Riskujte IT - Risk IT
Risk IT poskytuje ucelený komplexní pohled na všechna rizika související s využíváním informačních technologií (IT) a podobně důkladné zacházení s řízením rizik, od tónu a kultury nahoře , až po provozní záležitosti.
Risk IT byl publikován v roce 2009 ISACA . Je výsledkem pracovní skupiny složené z odborníků z oboru a některých akademiků z různých zemí pocházejících z organizací jako Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life a KPMG .
Obsah
Definice
IT riziko je součástí obchodního rizika - konkrétně obchodního rizika spojeného s používáním, vlastnictvím, provozem, zapojením, vlivem a přijetím IT v podniku. Skládá se z událostí souvisejících s IT, které by mohly mít potenciální dopad na podnikání. Může nastat s nejistou frekvencí a velikostí a vytváří výzvy při plnění strategických cílů a záměrů.
Řízení obchodního rizika je podstatnou součástí odpovědné správy jakékoli organizace. Vzhledem k důležitosti IT pro celkové podnikání by mělo být s IT rizikem zacházeno jako s dalšími klíčovými obchodními riziky.
Rámec IT pro rizika vysvětluje rizika IT a umožňuje uživatelům:
- Integrujte řízení IT rizik do celkového ERM
- Porovnejte vyhodnocená rizika IT s ochotou riskovat a tolerancí vůči riziku organizace
- Pochopte, jak řídit riziko
IT riziko musí být řízeno všemi klíčovými obchodními vedoucími uvnitř organizace: nejde pouze o technickou záležitost IT oddělení.
IT riziko lze kategorizovat různými způsoby:
- Přínos IT / hodnoty
- rizika spojená s promarněnou příležitostí ke zvýšení obchodní hodnoty IT nebo vylepšenými procesy
- Dodávka IT programu / projektu
- rizika spojená s řízením projektů souvisejících s IT, která mají umožnit nebo zlepšit podnikání: tj. riziko nadměrného rozpočtu nebo opožděného dodání (nebo nedoručení vůbec) těchto projektů
- Provoz IT a poskytování služeb
- rizika spojená s každodenním provozem a poskytováním služeb IT, která mohou přinést problémy a neefektivitu obchodních operací organizace
Rámec IT pro rizika je založen na zásadách standardů / rámců pro řízení podnikových rizik, jako jsou Výbor sponzorských organizací Treadway Commission ERM a ISO 31000 .
Tímto způsobem by vyšší management mohl chápat IT riziko.
Principy rizikového IT
Risk IT je postaven na následujících principech:
- vždy v souladu s obchodními cíli
- sladit řízení IT rizik s ERM
- vyvážit náklady a přínosy řízení rizik IT
- podporovat spravedlivou a otevřenou komunikaci o IT rizicích
- vytvořit správný tón nahoře při definování a prosazování odpovědnosti
- jsou nepřetržitým procesem a součástí každodenních činností
Komponenty komunikace rizika IT
Hlavní komunikační toky rizik IT jsou:
- Očekávání: co organizace očekává jako konečný výsledek a jaké je očekávané chování zaměstnanců a managementu; Zahrnuje strategii, politiky, postupy, školení na zvyšování povědomí
- Schopnost: označuje, jak je organizace schopna řídit riziko
- Stav: informace o skutečném stavu rizika IT; Zahrnuje rizikový profil organizace, klíčový indikátor rizika (KRI), události, hlavní příčinu ztrátových událostí.
