it rizici – cobit 5 i risk it, praksa

Velibor Sikimić, CISA

Treća konferencija Udruženja internih revizora Srbije, Beograd 20-21. mart 2014.

IT RIZICI – COBIT 5 I RISK IT, PRAKSA

2

IT rizik - poslovni rizik povezan sa upotrebom, vlasništvom, radom, uključivanjem, uticajem i usvajanjem IT u okviru organizacije (use, ownership, operation, involvement, influence and adoption of IT within an enterprise). Ukratko, IT rizici su rizici na poslovanje koji proizlaze iz korišćenja IT.

U finansijskom sektoru IT rizik se često smatra komponentom operativnog rizika. Ostali rizici organizacije - strateški rizik, rizik okruženja, tržišni rizik, kreditni rizik, operativni rizik i rizik usklađenosti takođe imaju IT komponentu (npr. strateški rizik - kada je IT glavni pokretač novih poslovnih inicijativa).

Izvor:The Risk IT Practitioner Guide, ISACA 2009

IT rizici

Uticaj IT rizika3

Izvor: http://www.isaca.org/COBIT/PublishingImages/IT-Risk-Infographic-lg.gif

Upravljanje IT rizicima4

Upravljanje IT rizicima je proces identifikovanja slabosti i pretnji u informacionim resursima organizacije u postizanju poslovnih ciljeva, i odlučivanje koje protivmere preduzeti u cilju smanjenja rizika na prihvatljiv nivo. Upravljanje IT rizicima je primena upravljanja rizicima u kontekstu informacionih tehnologija - komponenta šireg sistema upravljanja rizicima organizacije.

Neadekvatno upravljanje IT rizikom može da dovede do: Neadekvatnog identifikovanja materijalnih rizika ili rizika sa malom verovatnoćom ali

katastrofalnim uticajem Prekomernih troškova zbog fokusiranja IT resursa na ublažavanje strateški manje važnih rizika Izloženosti poslovanja gubicima zbog neidentifikovanih ili nepravilno klasifikovanih rizika Neadekvatnog smanjenja/otklanjanja identifikovanih rizika zbog neadekvatnog praćenja

projekata za ublažavanje/otklanjanje rizika Neadekvatnih/prevelikih utrošaka u otklanjanju rizika zbog korišćenja različitih metrika za

verovatnoću, troškove i uticaj od strane različitih poslovnih grupa unutar organizacije Nedostupnosti poslovnih funkcija ili procesa koji zavise od IT

Upravljanje IT rizicima5

Оdluka оminimаlnim stаndаrdim аuprаvljаn јаinfоrmаciоnim sistеmоm finаnsiјsk еinstituciје (Narodna banka Srbije, mart 2013.)

III Upr vlj n rizikа а је оm inf rо m ci n g sisа о о tema 11. Fin nsi sk instituci dužn d , u kviru а ј а ја је а а оsv buhv tn g sist m upr vl nj rizicim , ео а о е а а ја а а usp st vi о аpr c s upr vl nj rizik m inf rm ci n g sist m k i о е а ја а о о а о о е а ој

buhv t id ntifik v nj i m r nj , dn sn pr c nu о а а е о а е е е е о о о о еt g rizik , k i nj g v ubl ž v nj , pr ć nj i о а ао е о о а а а е а е еk ntr luо о . 12. Fin nsi sk instituci dužn d rizik m inf rm ci n g а ј а ја је а а о о а о оsist m upr vl t k d m gući n sm t n upr vl nj е а а ја а о а о о е е а о а ја еb zb dn šću v g sist m i upr vl nj k ntinuit t m е е о о о е а а ја е о е оp sl v nj fin nsi sk instituci . о о а а а ј е је Upr vl nj rizik m а ја е оinf rm ci n g sist m m r d buhv ti c l kup n о а о о е а о а а о а е о аinf rm ci ni sist m fin nsi sk instituci i d bud о а о е а ј е је а еint gris n u sv f z r zv t g sist m . е а о е а е а оја о е а13. Fin nsi sk instituci dužn d d kv tn upr vl а ј а ја је а а а е а о а јаrizicim k i pr izl z iz ug v rnih dn s s pr vnim i а ој о а е о о о о а аfizičkim licim či s ktivn sti dn s n nj n inf rm ci ni а је е а о о о е а е о а оsist m. е

Uloga internih revizora u upravljanju rizicima

6

Izvor: Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation, 2011(Rezultati Global Audit Information Network (GAIN) Flash Survey, 2009. (321 učesnik))

Odgovori ukazuju na činjenicu da interna revizija ima i da ce imati važnu ulogu u implementaciji i funkcionisanju upravljanja rizicima. Samo 40% pruža nezavisno uveravanje o upravljanju rizicima a 25% ne očekuju da to uopšte rade iako je upravljanje rizikom predviđeno i Standardima.

