāļĒāļīāđāļāļāļķāđāļ āļāļ°āđāļĢāļĩāļĒāļāļ§āđāļē ISO/IEC 20000 āļāđāļāļ·āļ ISO 9000 āļāļāļąāļ IT āļāđāļ§āđāļēāđāļāđāđāļāļĢāļēāļ°āđāļāđāļāļāļĩāđāļāļ§āļēāļĄāļāļķāļāļāļāđāļāļāļāļāļĨāļđāļāļāđāļē (Customer Satisfaction) āđāļāđāļāļŦāļĨāļąāļ
āļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļāļāļ§āļēāļĄāđāļŦāļĄāļ·āļāļāļāļĩāđāđāļāļāļāđāļēāļāļĢāļ°āļŦāļ§āđāļēāļ āđāļāļ§āļāļīāļ “GRC , “IT GRC” āđāļĨāļ° “Integrated GRC”
āļāļĨāđāļēāļ§āļāļķāļāđāļāļ§āļāļīāļ “GRC” āļŦāļĢāļ·āļ “Governance, Risk Management and Compliance” āđāļĄāđāđāļāđāļāļģāđāļŦāļĄāđāļāļĩāđāđāļāļīāđāļāļāļīāļāļāđāļāļāļķāđāļāļĄāļē āļŦāļēāļāđāļāđāđāļāđāļāđāļāļ§āļāļīāļāļāļĩāđāļĄāļĩāļĄāļēāļāļēāļāđāļāļĢāļ°āļĒāļ°āđāļ§āļĨāļēāļŦāļāļķāđāļāđāļĨāđāļ§ āđāļāđāđāļāļīāđāļāļĄāļēāđāļāđāļĢāļąāļāļāļ§āļēāļĄāļāļīāļĒāļĄāđāļāļāđāļ§āļ 2-3 āļāļĩāļāļĩāđāļāđāļēāļāļĄāļē āđāļāļĒāļāļģāļāļģāļāļąāļāļāļ§āļēāļĄāļāļāļ “GRC” āđāļāđāļāļāļāļąāļāđāļāļāļāļēāļĄāļāļāļāļēāļāļļāļāļĢāļĄāļāļąāđāļ āļĒāļąāļāđāļĄāđāļĄāļĩāđāļāļĢāļāļģāļŦāļāļāļāļāļāļĄāļēāđāļāđāļāļąāļ āđāļāđāļĄāļĩāļāļđāđāđāļāļĩāđāļĒāļ§āļāļēāļāļāļēāļāļŦāļĨāļēāļĒāļŦāļāđāļ§āļĒāļāļēāļāļāļąāđāļ§āđāļĨāļāđāļāđāļāļģāļŦāļāļāļāļģāļāļģāļāļąāļāļāļ§āļēāļĄāđāļāļāļāđāļēāļĒāđ āđāļāđāļāļĢāļ°āļāļąāļāđāļāđāđāļāļāļ§āļēāļĄāļ§āđāļē “GRC” āļāļ·āļ āđāļāļ§āļāļīāļāđāļāļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļ (Alignment) āđāļĨāļ°āļāļđāļĢāļāļēāļāļēāļĢ (Integrated) āđāļĢāļ·āđāļāļāļāļāļāļ§āļīāļāļąāļĒāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļĩāđāļŠāļģāļāļąāļāđāļāļāļāļāđāļāļĢ 3 āđāļĢāļ·āđāļāļ (3 Disciplines) āđāļāđāđāļāđ 1. Governance , 2. Risk Management āđāļĨāļ° 3. Compliance āđāļāđāļēāļāđāļ§āļĒāļāļąāļāđāļāļ āļēāļāļĢāļ§āļĄ (Holistic) āļāļĨāļāļāļāļąāđāļ§āļāļąāđāļāļāļāļāđāļāļĢ (Organization wide) āļāļķāđāļāļĢāļ°āļāļļāđāļāđāļāđāļāļāļĩāđāđāļāļāļŦāļĨāļąāļāļāļąāđāļāļŠāļĩāđ āđāļāđāđāļāđ 1. Strategy (āļāļĨāļĒāļļāļāļāđ) , 2. Process (āļāļĢāļ°āļāļ§āļāļāļēāļĢ) , 3. People (āļāļļāļāļĨāļēāļāļĢ) āđāļĨāļ° 4. Technology(āđāļāļāđāļāđāļĨāļĒāļĩ) (āļāļđāļĢāļđāļāļāļĩāđ 6)
