Riscurile asociate sistemului informatic al firmei
Fluxul de activiti pentru analiza riscurilor
Fluxul de activiti pentru analiza riscurilor include urmtoarele etape: 1. Definirea domeniului de aplicare al analizei riscurilor - definirea obiectivelor i a limitelor analizei, lund n considerare mai multe intrri variind de la ntrebri strategice la investigarea evenimentelor frecvente. Acest pas se realizeaz cu date de intrare provenind de la reprezentanii afacerii implicai n activitate. Ei trebuie s fie implicat n decizia privind activele i zona luat n considerare. 2. Colectarea datelor trebuie obinut asigurarea c toate sursele posibile sunt folosite pentru a aduna date relevante cu privire la evenimentele care au dus la un rezultat pozitiv i / sau impact negativ asupra afacerii. Acestea includ: arhive cu incidente IT, rapoarte de audit i jurnalele de operaii, precum i rapoartele anterioare de risc i date externe, cum ar fi analiza tendinei IT i modificrile cadrului de reglementare. 3. Identificarea factorilor generali de risc - trebuie obinut asigurarea c evenimentele legate ntre ele sunt grupate n jurul factorilor generali de risc. Aceti factori pot influena frecvena i amplitudinea evenimentelor care au un impact semnificativ asupra afacerii. Ca exemple menionm modificrile cadrului de reglementare i activitile internaionale. 4. Estimarea riscurilor IT - efectuarea analizei efective pentru a estima frecvena i amplitudinea scenariilor, innd seama de factorii de risc care includ toate controalele curente. Trebuie s fie luat n considerare, de asemenea, definirea nivelelor de toleran. Acestea vor servi drept baz pentru determinarea rspunsului la risc. 5. Identificarea opiunilor de rspuns la risc - acest subiect include elaborarea viitoare a activitilor de control ca mecanism de reducere a riscului. Acest pas trebuie s fie efectuat n colaborare cu proprietarii relevani ai proceselor de afaceri care depind de domeniile IT care sunt evaluate. 6. Revizuirea analizei - testarea rezultatelor nainte de raportarea acestora ctre management. Se vor lua n considerare mai mult dect verificrile matematice.
Raionamentul i rezonabilitatea sunt concepte importante pentru a efectua testarea.
Prile interesate relevante cu privire la afacere trebuie s fie incluse n revizuirea evalurii rezultatelor. 7. Raportarea - asigurarea managementului cu rezultatele analizei pentru a sprijini procesul decizional. Indicatori de risc Indicatorii de risc sunt valori capabile s demonstreze c ntreprinderea este supus, sau are o probabilitate mare de a fi supus, unui risc care depete apetitul pentru risc definit. Ei sunt specifici pentru fiecare organizaie, i selectarea lor depinde de o serie de parametri n mediul intern i extern, cum ar fi mrimea i complexitatea ntreprinderii, dac acesta funcioneaz ntr-o pia extrem de reglementat, precum i focalizarea strategiei sale. Identificarea indicatorilor de risc ar trebui s ia n considerare urmtoarele msuri (printre altele): Implicarea diferitelor pri interesate n selecia indicatorilor de risc; Efectuarea unei selecii balansate a indicatorilor de risc, acoperind indicatorii de performan i tendinele, indicnd ce capabiliti sunt implementate pentru a preveni apariia evenimentelor; Asigurarea c indicatorii selectai se refer la cauza originii evenimentelor i nu numai la simptome.