Uloge rukovodstva 8-12

Uloge revizora 1-7

Uloga internih revizora u upravljanju rizicima

7

Izvor: Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation, 2011

Ključne uloge revizora u procesu upravljanja rizicima: Pregled i ocena izveštavanja o ključnim rizicima, ocena procesa upravljanja rizicima, uveravanje o tačnosti ocene rizika i procesu upravljanja rizicima

Nedozvoljene uloge revizora u procesu upravljanja rizicima: određivanje sklonosti ka riziku, odlučivanje o odgovorima na rizik, implementacija odgovora na rizik.

8

COBIT 5 for Risk (2013)

Objedinjuje iskustva stručnjaka, prakse i metodologije za efektivno upravljanje IT rizicima

COBIT 5 for Risk obezbeđuje: Razumevanje aktuelnog stanja i uticaja rizika u organizaciji Smernice i mere za upravljanje rizicima Smernice za uspostavljanje odgovarajuće kulture rizika Smernice za procenu rizika i odgovor na rizik (uključujući cenu

odgovora na rizik i potrebne resurse) Mogućnosti integracije upravljanja IT rizicima sa upravljanjem

rizika organizacije Mogućnosti poboljšanja komunikacije među internim i eksternim

zainteresovanim stranama (stejkholderima) (Interni stejkholderi: upravni odbor, finansijski direktori, direktori IT, menadžeri rizika, interni revizori, IT korisnici. Eksterni stejkholderi: poslovni partneri, regulatori, eksterni korisnici, eksterni revizori, konsultanti, organizacije za standardizaciju i dr.).

Izvor: COBIT 5, ISACA 2012

COBIT 5 za rizik

Risk IT9

Risk IT (2009)

Risk IT obezbeđuje okvir organizacijama za identifikaciju, upravljanje i rukovođenje IT rizicima

Risk IT framework: Prakse upravljanja rizicima (governance practices for risk

management) Lista najčešćih scenarija IT rizika koji mogu da utiču na realizaciju

poslovnih ciljeva Alati i tehnike za razumevanje konkretnih rizika za poslovanje Tri domena Risk IT:

1. Upravljanje rizikom - Risk Governance2. Ocena rizika - Risk Evaluation3. Odgovor na rizik - Risk Response

Risk IT Practitioner Guide: izrada scenarija na osnovu generičkih IT scenarija rizika izrada mape rizika, koristeći tehnike za opis uticaja i frekvencije

scenarija definisanje ključnih pokazatelja rizika - KRI

Risk IT - nastanak10

Izvor: Managing IT risk in a fast-changing environment: IT Risk Management Survey, Ernst & Young, 2013.

Postojeci standardi i okviri: Orijentisani na upravljanje rizicima organizacije (ERM oriented) Orijentisani na IT bezbednost (IT security-oriented)

Ciljna grupa11

Stručnjaci u oblasti rizika unutar organizacije: Pomoć u upravljanju IT rizicima i ugradnji IT rizika u sistem

upravljanja rizicima organizacije

Upravno i izvršno rukovodstvu (članovi Odbora): Razumevanje uloga i odgovornosti u upravljanju IT rizicima Razumevanje uticaja IT rizika na strateške ciljeve organizacije Optimizacija IT za uspešno izvršenje strategije organizacije

