it rizici – cobit 5 i risk it, praksa
DESCRIPTION
IT rizici – COBIT 5 i Risk ITTRANSCRIPT
Velibor Sikimić, CISA
Treća konferencija Udruženja internih revizora Srbije, Beograd 20-21. mart 2014.
IT RIZICI – COBIT 5 I RISK IT, PRAKSA
2
IT rizik - poslovni rizik povezan sa upotrebom, vlasništvom, radom, uključivanjem, uticajem i usvajanjem IT u okviru organizacije (use, ownership, operation, involvement, influence and adoption of IT within an enterprise). Ukratko, IT rizici su rizici na poslovanje koji proizlaze iz korišćenja IT.
U finansijskom sektoru IT rizik se često smatra komponentom operativnog rizika. Ostali rizici organizacije - strateški rizik, rizik okruženja, tržišni rizik, kreditni rizik, operativni rizik i rizik usklađenosti takođe imaju IT komponentu (npr. strateški rizik - kada je IT glavni pokretač novih poslovnih inicijativa).
Izvor:The Risk IT Practitioner Guide, ISACA 2009
IT rizici
Uticaj IT rizika3
Izvor: http://www.isaca.org/COBIT/PublishingImages/IT-Risk-Infographic-lg.gif
Upravljanje IT rizicima4
Upravljanje IT rizicima je proces identifikovanja slabosti i pretnji u informacionim resursima organizacije u postizanju poslovnih ciljeva, i odlučivanje koje protivmere preduzeti u cilju smanjenja rizika na prihvatljiv nivo. Upravljanje IT rizicima je primena upravljanja rizicima u kontekstu informacionih tehnologija - komponenta šireg sistema upravljanja rizicima organizacije.
Neadekvatno upravljanje IT rizikom može da dovede do: Neadekvatnog identifikovanja materijalnih rizika ili rizika sa malom verovatnoćom ali
katastrofalnim uticajem Prekomernih troškova zbog fokusiranja IT resursa na ublažavanje strateški manje važnih rizika Izloženosti poslovanja gubicima zbog neidentifikovanih ili nepravilno klasifikovanih rizika Neadekvatnog smanjenja/otklanjanja identifikovanih rizika zbog neadekvatnog praćenja
projekata za ublažavanje/otklanjanje rizika Neadekvatnih/prevelikih utrošaka u otklanjanju rizika zbog korišćenja različitih metrika za
verovatnoću, troškove i uticaj od strane različitih poslovnih grupa unutar organizacije Nedostupnosti poslovnih funkcija ili procesa koji zavise od IT
Upravljanje IT rizicima5
Оdluka оminimаlnim stаndаrdim аuprаvljаn јаinfоrmаciоnim sistеmоm finаnsiјsk еinstituciје (Narodna banka Srbije, mart 2013.)
III Upr vlj n rizikа а је оm inf rо m ci n g sisа о о tema 11. Fin nsi sk instituci dužn d , u kviru а ј а ја је а а оsv buhv tn g sist m upr vl nj rizicim , ео а о е а а ја а а usp st vi о аpr c s upr vl nj rizik m inf rm ci n g sist m k i о е а ја а о о а о о е а ој
buhv t id ntifik v nj i m r nj , dn sn pr c nu о а а е о а е е е е о о о о еt g rizik , k i nj g v ubl ž v nj , pr ć nj i о а ао е о о а а а е а е еk ntr luо о . 12. Fin nsi sk instituci dužn d rizik m inf rm ci n g а ј а ја је а а о о а о оsist m upr vl t k d m gući n sm t n upr vl nj е а а ја а о а о о е е а о а ја еb zb dn šću v g sist m i upr vl nj k ntinuit t m е е о о о е а а ја е о е оp sl v nj fin nsi sk instituci . о о а а а ј е је Upr vl nj rizik m а ја е оinf rm ci n g sist m m r d buhv ti c l kup n о а о о е а о а а о а е о аinf rm ci ni sist m fin nsi sk instituci i d bud о а о е а ј е је а еint gris n u sv f z r zv t g sist m . е а о е а е а оја о е а13. Fin nsi sk instituci dužn d d kv tn upr vl а ј а ја је а а а е а о а јаrizicim k i pr izl z iz ug v rnih dn s s pr vnim i а ој о а е о о о о а аfizičkim licim či s ktivn sti dn s n nj n inf rm ci ni а је е а о о о е а е о а оsist m. е
Uloga internih revizora u upravljanju rizicima
6
Izvor: Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation, 2011(Rezultati Global Audit Information Network (GAIN) Flash Survey, 2009. (321 učesnik))
Odgovori ukazuju na činjenicu da interna revizija ima i da ce imati važnu ulogu u implementaciji i funkcionisanju upravljanja rizicima. Samo 40% pruža nezavisno uveravanje o upravljanju rizicima a 25% ne očekuju da to uopšte rade iako je upravljanje rizikom predviđeno i Standardima.
