ИТ-отдел управления рисками обеспечивает сквозное, всестороннее представление обо всех рисках, связанных с использованием информационных технологий (ИТ), и столь же тщательный подход к управлению рисками, от тональности и культуры наверху до операционных проблем.
Риск ИТ был опубликован ISACA в 2009 году . [1] Это результат работы группы, состоящей из отраслевых экспертов и некоторых ученых из разных стран из таких организаций, как Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life и KPMG .
Определение
ИТ-риск - это часть бизнес-риска, в частности бизнес-риск, связанный с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии. Он состоит из событий, связанных с ИТ, которые потенциально могут повлиять на бизнес. Это может происходить с неопределенной частотой и масштабом, и это создает проблемы в достижении стратегических целей и задач. [1]
Управление бизнес-рисками является важным компонентом ответственного администрирования любой организации. Ввиду важности ИТ для бизнеса в целом, ИТ-риски следует рассматривать как другие ключевые бизнес-риски.
Система управления рисками [1] объясняет ИТ-риски и позволяет пользователям:
- Интегрируйте управление ИТ-рисками с общей ERM
- Сравнить оценивается ИТ - рисками с аппетитом к риску и толерантность к риску организации
- Понять, как управлять рисками
ИТ-рисками должны управлять все ключевые бизнес-лидеры внутри организации: это не просто техническая проблема ИТ-отдела.
ИТ-риски можно классифицировать по-разному:
- Сферы влияния ИТ-преимуществ / ценности
- риски, связанные с упущенной возможностью повысить ценность бизнеса с помощью ИТ-процессов или улучшенных процессов
- ИТ-программа / реализация проекта
- риски, связанные с управлением ИТ-проектами, предназначенными для поддержки или улучшения бизнеса: т.е. риск превышения бюджета или несвоевременного выполнения (или невыполнения вообще) этих проектов
- ИТ-эксплуатация и предоставление услуг
- риски, связанные с повседневными операциями и предоставлением услуг ИТ, которые могут вызвать проблемы, неэффективность бизнес-операций организации
Инфраструктура управления рисками основана на принципах стандартов / структур управления рисками предприятия, таких как Комитет спонсорских организаций Комиссии Тредуэя ERM и ISO 31000 .
Таким образом, высшее руководство могло понять ИТ-риск.
Принципы риск-ИТ
ИТ-отдел управления рисками построен на следующих принципах: [1]
- всегда соответствовать бизнес-целям
- согласовать управление ИТ-рисками с ERM
- сбалансировать затраты и выгоды от управления ИТ-рисками
- способствовать справедливому и открытому информированию об ИТ-рисках
- установить правильный тон наверху, определяя и обеспечивая подотчетность
- являются непрерывным процессом и частью повседневной деятельности
Компоненты коммуникации ИТ-рисков
Основные потоки информирования о рисках ИТ:
- Ожидание: чего ожидает организация в качестве конечного результата и каково ожидаемое поведение сотрудников и руководства; Он включает в себя стратегию, политику, процедуры, обучение повышению осведомленности.
- Возможности: показывает, как организация способна управлять риском.
- Статус: информация о фактическом статусе ИТ-риска; Он включает в себя профиль риска организации, ключевой индикатор риска (KRI), события, основную причину событий убытков.