āđāļĨāļ°āļāļĩāļāļŠāļāļāđāļāļ§āļāļīāļ āļāļĩāđāļāļĢāļ°āļĒāļļāļāļāđāļĄāļēāļāļēāļāđāļāļ§āļāļīāļ “GRC” āđāļāđāđāļāđ āđāļāļ§āļāļīāļ “IT GRC” āđāļĨāļ° “Integrated GRC” āđāļāđāļāļāļāļāđāļāļ§āļēāļĄāļĢāļđāđāļāļĩāđāđāļĢāļēāļāļ§āļĢāļāđāļāļāļāļģāļāļ§āļēāļĄāđāļāđāļēāđāļāļāļĒāđāļēāļāļĨāļķāļāļāļķāđāļāđāļāļāļĢāļąāļāļāļēāļāļąāđāļāļŠāļđāļāļāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļāļāđāļāļĢāđāļāļĒāļļāļāļāļąāļāļāļļāļāļąāļ āđāļāļĒ “IT GRC” (āļāļđāļĢāļđāļāļāļĩāđ 7 āđāļĨāļ° āļĢāļđāļāļāļĩāđ 8 ) āļāļ°āļĄāļļāđāļāđāļāđāļāđāļāļĒāļąāļ 3 āđāļĢāļ·āđāļāļāđāļŦāļāđ āđāļāđāđāļāđ
- IT Governance
- IT Risk Management
- IT Compliance

āļĢāļđāļāļāļĩāđ 7 Process Model for Integrated IT GRC management Source : http://www.grc-resource.com
āđāļāļĒāļĄāļĩāļāļ§āļēāļĄāļŠāļąāļĄāļāļąāļāļāđāļāļąāļāļĢāļ°āļŦāļ§āđāļēāļ “āļāļļāļĢāļāļīāļ” “āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ” “GRC” āđāļĨāļ° “IT GRC” āđāļāļĨāļąāļāļĐāļāļ° 2 ways āļāļ·āļ “Support” āđāļĨāļ° “Alignment” āļāļķāđāļāļāļąāļāđāļĨāļ°āļāļąāļ (āļāļđāļĢāļđāļāļāļĩāđ 9) āđāļāļĒāļĄāļĩāļāļēāļĢāļāļĢāļ°āļĒāļļāļāļāđāđāļāđ COSO ERM āđāļāļŠāđāļ§āļāļāļāļ “IT Risk Management” āđāļĨāļ° ISO/IEC 38500 “Corporate Governance of IT ” (āļāļđāļĢāļđāļāļāļĩāđ 10) āđāļāļŠāđāļ§āļāļāļāļ “IT Governance”

āļĢāļđāļāļāļĩāđ 9 GRC and IT GRC in the business and IT context Source : http://www.grc-resource.com
āļŠāđāļ§āļāđāļāļ§āļāļīāļāđāļĢāļ·āđāļāļāļāļēāļĢāļāļđāļĢāļāļēāļāļēāļĢ “GRC” āļŦāļĢāļ·āļ “Integrated GRC” āļāļēāļāļĢāļđāļāļāļĩāđ 6 āļāļąāđāļāļāļ°āđāļŦāđāļāļ§āđāļē āđāļĢāļīāđāļĄāļāļēāļāļāļĨāļĒāļļāļāļāđ (Strategy) āđāļāļ·āđāļāļĄāđāļĒāļāļāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢ (Process) āļāļļāļāļĨāļēāļāļĢ (People) āđāļĨāļ° āđāļāļāđāļāđāļĨāļĒāļĩ (Technology) āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāđāļĒāļāļēāļĒāļāļāļāļāļāļāđāļāļĢ (Internal Policies) āļ āļēāļĒāđāļāđāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđ (Risk Appetite) āļāļāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ āļāļĨāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāļāļĢāļ°āđāļāļĩāļĒāļāđāļĨāļ°āļāļāļŦāļĄāļēāļĒāļāđāļēāļāđ (External Regulation) āđāļāļ·āđāļāđāļāļīāđāļĄāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ (Effectives) āđāļĨāļ°āļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ (Efficiency) āđāļŦāđāļāļąāļāļāļāļāđāļāļĢ āļāļāļāļāļēāļāļāļĩāđāđāļĨāđāļ§āđāļāļ§āļāļīāļ “Integrated GRC” āļŦāļĢāļ·āļ “GRC 360 āļāļāļĻāļē” āļāļąāđāļ āļĒāļąāļāļāļāļāđāļāļāļĒāđāđāļĢāļ·āđāļāļāļāļēāļĢāđāļāļīāļāđāļāļāļĒāđāļēāļāļĒāļąāđāļāļĒāļ·āļāļāļāļāļāļļāļĢāļāļīāļ (Sustainable Growth) āļĢāļ§āļĄāļāļķāļāđāļĢāļ·āđāļāļāļāļ§āļēāļĄāļāļđāļāļāđāļāļāđāļĨāļ°āļāļ§āļēāļĄāđāļāļĢāđāļāđāļŠ (Transparency) āļāļāļāļāļāļāđāļāļĢāļāļĩāļāļāđāļ§āļĒ
āļāļēāļĢāļāļđāļĢāļāļēāļāļēāļĢ GRC āļāļąāđāļāļāļ§āļĢāļĄāļĩāļāļĢāļāļāđāļāļ§āļāļīāļāđāļāļāđāļēāļāļāļĨāļĒāļļāļāļāđ (Strategy )āđāļāļāļēāļĢāļāļāļīāļāļąāļāļī āđāļāđāđāļāđ “Strategic GRC Framework” (āļāļđāļĢāļđāļāļāļĩāđ 11) āđāļāļĒāļāļēāļāļĢāļđāļāļāļ°āđāļŦāđāļāļ§āđāļēāđāļāļāļāļĨāļĒāļļāļāļāđāļāļąāđāļāđāļāđāļāđāļāđāļ 3 āļĢāļ°āļāļąāļ āđāļāđāđāļāđ āļĢāļ°āļāļąāļāļŠāļđāļ āļĢāļ°āļāļąāļāļāļĨāļēāļ āđāļĨāļ° āļĢāļ°āļāļąāļāļĨāđāļēāļ āļŠāļąāļāđāļāļāļāļēāļĢāļāđāļāļēāļāļāļāļīāļāļąāļāļīāļāļēāļāđāļāļĢāļ°āļāļąāļāļŠāļđāļ āđāļĨāļ°āļĢāļ°āļāļąāļāļĨāđāļēāļāļāļąāđāļ āđāļāđāļāđāļāļāļēāļĄāđāļāļ§āļāļāļ (Horizontal) āđāļĨāļ° āļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāđāļāļĢāļ°āļāļąāļāļāļĨāļēāļāđāļāđāļāđāļāļāļēāļĄāđāļāļ§āļāļąāđāļ (Vertical) āļŦāļĄāļēāļĒāļāļķāļ āđāļāđāļāđāļĨāļ°āļāđāļēāļĒ (Legal, Internal Audit, Compliance, Safety, IT, Finance/Accounting) āļāļ°āļāđāļāļāļĄāļĩāļāļđāđāļĢāļąāļāļāļīāļāļāļāļāđāļĨāļ°āđāļĒāļāļāļąāļāđāļāļāļģāđāļāļŠāđāļ§āļāļāļāļāļāđāļēāļĒāļāļ āđāļāđāļāđāļāļāļāļģāļāļēāļāļĢāđāļ§āļĄāļāļąāļāļ āļēāļĒāđāļāđāļāđāļāļāļēāļĒāđāļĨāļ°āļāļļāļāļĄāļļāđāļāļŦāļĄāļēāļĒāđāļāļĩāļĒāļ§āļāļąāļāļāļķāđāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ (Board and Executive Management) āđāļāđāļāļāļđāđāļāļģāļŦāļāļāļāđāļĒāļāļēāļĒāđāļāļ āļēāļāļĢāļ§āļĄāđāļĨāļ°āļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđ (Overall Policy and Risk Appetite)

āļĢāļđāļāļāļĩāđ 11 Strategic GRC Framework Source : Book from Mark L. Frigo and Richard J. Anderson, Strategic Risk Management: A Primer for Directors and Management Teams, 2009.