Uloge rukovodstva 8-12
Uloge revizora 1-7
Uloga internih revizora u upravljanju rizicima
7
Izvor: Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation, 2011
Ključne uloge revizora u procesu upravljanja rizicima: Pregled i ocena izveštavanja o ključnim rizicima, ocena procesa upravljanja rizicima, uveravanje o tačnosti ocene rizika i procesu upravljanja rizicima
Nedozvoljene uloge revizora u procesu upravljanja rizicima: određivanje sklonosti ka riziku, odlučivanje o odgovorima na rizik, implementacija odgovora na rizik.
8
COBIT 5 for Risk (2013)
Objedinjuje iskustva stručnjaka, prakse i metodologije za efektivno upravljanje IT rizicima
COBIT 5 for Risk obezbeđuje: Razumevanje aktuelnog stanja i uticaja rizika u organizaciji Smernice i mere za upravljanje rizicima Smernice za uspostavljanje odgovarajuće kulture rizika Smernice za procenu rizika i odgovor na rizik (uključujući cenu
odgovora na rizik i potrebne resurse) Mogućnosti integracije upravljanja IT rizicima sa upravljanjem
rizika organizacije Mogućnosti poboljšanja komunikacije među internim i eksternim
zainteresovanim stranama (stejkholderima) (Interni stejkholderi: upravni odbor, finansijski direktori, direktori IT, menadžeri rizika, interni revizori, IT korisnici. Eksterni stejkholderi: poslovni partneri, regulatori, eksterni korisnici, eksterni revizori, konsultanti, organizacije za standardizaciju i dr.).
Izvor: COBIT 5, ISACA 2012
COBIT 5 za rizik
Risk IT9
Risk IT (2009)
Risk IT obezbeđuje okvir organizacijama za identifikaciju, upravljanje i rukovođenje IT rizicima
Risk IT framework: Prakse upravljanja rizicima (governance practices for risk
management) Lista najčešćih scenarija IT rizika koji mogu da utiču na realizaciju
poslovnih ciljeva Alati i tehnike za razumevanje konkretnih rizika za poslovanje Tri domena Risk IT:
1. Upravljanje rizikom - Risk Governance2. Ocena rizika - Risk Evaluation3. Odgovor na rizik - Risk Response
Risk IT Practitioner Guide: izrada scenarija na osnovu generičkih IT scenarija rizika izrada mape rizika, koristeći tehnike za opis uticaja i frekvencije
scenarija definisanje ključnih pokazatelja rizika - KRI
Risk IT - nastanak10
Izvor: Managing IT risk in a fast-changing environment: IT Risk Management Survey, Ernst & Young, 2013.