Účinnou informací by mělo být:
- Průhledná
- Stručný
- Užitečný
- Včas
- Zaměřeno na správné cílové publikum
- K dispozici na potřebují znát základ
Riskujte IT domény a procesy
Níže jsou uvedeny tři domény rámce Risk IT s obsaženými procesy (tři podle domén); každý proces obsahuje řadu aktivit:
-
Řízení rizik: Zajistěte, aby v podniku byly zabudovány postupy řízení rizik IT, což mu umožní zajistit optimální návratnost upravenou o riziko. Je založen na následujících procesech:
- RG1 Vytvoření a udržování společného pohledu na rizika
- RG1.1 Proveďte hodnocení podnikových IT rizik
- RG1.2 Navrhněte prahové hodnoty tolerance rizika IT
- RG1.3 Schválit toleranci vůči riziku IT
- RG1.4 Sladit politiku rizik IT
- RG1.5 Propagujte kulturu informující o rizicích IT
- RG1.6 Podporujte efektivní komunikaci rizika IT
- Integrace RG2 s ERM
- RG2.1 Zavést a udržovat odpovědnost za řízení rizik IT
- RG2.2 Koordinujte strategii IT rizik a strategii obchodních rizik
- RG2.3 Přizpůsobte postupy IT v oblasti rizik podnikovým postupům
- RG2.4 Poskytnout odpovídající zdroje pro řízení rizik IT
- RG2.5 Poskytují nezávislé záruky v oblasti řízení rizik IT
- RG3 Podnikejte obchodní rozhodnutí zohledňující rizika
- RG3.1 Získání správy zisku pro přístup k analýze rizik IT
- RG3.2 Schválit analýzu rizik IT
- RG3.3 Zahrňte zvážení rizika IT do strategického obchodního rozhodování
- RG3.4 Přijměte IT riziko
- RG3.5 Upřednostněte činnosti reakce na rizika v oblasti IT
- RG1 Vytvoření a udržování společného pohledu na rizika
-
Vyhodnocení rizik : Zajistěte, aby rizika a příležitosti související s IT byly identifikovány, analyzovány a prezentovány v obchodních podmínkách. Je založen na následujících procesech:
- RE1 Sbírejte data
- RE1.1 Vytvoření a údržba modelu pro sběr dat
- RE1.2 Shromažďujte data o operačním prostředí
- RE1.3 Shromažďujte údaje o rizikových událostech
- RE1.4 Identifikujte rizikové faktory
- RE2 Analyzujte riziko
- RE2.1 Definujte rozsah analýzy rizik IT
- RE2.2 Odhadněte IT riziko
- RE2.3 Určete možnosti reakce na riziko
- RE2.4 Provést peer review analýzy rizik IT
- RE3 Udržujte rizikový profil
- RE3.1 Mapujte zdroje IT na obchodní procesy
- RE3.2 Určuje obchodní kritičnost zdrojů IT
- RE3.3 Pochopte možnosti IT
- RE3.4 Aktualizace komponent rizikového scénáře
- RE3.5 Udržujte registr rizik IT a mapu rizik iT
- RE3.6 Vypracovat indikátory rizik IT
- RE1 Sbírejte data
-
Reakce na rizika : Zajistěte, aby byly problémy, příležitosti a události související s IT řešeny nákladově efektivním způsobem a v souladu s obchodními prioritami. Je založen na následujících procesech:
- RR1 Artikulovat riziko
- RR1.1 Komunikujte výsledky analýzy rizik IT
- RR1.2 Reportujte činnosti řízení rizik IT a stav dodržování předpisů
- RR1.3 Interpretovat zjištění nezávislého posouzení IT
- RR1.4 Identifikujte příležitosti související s IT
- RR2 Řízení rizik
- RR2.1 Řízení zásob
- RR2.2 Monitorovat provozní sladění s prahovými hodnotami tolerance rizika
- RR2.3 Reagujte na objevené riziko a příležitost
- RR2.4 Ovládací prvky nářadí
- RR2.5 Zpráva o pokroku akčního plánu pro rizika IT
- RR3 Reagovat na události
- RR3.1 Udržujte plány reakce na incidenty
- RR3.2 Monitorujte IT rizika
- RR3.3 Zahajte reakci na incident
- RR3.4 Sdělte poučení z rizikových událostí
- RR1 Artikulovat riziko
Každý proces je podrobně popsán:
- Procesní komponenty
- Praxe řízení
- Vstupy a výstupy
- Grafy RACI
- Cíl a metriky
Pro každou doménu je zobrazen model zralosti.