āļāļ°āļŠāļąāļāđāļāļāđāļāđāļ§āđāļēāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ (Risk Management) āļāļ·āļāđāļāđāļ§āđāļēāđāļāđāļāđāļāļāļāļĨāļēāļāļāļĩāđāļŠāļģāļāļąāļāļĄāļēāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļāļāđāļāļĢāļāļēāļĄāđāļāļ§āļāļīāļ “Integrated GRC” āļāļķāđāļāļĄāļĩāļāļ§āļēāļĄāđāļāļĩāđāļĒāļ§āļāđāļāļāđāļāļĒāļāļĢāļāļāļąāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļŠāļēāļĢāļŠāļāđāļāļĻ (IT Risk Management) āđāļĨāļ° āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāđāļēāļāļāļ§āļēāļĄāļĄāļąāđāļāļāļāļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ (Information Security Risk Management) āļāļĩāđāļāļ§āļĢāļāđāļēāļāļāļīāļāļāļąāļ “Risk IT Framework” āļāļāļ ISACA (āļāļđāļĢāļđāļāļāļĩāđ 12) āđāļĨāļ° āļāđāļāļāļģāļŦāļāļāđāļāļĄāļēāļāļĢāļāļēāļISO/IEC 27005 āļāļēāļĄāļĨāļģāļāļąāļ (āļāļđāļĢāļđāļāļāļĩāđ 13) āđāļāļĒ “Risk IT framework” āļāļąāđāļāļāļāļāđāļāļāļĄāļēāđāļāļ·āđāļāđāļāđāļāļāļēāļĢāļāļīāļāļāđāļāļāļ§āđāļēāļ (Gap) āļĢāļ°āļŦāļ§āđāļēāļ COSO ERM āļāļĩāđāļĄāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāđāļāļŦāļĄāļāļāļāļāļāļāļāđāļāļĢāđāļāļ āļēāļāļĢāļ§āļĄāđāļāđāđāļĄāđāđāļāđāđāļāļēāļ°āļĨāļķāļāđāļāđāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļāļŠāļāđāļāļĻ āđāļĨāļ° āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢ ISMS āļāļēāļĄāļĄāļēāļāļĢāļāļēāļ ISO/IEC 27001 āđāļāļĒāļāđāļēāļāļāļīāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāđāļāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļēāļāļĄāļēāļāļĢāļāļēāļ ISO/IEC 27005 āļāļĩāđāđāļāļēāļ°āļĨāļķāļāđāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāđāļĄāđāđāļāđāļĄāļāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāđāļāļŦāļĄāļāļāļāļāļāļāļāđāļāļĢāđāļāļ āļēāļāļĢāļ§āļĄāđāļŦāļĄāļ·āļāļ COSO ERM (āļāļđāļĢāļđāļāļāļĩāđ 14)

āļĢāļđāļāļāļĩāđ 14 Completeness of Risk Management Scope vs. Depth of coverage of IT Source : ISACA web site
āļāļĨāđāļēāļ§āđāļāļĒāļŠāļĢāļļāļāđāļāđāļ§āđāļēāļāļēāļĢāļāļđāļĢāļāļēāļāļēāļĢāđāļāļ§āļāļīāļ “GRC” āļŠāļđāđāļ āļēāļāļāļāļīāļāļąāļāļīāđāļāļāļāļāđāļāļĢāļāļąāđāļāļāļ°āļŠāļģāđāļĢāđāļāļĨāļāđāļĄāđāđāļāđāđāļĨāļĒ āļāđāļēāđāļĄāđāđāļāđāļĢāļąāļāļāļ§āļēāļĄāļĢāđāļ§āļĄāļĄāļ·āļāđāļĨāļ°āļāļēāļĢāļŠāļāļąāļāļŠāļāļļāļāļāļēāļāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļ (Tone from the Top/Executive Level Management Support) āļŦāļēāļāđāļāđāļāļ§āļēāļĄāļĒāļēāļāļāļąāđāļāļāļĒāļđāđāļāļĩāđāđāļĢāļēāļāļ°āļāļģāļāļĒāđāļēāļāđāļĢāđāļŦāđāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāđāļāđāļēāđāļāđāļāļāļĢāļ°āđāļĒāļāļāđāļāļāļāļāļēāļĢāļāļģāđāļāļ§āļāļīāļ “Integrated GRC” āļĄāļēāđāļāđ (Management Buy-in) āļāļķāđāļāđāļāđāļāļŦāļāđāļēāļāļĩāđāļāļāļ CIO āļŦāļĢāļ·āļ CISO/CSO āđāļāļāļēāļĢāļāļģāđāļŠāļāļāđāļāļ§āļāļīāļ IT/Business Alignment āđāļŦāđāļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļĄāļāļāđāļŦāđāļāļāļĢāļ°āđāļĒāļāļāđāļāļĒāđāļēāļāļāļąāļāđāļāļāđāļĨāļ°āļāļąāļāļāđāļāļāđāļāđāđāļŠāļĩāļĒāļāđāļāļ āļāđāļ§āļĒāļāļĢāļāļāđāļāļ§āļāļīāļ Balanced Scorecard (BSC) āđāļĨāļ° IT Governance Framework āđāļāļĒāļāļēāļĢāļāļĢāļ°āļĒāļļāļāļāđāđāļāđ “CobiT Framework” āđāļāđāļāļāļąāļ§āđāļāļ·āđāļāļĄāđāļĒāļāļĢāļ°āļŦāļ§āđāļēāļ “IT Requirement” āđāļĨāļ° “Business Requirement” āļŦāļĨāļąāļāļāļēāļāļāļąāđāļāļāđāļāļĒāļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāđāļĢāļ·āđāļāļāļāļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļēāļĄāļāļĢāļāļāđāļāļ§āļāļīāļ “Risk IT framework” āđāļĨāļ°āļĨāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāđāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļāļāđāļ§āļĒ “Standards” āđāļĨāļ° “Best Practices” āļāđāļēāļāđāđāļĄāđāļ§āđāļēāļāļ°āđāļāđāļ ISO 9000, ISO/IEC 27001, ISO/IEC 27002, ITIL, GPG 2010, BS25777 āđāļĨāļ° BS25999 āļāļĩāđāļāļģāļĨāļąāļāļāļ°āļāļĨāļēāļĒāđāļāđāļāļĄāļēāļāļĢāļāļēāļ ISO 22301 āđāļāļāļĩāļāļĩāđ (āļ.āļĻ. 2554) āļāļĨāļāļāļāļāļāļēāļĢāļāļāļīāļāļąāļāļīāļāļēāļĄāļāļāļāđāļāļāļąāļāļāļąāļāđāļĨāļ°āļāļāļŦāļĄāļēāļĒāļāđāļēāļāđ (Regulatory Compliance) āļāļĩāđāļāļģāļĨāļąāļāļāļĒāļāļĒāļāļāļāļĄāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāđāļāļāļąāļāļāļļāļāļąāļāđāļĨāļ°āļāļāļēāļāļ
āđāļāļĢāļēāļ°āđāļāļ§āļāļīāļ “GRC” āđāļĄāđāđāļāđāđāļāđāļāđāļāļĩāļĒāļ “G” “R” āđāļĨāļ° “C” āļŦāļēāļāđāļāđāļĄāļĩāļāļ§āļēāļĄāļŦāļĄāļēāļĒāļĨāļķāļāļāļķāđāļāđāļāļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļāđāļĨāļ°āļāļđāļĢāļāļēāļāļēāļĢ (Alignment and Integrated) āļāļĒāļđāđāđāļāļāļąāļ§ āļĄāļĩāļāļēāļĢāđāļāļ·āđāļāļĄāđāļĒāļāđāļāļāļķāļāđāļĢāļ·āđāļāļāļ āļēāļ§āļ°āļāļđāđāļāļģ (Leadership) āđāļĨāļ° āļ§āļąāļāļāļāļĢāļĢāļĄāļ āļēāļĒāđāļāļāļāļāđāļāļĢ (Corporate Culture) āļāļĒāđāļēāļāļŦāļĨāļĩāļāđāļĨāļĩāđāļĒāļāđāļĄāđāđāļāđ āļāļąāļāļāļąāđāļāđāļĢāļ·āđāļāļāļāļāļāļāļ§āļēāļĄāļĢāđāļ§āļĄāļĄāļ·āļāđāļĨāļ°āļāļ§āļēāļĄāđāļāđāļēāđāļāļāļāļāļāļđāđāļāļāļīāļāļąāļāļīāđāļāļāļāļāđāļāļĢ (Human Factor) āļāļķāļāđāļāđāļāđāļĢāļ·āđāļāļāļŠāļģāļāļąāļāļāļĩāđāđāļāđāļāļāļąāļāļāļąāļĒāđāļŦāđāļāļāļ§āļēāļĄāļŠāļģāđāļĢāđāļ (Key Success Factor) āđāļāļĒāļāļđāđāđāļāļĩāļĒāļāļāļ°āļāļāļāļĨāđāļēāļ§āļāļķāļāļāļĒāđāļēāļāļĨāļ°āđāļāļĩāļĒāļāđāļāļāļāļāļąāļāđāļ