Postojeci standardi i okviri: Orijentisani na upravljanje rizicima organizacije (ERM oriented) Orijentisani na IT bezbednost (IT security-oriented)
Ciljna grupa11
Stručnjaci u oblasti rizika unutar organizacije: Pomoć u upravljanju IT rizicima i ugradnji IT rizika u sistem
upravljanja rizicima organizacije
Upravno i izvršno rukovodstvu (članovi Odbora): Razumevanje uloga i odgovornosti u upravljanju IT rizicima Razumevanje uticaja IT rizika na strateške ciljeve organizacije Optimizacija IT za uspešno izvršenje strategije organizacije
Rukovodstvo unutar „biznisa“ i IT: Razumevanje načina identifikacije i upravljanja IT rizicima i
komunikacije IT rizika ključnim poslovnim donosiocima odluka
IT revizori, interni revizori, eksterni revizori, regulator
Prednosti upotrebe COBIT 5 za rizik i Risk IT
12
zajednički jezik biznisa, IT, rizika i revizije smernice o upravljanju IT rizicima iscrpan profil rizika za bolje razumevanje rizika i bolje korišćenje resursa bolje razumevanje uloga i odgovornosti u vezi sa upravljanjem IT rizicima usklađivanje upravljanja IT rizicima sa upravljanjem rizicima organizacije bolje razumevanje IT rizika i njihovih finansijskih posledica donošenje boljih odluka na osnovu veće informisanosti o rizicima ušteda vremena, troškova i rada na osnovu smernica za identifikovanje poslovnih
rizika manji broj prekida poslovanja povećan kvalitet informacija veće poverenje zainteresovanih strana (stejkholdera) i smanjenje zabrinutosti
regulatora
Principi Risk IT okvira Povezanost sa ciljevima organizacije Usaglašavanje upravljanje IT rizicima sa
sveukupnim upravljanjem rizicima organizacije
Balansiranje troškova i koristi od upravljanja rizikom
Promovisanje otvorene komunikacije u vezi sa IT rizicima
Uspostavljanje pravilne politike sa vrha organizacije (right tone from the top) prilikom definisanja i sprovođenja lične odgovornost za rad u okviru prihvatljivih i dobro definisanih nivoa tolerancije
Kontinuirani proces i važan deo svakodnevnih aktivnosti organizacije
13
Izvor:The Risk IT Framework, ISACA, 2009
Domeni Risk IT okvira Upravljanje rizicima (Risk Governance):
Uloge i odgovornosti za rizik Tolerancija i sklonost ka preuzimanju
rizika Svest i komunikacija Kultura rizika
Ocena rizika (Risk Evaluation): Scenarija rizika Opis uticaja na poslovanje
Odgovor na rizik (Risk Response): Ključni indikatori rizika (KRI) Definicija odgovora na rizik i
određivanje prioriteta
14
Izvor:The Risk IT Framework, ISACA, 2009
Kategorije IT rizika15
Izvor:The Risk IT Practitioner Guide, ISACA 2009
IT rizik se odnosi na mogućnost da IT obezbedi vrednost i/ili korist organizaciji kroz korišćenje tehnologije za poboljšanje poslovanja i veću automatizaciju
IT rizik se bavi razvojem sistema, procesima nabavke i održavanja. IT rizik se odnosi na obezbeđivanje selekcije, razvoja i održavanja poslovnih procesa koji generišu prihode, ispunjavaju ciljeve organizacije i obezbeđuju potrebe poslovanja na isplativ način.
IT se najčešće posmatra kao deo organizacije koja omogućava aktivnosti ili pruža usluge. IT rizik u tom delu - sposobnost isporuke IT usluga koje omogućavaju organizaciji da izvrši dnevne operativne procese
Risk IT ne pokriva samo IT bezbednost, već sve IT rizike, uključujući: zastarelu/nefleksibilnu IT arhitekturu, probleme sa isporukom IT usluga, usaglašenost (compliance), odstupanja (misaligments), zakasnelu isporuku/završetak projekata, nedovoljno postizanje vrednosti iz IT
Risk IT proces model16
Izvor:The Risk IT Framework, ISACA, 2009
Risk IT vodič – struktura17
Risk IT practitioner guide
1. Definisanje univerzuma rizika i obima upravljanja rizikom
2. Definisanje sklonosti ka riziku i tolerancije rizika3. Svest o rizicima, komunikacija i izveštavanje
(uključujući ključne indikatore rizika, profil rizika, agregaciju rizika, kulturu rizika)
4. Izražavanje i opis rizika (uticaj, frekvencija, mapa i registar rizika)
5. Scenarija rizika (primeri scenarija rizika, faktori rizika)
