Risk IT.

Vineri, 01 iulie 2016

Riscul reprezintă un factor important pentru mediul de afaceri actual. Aproape fiecare decizie de afaceri impune conducerii și managerilor să echilibreze riscul și beneficiile. Gestionarea eficientă a riscurilor de afaceri este esențială pentru succesul unei organizații.

Adesea, riscul în IT (riscul de afaceri legat de utilizarea IT) este trecut cu vederea. Alte riscuri de afaceri, precum riscurile de piață, credit și operațional au fost mult timp incluse în procesele de luare a deciziilor din cadrul organizațiilor.

Risk IT este un ghid pentru gestionarea eficientă a riscului IT, facilitând limitarea incidentelor IT operaționale, eșecurile proiectelor sau a schimbărilor strategice din IT, dar și un control mai bun asupra evenimentelor externe precum modificări ale condițiilor de piață, apariția de noi competitori, tehnologii sau reglementări care afectează IT. Aceste evenimente prezintă un risc și / sau o oportunitate care trebuie să fie evaluată și tratată. Dimensiunea riscului și modul de gestionarea a acestuia reprezintă principalul subiect al cadrului de Risk IT.

Principii

Riscul în IT este un risc specific de afaceri asociat cu utilizarea, deținerea, operarea, implicarea, influența și includerea IT în cadrul organizației. Acesta este alcătuit din evenimente legate de IT care pot avea un impact asupra afacerii și pot să apară cu o frecvență și amploare incerte.

Riscul în IT poate fi clasificat astfel:

  • Beneficii / Valoare IT a abilității riscului – Asociat cu oportunitățile ratate de a utiliza tehnologia pentru a îmbunătăți eficiența sau eficacitatea procesului de afaceri, sau ca un facilitator pentru noile inițiative de afaceri;
  • Program IT și proiect de livrare a riscului – Asociat cu contribuția IT de a îmbunătăți soluțiile de afaceri, de regulă, sub formă de proiecte și programe. Acesta se leagă de portofoliul de investiții a managementului (așa cum este descris în cadrul Val IT);
  • Operațiuni IT și servicii de livrare a riscului – Asociat cu toate aspectele legate de performanța sistemelor și serviciilor IT, care pot duce la distrugerea sau reducerea valorii organizației.

Riscul în IT există mereu, indiferent dacă este detectat sau recunoscut de organizație. Conexiunea cu afacerea se bazează pe principiile cu care cadrul este construit. O guvernare eficientă a organizației și gestionarea riscului IT:

  • Întotdeauna face legătura cu obiectivele de afaceri;
  • Aliniază managementul riscului legat de IT cu riscul general al organizației de management (ERM);
  • Echilibrează costurile și beneficiile de gestionare a riscului IT;
  • Promovează comunicarea corectă și deschisă a riscului IT;
  • Stabilește tonul potrivit încă de la început în timp ce definirea și aplicarea personală a responsabilității pentru operarea la niveluri de toleranță sunt acceptabile și bine definite;
  • Este un proces continuu și face parte din activitățile zilnice.

Este important să se păstreze dualitatea risc / beneficiu pe parcursul tuturor deciziilor legate de risc. De exemplu, în luarea deciziilor trebuie să se ia în considerare expunerea care poate rezulta în cazul în care un risc nu este tratat în raport cu beneficiul în cazul în care este adresat, sau potențialul beneficiu care poate crește dacă oportunitățile sunt luate în calcul în raport cu beneficiile ratate în cazul în care oportunitățile sunt cunoscute dinainte.

Cadrul de Risk IT se adresează unui public larg deoarece managementul riscului este o cerință atotcuprinzătoare și strategică în orice organizație. Audiența țintă este reprezentată de:

  • Directorii și membrii consiliului de administrație care trebuie să seteze direcția și să monitorizeze riscul la nivel de conducere;
  • Managerii IT și ai departamentelor de afaceri care trebuie să definească procesele de gestionare a riscului;
  • Profesioniștii în gestionarea riscului care au nevoie de îndrumări specifice de risc IT;
  • Părțile externe interesate.