Эффективная информация должна быть:
- ясно
- Краткий
- Полезный
- Своевременный
- Направлен на правильную целевую аудиторию
- Доступно на необходимости знать основы
Рисковые ИТ-области и процессы
Три области ИТ-инфраструктуры рисков перечислены ниже с содержащимися в них процессами (три по доменам); каждый процесс содержит ряд действий:
- Управление рисками: убедитесь, что методы управления ИТ-рисками внедрены в предприятие, что позволяет обеспечить оптимальную доходность с поправкой на риски. Он основан на следующих процессах: [1]
- RG1 Создание и поддержание единого взгляда на риски
- RG1.1 Выполнение оценки ИТ-рисков предприятия
- RG1.2 Предложить пороги толерантности к ИТ-рискам
- RG1.3 Утверждение устойчивости к ИТ-рискам
- RG1.4 Согласование политики ИТ-рисков
- RG1.5 Содействовать культуре осведомленности о рисках ИТ
- RG1.6 Поощрение эффективного информирования об ИТ-рисках
- RG2 интегрируется с ERM
- RG2.1 Создание и поддержание подотчетности за управление ИТ-рисками
- RG2.2 Согласование стратегии ИТ-рисков и стратегии бизнес-рисков
- RG2.3 Адаптировать практики управления рисками ИТ к практике управления рисками предприятия
- RG2.4 Обеспечение адекватных ресурсов для управления ИТ-рисками
- RG2.5 Обеспечение независимой гарантии управления ИТ-рисками
- RG3 Принимайте бизнес-решения с учетом рисков
- RG3.1 Заинтересованность руководства в подходе к анализу ИТ-рисков
- RG3.2 Утвердить анализ ИТ-рисков
- RG3.3 Включение учета ИТ-рисков в процесс принятия стратегических бизнес-решений
- RG3.4 Принять ИТ-риск
- RG3.5 Приоритет действий по реагированию на ИТ-риски
- RG1 Создание и поддержание единого взгляда на риски
- Оценка рисков : убедитесь, что риски и возможности, связанные с ИТ, определены, проанализированы и представлены в бизнес-терминах. В его основе лежат следующие процессы:
- RE1 Сбор данных
- RE1.1 Создание и поддержка модели для сбора данных
- RE1.2 Сбор данных об операционной среде
- RE1.3 Сбор данных о рисковых событиях
- RE1.4 Идентифицировать факторы риска
- RE2 Анализ рисков
- RE2.1 Определение области анализа ИТ-рисков
- RE2.2 Оценка ИТ-риска
- RE2.3 Определение вариантов реагирования на риски
- RE2.4 Выполнение независимой проверки анализа ИТ-рисков
- RE3 Ведение профиля риска
- RE3.1 Сопоставление ИТ-ресурсов с бизнес-процессами
- RE3.2 Определяет критичность ИТ-ресурсов для бизнеса
- RE3.3 Понять возможности ИТ
- RE3.4 Обновление компонентов сценария риска
- RE3.5 Ведение реестра ИТ-рисков и карты ИТ-рисков
- RE3.6 Разработка индикаторов риска ИТ
- RE1 Сбор данных
- Реагирование на риски : убедитесь, что вопросы, возможности и события, связанные с ИТ, решаются экономически эффективным образом и в соответствии с бизнес-приоритетами. В его основе лежат следующие процессы:
- RR1 Сочлененный риск
- RR1.1 Сообщать результаты анализа ИТ-рисков
- RR1.2 Отчет о деятельности по управлению ИТ-рисками и состоянии соответствия
- RR1.3 Интерпретировать результаты независимой ИТ-оценки
- RR1.4 Определение возможностей, связанных с ИТ
- RR2 Управление рисками
- RR2.1 Инвентарный контроль
- RR2.2 Мониторинг оперативного согласования с порогами допустимости риска
- RR2.3 Реагировать на обнаруженные риски и возможности
- RR2.4 Органы управления агрегатом
- RR2.5 Отчет о ходе выполнения плана действий по ИТ-рискам
- RR3 Реагировать на события
- RR3.1 Ведение планов реагирования на инциденты
- RR3.2 Мониторинг ИТ-рисков
- RR3.3 Инициировать реакцию на инцидент
- RR3.4 Сообщать об уроках, извлеченных из событий риска
- RR1 Сочлененный риск
Каждый процесс подробно описан:
- Компоненты процесса
- Практика управления
- Входы и выходы
- Графики RACI
- Цель и показатели
Для каждого домена изображена модель зрелости.
Оценка риска
Чтобы понять влияние неблагоприятных событий, необходимо установить связь между сценариями ИТ-рисков и конечным воздействием на бизнес. Risk IT не предписывает ни одного метода. Доступны разные методы. Среди них:
- Критерии информации COBIT
- Сбалансированная система показателей
- Расширенная сбалансированная система показателей
- Вестерман [2]
- COSO
- Факторный анализ информационного риска
Сценарии риска
Сценарии риска - это суть процесса оценки риска. Сценарии могут быть получены двумя различными дополнительными способами:
- подход сверху вниз от общих бизнес-целей до наиболее вероятных сценариев риска, которые могут на них повлиять.