6. Odgovor na rizik i prioritizacija7. Tok analize rizika (dijagram)8. Umanjenje IT rizika koristeci COBIT
Cobit 5 za rizik18
Risk Function perspective – šta je potrebno organizaciji da bi bila uspostavljena funkcija rizika
Risk management perspective – kako se izvode ključni procesi upravljanja rizicima (identifikacija, analiza i odgovor na rizike)
Izvor: COBIT 5 for Risk, ISACA, 2013
COBIT 5 for Risk opisuje kako svaki pokretač (enabler) doprinosi upravljanju i rukovođenju rizika. Npr.:Koji Procesi su potrebni da se definiše i održi funkcija rizika, upravljanje i rukovođenje rizikomKoji tokovi Informacija su potrebni za upravljanje i rukovođenje rizikom – npr. univerzum rizika, profil rizikaPotrebna organizaciona struktura – npr. odbor za upravljanje rizikom, funkcija rizika Koji ljudi i veštine treba da budu uključeni da bi se osnovala i funkcionisala funkcija rizika
Cobit 5 za rizik19
Izvor: COBIT 5 for Risk, ISACA, 2013
COBIT 5 for Risk identifikuje sve COBIT 5 procese koji su potrebni Za podršku funkciji rizika (risk function):Ključni procesi - crvenoDrugi procesi podrške – svetlo ljubičastoZa podršku upravljanja rizikom (risk management) (EDM03 Ensure risk optimisation i APO12 Manage risk) – svetlo plavo
Cobit 5 za rizik20
COBIT 5 for Risk propisuje instrukcije za efektivno upravljanje rizicima:
Ključne procese upravljanja rizicima (EDM03 Ensure risk optimisation i APO12 Manage risk)
Scenarija rizika – ključne informacije neophodne za identifikaciju, analizu i odgovor na rizik; konkretne i procenjive ocene rizika
Kako COBIT 5 pokretači mogu da se koriste za odgovor na neprihvatljiva scenarija rizika
Izvor: COBIT 5: Enabling Processes, ISACA, 2012
Cobit 5 za rizik21
COBIT 5 for Risk propisuje instrukcije za efektivno upravljanje rizicima:
Ključne procese upravljanja rizicima (EDM03 Ensure risk optimisation i APO12 Manage risk)
Risk Scenarija – ključne informacije neophodne za identifikaciju, analizu i odgovor na rizik; konkretne I procenjive ocene rizika
Kako COBIT 5 pokretači (enablers) mogu da se koriste za odgovor na neprihvatljiva scenarija rizika
Izvor: COBIT 5: Enabling Processes, ISACA, 2012
Cobit 5 za rizik22
Scenario rizika je opis mogućeg događaja koji će, kada se desi, imati uticaj (pozitivan ili negativan) na ostvarenje ciljeva organizacije - ključan element COBIT 5 procesa APO12.• Pristup odozgo-nadole (Top-
down approach) – na osnovu ciljeva organizacije razmotriti najrelevantnija i verovatna scenarija IT rizika koji utiču na ciljeve
• Pristup odozdo-nagore (Bottom-up approach) – na osnovu liste generičkih scenarija rizika definisati skup relevantnih i prilagođenih scenarija rizika, primenjivih na specifičnu organizaciju
Izvor: COBIT 5 for Risk, ISACA, 2013
23
Izrada scenarija rizika Izvor: Risk IT framework, ISACA, 2009
Scenario rizika
24
Kada se scenario rizika materijalizuje dešava se događaj izazvan pretnjom “threat event” (threat type+event).
Izvor: COBIT 5 for Risk, ISACA, 2013
Komponente scenarija rizikaPrimeri događaja: Pokušaj neovlašćenog
pristupa IS/podacima Malware (virusi, crvi), veliki
broj spamova Zloupotreba podataka
klijenata Napad na mobilne aplikacije Kršenje pravila podele
dužnosti Krađa računara/medija sa
podacima Pad hardver sistema Prekid
komunikacija/nestanak struje Nepotpuna funkcionalna
specifikacija projekta, greške prilikom programiranja/testiranja
Nedostupnost ključnih zaposlenih
Risk IT scenarija rizika25
Izvor:The Risk IT Practitioner Guide, ISACA 2009
Risk IT scenarija rizika - primeri26
27
Izvor: COBIT 5 for Risk, ISACA, 2013
Kategorije scenarija rizikaCOBIT 5 for Risk daje sveobuhvatne scenarije rizika - 111 scenarija rizika u 20 kategorija. COBIT 5 for Risk pruža niz primera o tome kako da se pokretači koriste za odgovori na scenarije rizika. Ublažavanje rizika je ekvivalentno sprovođenju niza IT kontrola (npr. uspostavljanje organizacione strukture, uspostavljanje određenih praksi upravljanja ili rukovođenja).