Gestionarea și înțelegerea riscului IT

Pentru a prioritiza și gestiona riscul IT, directorii executivi au nevoie de un model de referință și o înțelegere clară a funcției și a riscului IT. Cu toate acestea, persoanele importante din cadrul organizației, inclusiv membrii consiliului de administrație și managerii executivi, chiar persoanele care ar trebui să fie responsabile pentru managementul riscului în cadrul organizației, de cele mai multe ori nu au o înțelegere clară privind riscul IT. Riscul în IT nu este doar o problemă tehnică. Managerii de business determină de ce au nevoie cei de la IT pentru a ajuta afacerea, stabilesc obiectivele pentru IT iar aceștia sunt responsabili pentru gestionarea riscurilor asociate.

Risk IT permite organizației să ia decizii corespunzătoare în ceea ce privește riscul și va permite managementului să:

  • integreze gestionarea riscului IT în managementul global al riscului a organizației (ERM);
  • ia decizii bine informate cu privire la amploarea riscului și toleranța la risc a organizației;
  • înțeleagă cum să răspundă la risc.

Modelul de gestiune Risk IT prevede:

  • un set de practici de guvernare pentru managementul riscului;
  • o listă generică de scenarii comune legate de IT care ar putea avea un impact în realizarea obiectivelor organizației;
  • instrumente și tehnici pentru a înțelege riscurile concrete pentru operațiile de afaceri.

Procesul de management al riscului grupează activitățile cheie într-un număr de procese grupate pe trei domenii:

  • Guvernarea Riscului:
    • stabilește și menține un risc comun de vedere
    • integrarea cu ERM
    • să ia decizii de afaceri fiind conștient de risc
  • Evaluarea Riscului:
    • colectează datele
    • analizează riscul
    • menține profilul de risc
  • Răspunsul la risc
    • articularea riscului
    • gestionarea riscului
    • reacția la evenimente

Îndrumările oferite pentru activitățile cheie din cadrul fiecărui proces de ghidul Risk IT facilitează:

  • Personalizarea componentelor pentru a se potrivi nevoilor specifice ale acestora;
  • Înțelegerea și gestionarea tuturor tipurilor semnificative de risc IT;
  • Obținerea de beneficii de afaceri tangibile;
  • Luarea deciziilor de risc corespunzătoare;
  • Explicarea modului în care se valorifică o investiție realizată într-un sistem IT de control intern deja existent pentru a gestiona riscurile legate de IT;
  • Integrarea cu riscurile globale și conformitatea structurilor în cadrul companiei, atunci când sunt evaluate și gestionate riscurile IT.

Beneficii și rezultate

Cadrul de Risk IT abordează mai multe probleme cu care organizațiile se confruntă astăzi, în special nevoia lor de:

  • un limbaj comun pentru a ajuta la comunicarea între organizații, IT și gestionarea riscurilor și a auditului;
  • un profil complet de risc pentru a înțelege mai bine riscul, și altfel pentru o mai bună utilizare a resurselor organizației;
  • o mai bună înțelegere a rolurilor și a responsabilităților în ceea ce privește managementul riscurilor IT;
  • alinierea la ERM;
  • o vedere mai bună a riscurilor legate de IT și implicațiile sale financiare;
  • mai puține eșecuri operaționale;
  • creșterea calității informației;
  • încrederea părților interesate;
  • aplicații inovatoare care sprijină noi inițiative de afaceri.

Impactul asupra afacerii

Evaluările semnificative a riscurilor IT și a deciziilor bazate pe riscuri necesită ca riscul IT să fie exprimat în termeni de afaceri relevanți, clari și lipsiți de ambiguitate. Gestionarea eficientă a riscurilor necesită o înțelegere reciprocă între IT și organizație asupra căreia riscul trebuie să fie gestionat.