Rukovodstvo unutar „biznisa“ i IT: Razumevanje načina identifikacije i upravljanja IT rizicima i

komunikacije IT rizika ključnim poslovnim donosiocima odluka

IT revizori, interni revizori, eksterni revizori, regulator

Prednosti upotrebe COBIT 5 za rizik i Risk IT

12

zajednički jezik biznisa, IT, rizika i revizije smernice o upravljanju IT rizicima iscrpan profil rizika za bolje razumevanje rizika i bolje korišćenje resursa bolje razumevanje uloga i odgovornosti u vezi sa upravljanjem IT rizicima usklađivanje upravljanja IT rizicima sa upravljanjem rizicima organizacije bolje razumevanje IT rizika i njihovih finansijskih posledica donošenje boljih odluka na osnovu veće informisanosti o rizicima ušteda vremena, troškova i rada na osnovu smernica za identifikovanje poslovnih

rizika manji broj prekida poslovanja povećan kvalitet informacija veće poverenje zainteresovanih strana (stejkholdera) i smanjenje zabrinutosti

regulatora

Principi Risk IT okvira Povezanost sa ciljevima organizacije Usaglašavanje upravljanje IT rizicima sa

sveukupnim upravljanjem rizicima organizacije

Balansiranje troškova i koristi od upravljanja rizikom

Promovisanje otvorene komunikacije u vezi sa IT rizicima

Uspostavljanje pravilne politike sa vrha organizacije (right tone from the top) prilikom definisanja i sprovođenja lične odgovornost za rad u okviru prihvatljivih i dobro definisanih nivoa tolerancije

Kontinuirani proces i važan deo svakodnevnih aktivnosti organizacije

13

Izvor:The Risk IT Framework, ISACA, 2009

Domeni Risk IT okvira Upravljanje rizicima (Risk Governance):

Uloge i odgovornosti za rizik Tolerancija i sklonost ka preuzimanju

rizika Svest i komunikacija Kultura rizika

Ocena rizika (Risk Evaluation): Scenarija rizika Opis uticaja na poslovanje

Odgovor na rizik (Risk Response): Ključni indikatori rizika (KRI) Definicija odgovora na rizik i

određivanje prioriteta

14


Kategorije IT rizika15


IT rizik se odnosi na mogućnost da IT obezbedi vrednost i/ili korist organizaciji kroz korišćenje tehnologije za poboljšanje poslovanja i veću automatizaciju

IT rizik se bavi razvojem sistema, procesima nabavke i održavanja. IT rizik se odnosi na obezbeđivanje selekcije, razvoja i održavanja poslovnih procesa koji generišu prihode, ispunjavaju ciljeve organizacije i obezbeđuju potrebe poslovanja na isplativ način.

IT se najčešće posmatra kao deo organizacije koja omogućava aktivnosti ili pruža usluge. IT rizik u tom delu - sposobnost isporuke IT usluga koje omogućavaju organizaciji da izvrši dnevne operativne procese

Risk IT ne pokriva samo IT bezbednost, već sve IT rizike, uključujući: zastarelu/nefleksibilnu IT arhitekturu, probleme sa isporukom IT usluga, usaglašenost (compliance), odstupanja (misaligments), zakasnelu isporuku/završetak projekata, nedovoljno postizanje vrednosti iz IT

Risk IT proces model16


Risk IT vodič – struktura17

Risk IT practitioner guide

1. Definisanje univerzuma rizika i obima upravljanja rizikom

2. Definisanje sklonosti ka riziku i tolerancije rizika3. Svest o rizicima, komunikacija i izveštavanje

(uključujući ključne indikatore rizika, profil rizika, agregaciju rizika, kulturu rizika)

4. Izražavanje i opis rizika (uticaj, frekvencija, mapa i registar rizika)

5. Scenarija rizika (primeri scenarija rizika, faktori rizika)

6. Odgovor na rizik i prioritizacija7. Tok analize rizika (dijagram)8. Umanjenje IT rizika koristeci COBIT

Cobit 5 za rizik18

Risk Function perspective – šta je potrebno organizaciji da bi bila uspostavljena funkcija rizika

Risk management perspective – kako se izvode ključni procesi upravljanja rizicima (identifikacija, analiza i odgovor na rizike)