- восходящий подход, при котором список общих сценариев риска применяется к организационной ситуации
Каждый сценарий риска анализируется с определением частоты и воздействия на основе факторов риска .
Ответ на риск
Целью определения реакции на риск является приведение риска в соответствие с общим определенным аппетитом к риску организации после анализа риска: т. Е. Остаточный риск должен находиться в пределах допустимых значений риска .
Риском можно управлять в соответствии с четырьмя основными стратегиями (или их комбинацией):
- Избежание риска, прекращение деятельности, которая приводит к возникновению риска
- Снижение риска, принятие мер для обнаружения, уменьшения частоты и / или воздействия риска
- Передача риска, передача части риска другим, путем передачи опасной деятельности на аутсорсинг или путем страхования
- Принятие риска: сознательное управление риском, который был идентифицирован, задокументирован и измерен.
Ключевые индикаторы риска - это показатели, способные показать, что организация подвержена или имеет высокую вероятность подвергнуться риску, превышающему установленный аппетит к риску .
Практическое руководство
Второй важный документ об ИТ-рисках - это Практическое руководство. [3] Он состоит из восьми разделов:
- Определение совокупности рисков и определение объема управления рисками
- Риск-аппетит и толерантность к риску
- Осведомленность о рисках, коммуникация и отчетность
- Выражение и описание риска
- Сценарии риска
- Реагирование на риски и расстановка приоритетов
- Рабочий процесс анализа рисков
- Снижение ИТ-рисков с помощью COBIT и Val IT
Связь с другими фреймворками ISACA
Риск IT Framework дополняет ISACA «s COBIT , которая обеспечивает всеобъемлющую основу для контроля и управления решений и услуг бизнес-инициативе информационно-технологической базе (IT основе). В то время как COBIT устанавливает передовой опыт в отношении средств управления рисками, предоставляя набор средств контроля для снижения ИТ-риска, ИТ-подразделение по рискам устанавливает передовые методы для достижения конечных результатов, предоставляя предприятиям основу для выявления, управления и управления ИТ-рисками.
Val IT позволяет бизнес-менеджерам получать выгоду от инвестиций в ИТ, обеспечивая структуру управления. VAL IT может использоваться для оценки действий, определенных в процессе управления рисками .
Связь с другими фреймворками
Риск IT принимает Факторный анализ информации Терминология риска и процесс оценки.
ISO 27005
Для сравнения процессов управления рисками ИТ и тех, которые предусмотрены стандартом ISO / IEC 27005 , см. Управление рисками ИТ # Методология управления рисками и Управление рисками ИТ # Структура ISO 27005
ISO 31000
Руководство для ИТ-специалиста по рискам [3], приложение 2, содержит сравнение с ISO 31000.
COSO
Руководство для ИТ-специалиста по рискам [3], приложение 4 содержит сравнение с COSO
Смотрите также
- COBIT
- COSO
- Управление рисками
- Факторный анализ информационного риска (FAIR)
- ISACA
- ISO 31000
- Риск
- Склонность к риску
- Фактор риска (вычисление)
- Управление рисками
- Толерантность к риску
- Вал IT
Рекомендации
- ^ a b c d e ISACA ОСНОВА РИСКА ДЛЯ ЭТОГО РИСКА (требуется регистрация)
- ^ Джордж Вестерман, Ричард Хантер, ИТ-риск: превращение бизнес-угроз в конкурентное преимущество, Серия изданий Гарвардской школы бизнеса ISBN 1-4221-0666-7 , ISBN 978-1-4221-0666-2
- ^ a b c Руководство для ИТ-специалиста по рискам, ISACAISBN 978-1-60420-116-1 (требуется регистрация)
Внешние ссылки
- Главная страница Risk IT на сайте ISACA