Hodnocení rizik
Abychom pochopili dopad nepříznivých událostí, je třeba navázat souvislost mezi scénáři rizika IT a konečným dopadem na podnikání. Risk IT nepředepisuje jedinou metodu. K dispozici jsou různé metody. Mezi nimi jsou:
- Informační kritéria COBIT
- Vyvážený scorecard
- Rozšířený vyvážený scorecard
- Westerman
- COSO
- Faktorová analýza informačního rizika
Scénáře rizika
Rizikové scénáře jsou srdcem procesu hodnocení rizik. Scénáře lze odvodit dvěma různými a doplňkovými způsoby:
- přístup shora dolů od celkových obchodních cílů k nejpravděpodobnějším rizikovým scénářům, které je mohou ovlivnit.
- přístup zdola nahoru, kdy se na situaci organizace vztahuje seznam obecných scénářů rizik
Každý rizikový scénář je analyzován a určuje četnost a dopad na základě rizikových faktorů .
Reakce na riziko
Účelem definování reakce na riziko je uvést riziko do souladu s celkově definovaným rizikovým apetitem organizace po analýze rizik: tj. Zbytkové riziko by mělo být v mezích tolerance rizika .
Riziko lze řídit podle čtyř hlavních strategií (nebo jejich kombinací):
- Vyhýbání se rizikům, ukončení činností, které vedou k riziku
- Zmírňování rizika, přijímání opatření ke zjišťování, snižování četnosti a / nebo dopadu rizika
- Přenos rizika, převod části rizika na ostatní, outsourcing nebezpečných činností nebo pojištění
- Přijímání rizik: záměrné riskování, které bylo identifikováno, zdokumentováno a změřeno.
Klíčovými ukazateli rizika jsou metriky schopné ukázat, že organizace je předmětem nebo je vysoká pravděpodobnost, že bude vystavena riziku, které přesahuje definovanou ochotu riskovat .
Praktický průvodce
Druhým důležitým dokumentem o Risk IT je Praktický průvodce. Skládá se z osmi sekcí:
- Definování rizikového vesmíru a stanovení rozsahu řízení rizik
- Chuť k riziku a tolerance k riziku
- Povědomí o riziku, komunikace a podávání zpráv
- Vyjádření a popis rizika
- Rizikové scénáře
- Reakce na rizika a stanovení priorit
- Pracovní postup analýzy rizik
- Snižování IT rizik pomocí COBIT a Val IT
Vztah k ostatním rámcům ISACA
Riziko IT Framework doplňuje ISACA je COBIT , který poskytuje komplexní rámec pro kontrolu a řízení business-řízený informačních technologií na bázi (IT-based) řešení a služeb. Zatímco COBIT stanoví osvědčené postupy pro prostředky řízení rizik tím, že poskytuje sadu kontrol ke zmírnění rizika IT, Risk IT nastavuje osvědčené postupy pro cíle tím, že poskytuje podnikům rámec pro identifikaci, řízení a řízení rizik IT.
Val IT umožňuje obchodním manažerům získat obchodní hodnotu z investic do IT poskytnutím rámce správy. VAL IT lze použít k vyhodnocení akcí určených procesem řízení rizik .
Vztah k ostatním rámcům
Riziko Přijměte faktorovou analýzu informací Terminologie a proces hodnocení rizik .
ISO 27005
Pro srovnání rizik IT procesů a jsou postupy stanovené ISO / IEC 27005 standardu, viz IT Risk Management metodiku # řízení rizik a řízení rizik IT # ISO 27005 rámec
ISO 31000
Příručka 2 Risk IT Practitioner Guide obsahuje srovnání s ISO 31000
COSO
Příručka 4 Risk IT Practitioner Guide obsahuje srovnání s COSO
Viz také
- COBIT
- COSO
- Řízení podnikových rizik
- Faktorová analýza informačního rizika (FAIR)
- ISACA
- ISO 31000
- Riziko
- Chuť riskovat
- Rizikový faktor (výpočet)
- Řízení rizik
- Tolerance rizika
- Val IT