Risk IT (Ryzyko informatyczne)

Risk IT – framework oferujący kompleksowe spojrzenie na wszelkie źródła ryzyka powiązane ze stosowaniem IT oraz równie wnikliwe potraktowanie zarządzania ryzykiem. Risk IT został wydany w 2009 roku przez międzynarodowe stowarzyszenie ISACA. Jest efektem pracy grupy złożonej z ekspertów biznesowych oraz akademickich z różnych krajów, reprezentujących organizacje takie jak IBM, PricewaterhouseCoopers, Risk Management Insight, Swiss Life czy KPMG.

OPIS

Ryzyko IT jest częścią ryzyka biznesowego, szczególnie tego związanego z użyciem, posiadaniem, udziałem, wpływem i wyborem IT w organizacji. Składa się ze związanych z IT wydarzeń, które mogą potencjalnie wpływać na przedsiębiorstwo. Wielkość tych zjawisk jest nieprzewidywalna i mogą się one pojawiać z nieznaną częstotliwością. Stanowi to wyzwanie dla osiągania strategicznych celów.

Framework Risk IT objaśnia ryzyko IT i pozwala użytkownikom na:

• Zintegrowanie zarządzania ryzykiem IT z całościowym zarządzaniem ryzykiem w organizacji.
• Porównanie ocenionego ryzyka IT ze skłonnością do akceptacji ryzyka (ang. risk appetite) i tolerancją ryzyka (ang. risk tolerance).
• Zrozumienie jak należy zarządzać ryzykiem.

Ryzyko IT powinno być zarządzane przez wszystkich kluczowych liderów biznesowych w organizacji, nie jest to zadanie wyłącznie działu IT.

Risk IT kategoryzuje to ryzyko na powiązane z:

• Tworzeniem wartości dla IT – ryzyko związane z niewykorzystanymi szansami na zwiększenie wartości biznesowej poprzez IT lub ulepszone procesy.
• Projektowaniem – ryzyko związane z zarządzaniem projektami IT, które mają za zadanie ulepszanie. Przykładem mogą być opóźnienia w realizacji takich projektów.
• Działaniami IT i dostarczaniem usług – ryzyko, które może mieć wpływ na codzienne operacje i dostarczanie usług IT.

Framework Risk IT oparty jest na zasadach ogólnego zarządzania ryzykiem w przedsiębiorstwie, pochodzących ze standardów ISO 31000 czy COSO ERM framework.

GŁÓWNE ZASADY

Risk IT kieruje się następującymi podstawowymi zasadami:

• należy zawsze dostosowywać się do celów biznesowych,
• trzeba dostosowywać zarządzanie ryzykiem IT do całościowego procesu zarządzania ryzykiem,
• konieczne jest zbilansowanie kosztów i korzyści zarządzania ryzykiem IT,
• należy promować otwartą komunikację w sprawie ryzyka IT,
• trzeba należycie zdefiniować i przydzielić odpowiedzialność,
• ocena ryzyka IT jest procesem ciągłym i powinna być częścią codziennych działań.

KOMUNIKOWANIE RYZYKA IT

Podstawami komunikatu IT powinny być:

• Oczekiwania: określa czego organizacja oczekuje jako końcowego rezultatu oraz jakie zachowania pracowników i zarządu przewiduje. Zawierają się w tym opisie zarówno strategie, zasady i procedury, jak i szkolenia z zakresu świadomości zagrożeń.
• Zdolności: pokazuje jak organizacja zamierza zarządzać danym ryzykiem.
• Stan: określa aktualny stan ryzyka IT. Obejmuje to profil ryzyka organizacji oraz zjawiska, które mogą być źródłem strat i podłoże tych zjawisk.

Wartościowa informacja powinna więc być:

• jasna,
• zwięzła,
• użyteczna,
• w porę przekazana,
• wystosowana do właściwego odbiorcy,
• dostępna na zasadzie need to know (tylko dla osób, którym jest ona konieczna do wykonywania swoich obowiązków).

OBSZARY DZIAŁANIA I PROCESY RISK IT

Poniżej znajduje się lista obszarów działania Risk IT oraz procesów odbywających się w ramach tych obszarów. Każdy proces może składać się z wielu pojedynczych działań.

1. Kierowanie ryzykiem – należy upewnić się czy praktyki zarządzania ryzykiem IT są dobrze zakorzenione w przedsiębiorstwie. Odbywa się to w następujących etapach:
   1. Opracowanie i podtrzymanie wspólnego spojrzenia na ryzyko.
      • przeprowadzenie oceny ryzyka IT w przedsiębiorstwie,
      • zaproponowanie granic tolerancji ryzyka w IT,
      • zatwierdzenie granic tolerancji ryzyka w IT,
      • ustalenie zasad postępowania wobec ryzyka IT,
      • promowanie świadomości ryzyka IT,
      • wspieranie efektywnej komunikacji o ryzyku IT.
   2. Zintegrowanie z całościowym zarządzaniem ryzykiem.
      • ustalenie odpowiedzialności za zarządzanie ryzykiem IT,
      • koordynacja pomiędzy strategią ryzyka IT, a strategią ryzyka przedsiębiorstwa,
      • przystosowanie praktyk ryzyka IT do praktyk ryzyka w przedsiębiorstwie,
      • zapewnienie odpowiednich zasobów dla zarządzania ryzykiem IT,
      • zapewnienie niezależnego ubezpieczenia dla zarządzania ryzykiem IT.
   3. Świadomość ryzyka przy podejmowaniu decyzji biznesowych.
      • przeprowadzenie analizy ryzyka IT,
      • zatwierdzenie analizy ryzyka IT,
      • osadzenie świadomości ryzyka IT w procesie podejmowania decyzji biznesowych,
      • zaakceptowanie ryzyka IT,
      • ustalenie priorytetów dla reakcji na ryzyko IT.