Izvor: COBIT 5 for Risk, ISACA, 2013

COBIT 5 for Risk opisuje kako svaki pokretač (enabler) doprinosi upravljanju i rukovođenju rizika. Npr.:Koji Procesi su potrebni da se definiše i održi funkcija rizika, upravljanje i rukovođenje rizikomKoji tokovi Informacija su potrebni za upravljanje i rukovođenje rizikom – npr. univerzum rizika, profil rizikaPotrebna organizaciona struktura – npr. odbor za upravljanje rizikom, funkcija rizika Koji ljudi i veštine treba da budu uključeni da bi se osnovala i funkcionisala funkcija rizika

Cobit 5 za rizik19


COBIT 5 for Risk identifikuje sve COBIT 5 procese koji su potrebni Za podršku funkciji rizika (risk function):Ključni procesi - crvenoDrugi procesi podrške – svetlo ljubičastoZa podršku upravljanja rizikom (risk management) (EDM03 Ensure risk optimisation i APO12 Manage risk) – svetlo plavo

Cobit 5 za rizik20

COBIT 5 for Risk propisuje instrukcije za efektivno upravljanje rizicima:

Ključne procese upravljanja rizicima (EDM03 Ensure risk optimisation i APO12 Manage risk)

Scenarija rizika – ključne informacije neophodne za identifikaciju, analizu i odgovor na rizik; konkretne i procenjive ocene rizika

Kako COBIT 5 pokretači mogu da se koriste za odgovor na neprihvatljiva scenarija rizika

Izvor: COBIT 5: Enabling Processes, ISACA, 2012

Cobit 5 za rizik21

COBIT 5 for Risk propisuje instrukcije za efektivno upravljanje rizicima:

Ključne procese upravljanja rizicima (EDM03 Ensure risk optimisation i APO12 Manage risk)

Risk Scenarija – ključne informacije neophodne za identifikaciju, analizu i odgovor na rizik; konkretne I procenjive ocene rizika

Kako COBIT 5 pokretači (enablers) mogu da se koriste za odgovor na neprihvatljiva scenarija rizika

Izvor: COBIT 5: Enabling Processes, ISACA, 2012

Cobit 5 za rizik22

Scenario rizika je opis mogućeg događaja koji će, kada se desi, imati uticaj (pozitivan ili negativan) na ostvarenje ciljeva organizacije - ključan element COBIT 5 procesa APO12.• Pristup odozgo-nadole (Top-

down approach) – na osnovu ciljeva organizacije razmotriti najrelevantnija i verovatna scenarija IT rizika koji utiču na ciljeve

• Pristup odozdo-nagore (Bottom-up approach) – na osnovu liste generičkih scenarija rizika definisati skup relevantnih i prilagođenih scenarija rizika, primenjivih na specifičnu organizaciju


23

Izrada scenarija rizika Izvor: Risk IT framework, ISACA, 2009

Scenario rizika

24

Kada se scenario rizika materijalizuje dešava se događaj izazvan pretnjom “threat event” (threat type+event).


Komponente scenarija rizikaPrimeri događaja: Pokušaj neovlašćenog

pristupa IS/podacima Malware (virusi, crvi), veliki

broj spamova Zloupotreba podataka

klijenata Napad na mobilne aplikacije Kršenje pravila podele

dužnosti Krađa računara/medija sa

podacima Pad hardver sistema Prekid

komunikacija/nestanak struje Nepotpuna funkcionalna

specifikacija projekta, greške prilikom programiranja/testiranja

Nedostupnost ključnih zaposlenih

Risk IT scenarija rizika25


Risk IT scenarija rizika - primeri26

27


Kategorije scenarija rizikaCOBIT 5 for Risk daje sveobuhvatne scenarije rizika - 111 scenarija rizika u 20 kategorija. COBIT 5 for Risk pruža niz primera o tome kako da se pokretači koriste za odgovori na scenarije rizika. Ublažavanje rizika je ekvivalentno sprovođenju niza IT kontrola (npr. uspostavljanje organizacione strukture, uspostavljanje određenih praksi upravljanja ili rukovođenja).

Za svaku od 20 kategorija scenarija rizika, navedene su potencijalne akcije za smanjenje rizika koje se odnose na svih sedam pokretača (referenca, naslov i opis za svaki pokretač koji omogućava da se umanji rizik).

28

Scenarija rizika Izvor: COBIT 5 for Risk, ISACA, 2013

Cobit scenarija rizika

Pokretači (enablers) za umanjenje rizikaIzvor: COBIT 5 for Risk, ISACA, 2013

29

Cobit scenarija rizika

Šablon scenarija rizika Izvor: COBIT 5 for Risk, ISACA, 2013

Odgovor na rizik30

Svrha definisanja odgovora na rizik je da se rizik smanji u skladu sa definisanim nivoom tolerancije rizika nakon analize rizika. Odgovor treba da se definiše tako da budući preostali rizik (residual risk) (nakon definisanja i implementacije odgovora na trenutni rizik) je što je moguće više (u zavisnosti od raspoloživog budžeta i resursa) u granicama tolerancije rizika. Odgovor može biti: izbegavanje, smanjenje, podela/transfer i prihvatanje rizika.


Registar rizika31


Odgovor na rizik i prioritizacija32

Izvor:The COBIT 5 for Risk, ISACA 2013 Svrha definisanja odgovora na rizik je da se rizik smanji u skladu sa definisanim nivoom tolerancije rizika nakon analize rizika. Odgovor treba da se definiše tako da budući preostali rizik (residual risk) (nakon definisanja i implementacije odgovora na trenutni rizik) je što je moguće više (u zavisnosti od raspoloživog budžeta i resursa) u granicama tolerancije rizika. Odgovor može biti: izbegavanje, smanjenje, podela/transfer i prihvatanje rizika.

Risk IT ključne prakse rukovođenja i COBIT 5

33

Risk IT ključne prakse rukovođenja i COBIT 5 Izvor: COBIT 5: Enabling Processes, ISACA, 2012

Upravljanje (governance): osigurava da su potrebe zainteresovanih strana, uslovi i opcije procenjene da bi se odredili izbalansirani dogovoreni ciljevi organizacije koje treba postići; utvrđuje pravac kroz prioritizaciju i donošenje odluka i praćenje učinka i usaglašenosti sa dogovorenim pravcem i ciljevima.Rukovođenje (management): uključuje planiranje, izradu, pokretanje i kontrolu aktivnosti u skladu sa pravcem koji je utvrdilo upravljačko telo (odbor) kako bi se postigli ciljevi organizacije.

COBIT 4.1 kontrolni ciljevi za umanjenje rizika (risk mitigation)

34

COBIT 4.1 prakse Izvor:The Risk IT Practitioner Guide, ISACA 2009

COBIT 4.1 prakse

COBIT 4.1 kontrolni ciljevi i COBIT 535

COBIT 4.1 kontrolni ciljevi i COBIT 5 Izvor: COBIT 5: Enabling Processes, ISACA, 2012

Ključne prakse rukovođenja COBIT 5 za umanjenje rizika (risk mitigation)

36

COBIT 4.1 prakse Izvor: COBIT 5: Enabling Processes, ISACA, 2012

COBIT 5 aktivnosti

Kapacitet rizika37

Kapacitet rizika (risk capacity) - kumulativni gubitak koje organizacija može tolerisati bez rizikovanja opstanka/nastavka poslovanja.

Levi dijagram – Održiva situacija Sklonost ka riziku niža od kapaciteta rizika, stvarni rizik prelazi sklonost ka riziku ali ostaje ispod kapaciteta

rizika Desni dijagram – Neodrživa situacija Sklonost ka riziku viša od kapaciteta rizika tj. rukovodstvo prihvata rizik iznad kapaciteta rizika kojim bi se

apsorbovali gubici; stvarni rizik prelazi kapacitet rizika iako ostaje ispod nivoa sklonosti ka riziku


38

Izvor: Managing IT risk in a fast-changing environment:

IT Risk Management Survey, Ernst & Young, 2013.

Trend IT rizika

39

Rizik je karakteristika svih organizacija bez obzira na veličinu. Organizacije treba da se pobrinu da se šanse za kreiranje vrednosti ne propuste pokušavanjem eliminisanja svih rizika (određeni nivo rizika je potrebno prihvatati da bi se kreirala vrednost).

William A. Ward

William Arthur Ward

Velibor Sikimic, [email protected]

it rizici – cobit 5 i risk it, praksa

Economy & Finance

rizicima risk

za rizik

rizicima cobit

menaderi rizika

i njgv ublvnj

rizik poslovni rizik

operativni rizik

trini rizik