Toate părțile interesate trebuie să aibă capacitatea de a înțelege și de a exprima modul în care evenimentele nefavorabile pot afecta obiectivele de afaceri. Aceasta înseamnă că:

  • un specialist IT trebuie să înțeleagă modul în care eșecurile sau evenimentele legate de IT pot avea un impact asupra obiectivelor organizației și pot cauza pierderi directe sau indirecte pentru aceasta;
  • o persoană de afaceri trebuie să înțeleagă modul în care eșecurile sau evenimentele legate de IT pot afecta serviciile și procesele cheie.

Legătura dintre scenariile de risc IT și impactul asupra afacerii trebuie stabilit pentru a înțelege efectele evenimentelor nefavorabile. Există mai multe tehnici și opțiuni care pot ajuta organizația să descrie riscurile IT în termeni de afaceri. Cadrul de risk IT necesită ca riscurile IT să fie traduse / exprimate în termeni de afaceri relevanți, dar nu prevede nicio metodă unică.

Scenarii de risc IT

Una dintre provocările pentru gestionarea riscului IT este de a identifica riscurile cele mai importante și relevante. O tehnică ce poate fi folosită în acest caz este dezvoltarea și utilizarea scenariilor de risc. Este o abordare de bază pentru a aduce realism, înțelegere, implicarea organizațională, analiza și structura îmbunătățită la problema complexă a riscurilor IT.

Odată ce aceste scenarii sunt dezvoltate, acestea sunt utilizate în timpul analizei de risc, unde se estimează frecvența scenariului care se întâmplă și impactul asupra afacerii.

Scenariile de risc pot fi derivate prin intermediul a două mecanisme diferite:

  • o abordare de sus în jos, în cazul în care se pornește de la obiectivele generale de afaceri și efectuează o analiză a scenariilor de risc cele mai relevante și probabile cu impact asupra obiectivelor de afaceri. În cazul în care criteriile de impact sunt bine aliniate cu valoarea reală de conducere a organizației atunci vor fi elaborate scenarii de risc relevante.
  • o abordare de jos în sus, în cazul în care o listă de scenarii generice este utilizată pentru a defini un set mai concret și personalizat de scenarii aplicată la fiecare situație individuală a organizației.

Aceste abordări sunt complementare și ar trebui utilizate simultan. Într-adevăr, scenariile de risc ar trebui să fie relevante și legate de riscul real de afaceri. Pe de altă parte, folosirea unui set de exemple de scenarii de risc generic ajută pentru a se asigura că niciun risc nu este neglijat și oferă o imagine mai cuprinzătoare și completă asupra riscului IT. Odată ce setul de scenarii de risc este definit, acesta poate fi utilizat pentru analiza de risc, unde frecvența și impactul scenariului este evaluat.

În concluzie, ghidul Risk IT va permite organizațiilor să înțeleagă și să gestioneze toate tipurile semnificative de risc IT. Aplicarea bunelor practici de gestionare a riscurilor IT așa cum au fost descrise în Risk IT va oferi beneficii concrete organizației, de exemplu, mai puține erori operaționale și eșecuri, creșterea calității informației, o mai mare încredere a părților interesate, o reducere a preocupărilor de reglementare și aplicații inovatoare care sprijină noi inițiative de afaceri. Risk IT face parte din portofoliul de produse ISACA privind Guvernanța IT. Ca și COBIT și Val IT, Risk IT nu este un standard ci este un ghid, care include un model de proces și un set de bune practici. Acest lucru înseamnă că organizațiile pot și trebuie să personalizeze componentele oferite de acesta pentru a se potrivi organizației și contextului acesteia.

Infologica oferă servicii profesionale de consultanță pentru implementarea cerințelor de securitate și control impuse de reglementările în vigoare.