Risk IT (Ryzyko informatyczne)

874

Risk IT – framework oferujący kompleksowe spojrzenie na wszelkie źródła ryzyka powiązane ze stosowaniem IT oraz równie wnikliwe potraktowanie zarządzania ryzykiem. Risk IT został wydany w 2009 roku przez międzynarodowe stowarzyszenie ISACA. Jest efektem pracy grupy złożonej z ekspertów biznesowych oraz akademickich z różnych krajów, reprezentujących organizacje takie jak IBM, PricewaterhouseCoopers, Risk Management Insight, Swiss Life czy KPMG.

OPIS

Ryzyko IT jest częścią ryzyka biznesowego, szczególnie tego związanego z użyciem, posiadaniem, udziałem, wpływem i wyborem IT w organizacji. Składa się ze związanych z IT wydarzeń, które mogą potencjalnie wpływać na przedsiębiorstwo. Wielkość tych zjawisk jest nieprzewidywalna i mogą się one pojawiać z nieznaną częstotliwością. Stanowi to wyzwanie dla osiągania strategicznych celów.

Framework Risk IT objaśnia ryzyko IT i pozwala użytkownikom na:

  • Zintegrowanie zarządzania ryzykiem IT z całościowym zarządzaniem ryzykiem w organizacji.
  • Porównanie ocenionego ryzyka IT ze skłonnością do akceptacji ryzyka (ang. risk appetite) i tolerancją ryzyka (ang. risk tolerance).
  • Zrozumienie jak należy zarządzać ryzykiem.

Ryzyko IT powinno być zarządzane przez wszystkich kluczowych liderów biznesowych w organizacji, nie jest to zadanie wyłącznie działu IT.

Risk IT kategoryzuje to ryzyko na powiązane z:

  • Tworzeniem wartości dla IT – ryzyko związane z niewykorzystanymi szansami na zwiększenie wartości biznesowej poprzez IT lub ulepszone procesy.
  • Projektowaniem – ryzyko związane z zarządzaniem projektami IT, które mają za zadanie ulepszanie. Przykładem mogą być opóźnienia w realizacji takich projektów.
  • Działaniami IT i dostarczaniem usług – ryzyko, które może mieć wpływ na codzienne operacje i dostarczanie usług IT.

Framework Risk IT oparty jest na zasadach ogólnego zarządzania ryzykiem w przedsiębiorstwie, pochodzących ze standardów ISO 31000 czy COSO ERM framework.

GŁÓWNE ZASADY

Risk IT kieruje się następującymi podstawowymi zasadami:

  • należy zawsze dostosowywać się do celów biznesowych,
  • trzeba dostosowywać zarządzanie ryzykiem IT do całościowego procesu zarządzania ryzykiem,
  • konieczne jest zbilansowanie kosztów i korzyści zarządzania ryzykiem IT,
  • należy promować otwartą komunikację w sprawie ryzyka IT,
  • trzeba należycie zdefiniować i przydzielić odpowiedzialność,
  • ocena ryzyka IT jest procesem ciągłym i powinna być częścią codziennych działań.

KOMUNIKOWANIE RYZYKA IT

Podstawami komunikatu IT powinny być:

  • Oczekiwania: określa czego organizacja oczekuje jako końcowego rezultatu oraz jakie zachowania pracowników i zarządu przewiduje. Zawierają się w tym opisie zarówno strategie, zasady i procedury, jak i szkolenia z zakresu świadomości zagrożeń.
  • Zdolności: pokazuje jak organizacja zamierza zarządzać danym ryzykiem.
  • Stan: określa aktualny stan ryzyka IT. Obejmuje to profil ryzyka organizacji oraz zjawiska, które mogą być źródłem strat i podłoże tych zjawisk.

Wartościowa informacja powinna więc być:

  • jasna,
  • zwięzła,
  • użyteczna,
  • w porę przekazana,
  • wystosowana do właściwego odbiorcy,
  • dostępna na zasadzie need to know (tylko dla osób, którym jest ona konieczna do wykonywania swoich obowiązków).

OBSZARY DZIAŁANIA I PROCESY RISK IT

Poniżej znajduje się lista obszarów działania Risk IT oraz procesów odbywających się w ramach tych obszarów. Każdy proces może składać się z wielu pojedynczych działań.

  1. Kierowanie ryzykiem – należy upewnić się czy praktyki zarządzania ryzykiem IT są dobrze zakorzenione w przedsiębiorstwie. Odbywa się to w następujących etapach:
    1. Opracowanie i podtrzymanie wspólnego spojrzenia na ryzyko.
      • przeprowadzenie oceny ryzyka IT w przedsiębiorstwie,
      • zaproponowanie granic tolerancji ryzyka w IT,
      • zatwierdzenie granic tolerancji ryzyka w IT,
      • ustalenie zasad postępowania wobec ryzyka IT,
      • promowanie świadomości ryzyka IT,
      • wspieranie efektywnej komunikacji o ryzyku IT.
    2. Zintegrowanie z całościowym zarządzaniem ryzykiem.
      • ustalenie odpowiedzialności za zarządzanie ryzykiem IT,
      • koordynacja pomiędzy strategią ryzyka IT, a strategią ryzyka przedsiębiorstwa,
      • przystosowanie praktyk ryzyka IT do praktyk ryzyka w przedsiębiorstwie,
      • zapewnienie odpowiednich zasobów dla zarządzania ryzykiem IT,
      • zapewnienie niezależnego ubezpieczenia dla zarządzania ryzykiem IT.
    3. Świadomość ryzyka przy podejmowaniu decyzji biznesowych.
      • przeprowadzenie analizy ryzyka IT,
      • zatwierdzenie analizy ryzyka IT,
      • osadzenie świadomości ryzyka IT w procesie podejmowania decyzji biznesowych,
      • zaakceptowanie ryzyka IT,
      • ustalenie priorytetów dla reakcji na ryzyko IT.