反应速度:专业部门的要求被表达出来或者弱点自然而然地出现。团队能够多快做出反应并迈出第一步?
决策速度:对于某些主题,仍然不清楚到底应该发生什么。这里需要多长时间才能确定下一步的方向?
执行速度:一旦做出决定,就开始执行。这意味着实施开始和实施结束之间的时间。
通过这种方式,所有进程都可以分为不同的速度,并且很明显,对其他参数的依赖性 - 例如主题的数量。
在频繁使用的流程中,例如用户请求,有必要将这些速度作为关键数据进行实际测量。一旦记录了此类速度,也可以对其进行优化,如以下实际示例所示:
用于控制 SAP 环境中的安全流程。每天通过自动控制和 SAP GRC Process Control 中的相应作业报告漏洞。然而,员工的工作收件箱中收到了大量的工单,他们花了很长时间来处理这些工单。一旦票被接受,实施并不需要很长时间。
如果我们只看一天的纯响应时间,这是非常好的,因为GRC系统可以立即快速地检测到漏洞。如果解决问题之前的整个时间更重要,那么肯定还有优化的潜力。
通过将作业频率从每天更改为每周解决了这个问题。因此,员工现在会以收集的形式收到结果。决策时间平均缩短至三天,从而缩短了整体处理时间。更重要的是:员工的纯粹处理时间也大幅减少了 73%,从而能够专注于新主题。
缩短决策和处理时间
自觉发展动力
为了在操作中达到正确的速度,动力是必要的。这并不意味着随意 药品电子邮件列表 的加速,而是启动了一定量的动量。可以通过多种不同的方式为这种势头提供推动力:
通过良好的设计提高速度:在流程的开发阶段应牢记可能的吞吐量。一旦完成所有流程(而不仅仅是最重要的流程),稍后出现的差距将很快变得明显。
再次以实施 SAP GRC Access Control 为例:以后是否可以了解哪些风险是从哪些应用程序进入系统的?或者申请中是否有可以缩短或自动批准的子步骤?通过这种方式,可以在设计阶段消除不必要的障碍,这些障碍随后会导致挫败感和速度减慢。
通过有针对性的控制来提高速度:日常工作中很多事情都可以优化并变得更有效率。但这有效吗?专注于几个主题并且没有太多的多任务处理可以带来更大的影响。如果形成了相应的错误文化,并且每个人都对问题负责,那么就会突然出现一定的速度。例如,在内部控制团队中:是否建立了明确的控制变更流程?拥有透明且可衡量的中央沟通渠道(即不是电子邮件)?是否没有混合但定义明确的负责控制人员?
通过承诺加快速度:最终,没有任何概念、系统或技术能够永远持续下去。接受新话题并从安全角度看待它们总是需要勇气。将预防作为一项原则还需要付出很大的努力。但这是值得的。因为这就是纯粹的反应如何变成行动的方式。与其只是从一个审计转到另一个审计,不如勇敢地采取对策。
可以看出,速度仍然是公司各方面安全的绝对关键因素。在行动主义和过度计划之间找到一条合适的道路并不困难。这基本上只是为下一步寻找正确的视角的问题。