Riscurile asociate sistemului informatic al firmei

Fluxul de activiti pentru analiza riscurilor

Fluxul de activiti pentru analiza riscurilor include urmtoarele etape:
1. Definirea domeniului de aplicare al analizei riscurilor - definirea
obiectivelor i a limitelor analizei, lund n considerare mai multe intrri variind de la
ntrebri strategice la investigarea evenimentelor frecvente. Acest pas se realizeaz cu
date de intrare provenind de la reprezentanii afacerii implicai n activitate. Ei trebuie s
fie implicat n decizia privind activele i zona luat n considerare.
2. Colectarea datelor trebuie obinut asigurarea c toate sursele posibile sunt
folosite pentru a aduna date relevante cu privire la evenimentele care au dus la un rezultat
pozitiv i / sau impact negativ asupra afacerii. Acestea includ: arhive cu incidente IT,
rapoarte de audit i jurnalele de operaii, precum i rapoartele anterioare de risc i date
externe, cum ar fi analiza tendinei IT i modificrile cadrului de reglementare.
3. Identificarea factorilor generali de risc - trebuie obinut asigurarea c
evenimentele legate ntre ele sunt grupate n jurul factorilor generali de risc. Aceti
factori pot influena frecvena i amplitudinea evenimentelor care au un impact
semnificativ asupra afacerii. Ca exemple menionm modificrile cadrului de
reglementare i activitile internaionale.
4. Estimarea riscurilor IT - efectuarea analizei efective pentru a estima frecvena
i amplitudinea scenariilor, innd seama de factorii de risc care includ toate controalele
curente. Trebuie s fie luat n considerare, de asemenea, definirea nivelelor de toleran.
Acestea vor servi drept baz pentru determinarea rspunsului la risc.
5. Identificarea opiunilor de rspuns la risc - acest subiect include elaborarea
viitoare a activitilor de control ca mecanism de reducere a riscului. Acest pas trebuie s
fie efectuat n colaborare cu proprietarii relevani ai proceselor de afaceri care depind de
domeniile IT care sunt evaluate.
6. Revizuirea analizei - testarea rezultatelor nainte de raportarea acestora ctre
management. Se vor lua n considerare mai mult dect verificrile matematice.

Raionamentul i rezonabilitatea sunt concepte importante pentru a efectua testarea.

Prile interesate relevante cu privire la afacere trebuie s fie incluse n revizuirea
evalurii rezultatelor.
7. Raportarea - asigurarea managementului cu rezultatele analizei pentru a
sprijini procesul decizional.
Indicatori de risc
Indicatorii de risc sunt valori capabile s demonstreze c ntreprinderea este
supus, sau are o probabilitate mare de a fi supus, unui risc care depete apetitul
pentru risc definit. Ei sunt specifici pentru fiecare organizaie, i selectarea lor depinde de
o serie de parametri n mediul intern i extern, cum ar fi mrimea i complexitatea
ntreprinderii, dac acesta funcioneaz ntr-o pia extrem de reglementat, precum i
focalizarea strategiei sale. Identificarea indicatorilor de risc ar trebui s ia n considerare
urmtoarele msuri (printre altele):
Implicarea diferitelor pri interesate n selecia indicatorilor de risc;
Efectuarea unei selecii balansate a indicatorilor de risc, acoperind indicatorii
de performan i tendinele, indicnd ce capabiliti sunt implementate pentru a preveni
apariia evenimentelor;
Asigurarea c indicatorii selectai se refer la cauza originii evenimentelor i
nu numai la simptome.