Za svaku od 20 kategorija scenarija rizika, navedene su potencijalne akcije za smanjenje rizika koje se odnose na svih sedam pokretača (referenca, naslov i opis za svaki pokretač koji omogućava da se umanji rizik).
28
Scenarija rizika Izvor: COBIT 5 for Risk, ISACA, 2013
Cobit scenarija rizika
Pokretači (enablers) za umanjenje rizikaIzvor: COBIT 5 for Risk, ISACA, 2013
29
Cobit scenarija rizika
Šablon scenarija rizika Izvor: COBIT 5 for Risk, ISACA, 2013
Odgovor na rizik30
Svrha definisanja odgovora na rizik je da se rizik smanji u skladu sa definisanim nivoom tolerancije rizika nakon analize rizika. Odgovor treba da se definiše tako da budući preostali rizik (residual risk) (nakon definisanja i implementacije odgovora na trenutni rizik) je što je moguće više (u zavisnosti od raspoloživog budžeta i resursa) u granicama tolerancije rizika. Odgovor može biti: izbegavanje, smanjenje, podela/transfer i prihvatanje rizika.
Izvor:The Risk IT Practitioner Guide, ISACA 2009
Registar rizika31
Izvor:The Risk IT Practitioner Guide, ISACA 2009
Odgovor na rizik i prioritizacija32
Izvor:The COBIT 5 for Risk, ISACA 2013 Svrha definisanja odgovora na rizik je da se rizik smanji u skladu sa definisanim nivoom tolerancije rizika nakon analize rizika. Odgovor treba da se definiše tako da budući preostali rizik (residual risk) (nakon definisanja i implementacije odgovora na trenutni rizik) je što je moguće više (u zavisnosti od raspoloživog budžeta i resursa) u granicama tolerancije rizika. Odgovor može biti: izbegavanje, smanjenje, podela/transfer i prihvatanje rizika.
Risk IT ključne prakse rukovođenja i COBIT 5
33
Risk IT ključne prakse rukovođenja i COBIT 5 Izvor: COBIT 5: Enabling Processes, ISACA, 2012
Upravljanje (governance): osigurava da su potrebe zainteresovanih strana, uslovi i opcije procenjene da bi se odredili izbalansirani dogovoreni ciljevi organizacije koje treba postići; utvrđuje pravac kroz prioritizaciju i donošenje odluka i praćenje učinka i usaglašenosti sa dogovorenim pravcem i ciljevima.Rukovođenje (management): uključuje planiranje, izradu, pokretanje i kontrolu aktivnosti u skladu sa pravcem koji je utvrdilo upravljačko telo (odbor) kako bi se postigli ciljevi organizacije.
COBIT 4.1 kontrolni ciljevi za umanjenje rizika (risk mitigation)
34
COBIT 4.1 prakse Izvor:The Risk IT Practitioner Guide, ISACA 2009
COBIT 4.1 prakse
COBIT 4.1 kontrolni ciljevi i COBIT 535
COBIT 4.1 kontrolni ciljevi i COBIT 5 Izvor: COBIT 5: Enabling Processes, ISACA, 2012
Ključne prakse rukovođenja COBIT 5 za umanjenje rizika (risk mitigation)
36
COBIT 4.1 prakse Izvor: COBIT 5: Enabling Processes, ISACA, 2012
COBIT 5 aktivnosti
Kapacitet rizika37
Kapacitet rizika (risk capacity) - kumulativni gubitak koje organizacija može tolerisati bez rizikovanja opstanka/nastavka poslovanja.
Levi dijagram – Održiva situacija Sklonost ka riziku niža od kapaciteta rizika, stvarni rizik prelazi sklonost ka riziku ali ostaje ispod kapaciteta
rizika Desni dijagram – Neodrživa situacija Sklonost ka riziku viša od kapaciteta rizika tj. rukovodstvo prihvata rizik iznad kapaciteta rizika kojim bi se
apsorbovali gubici; stvarni rizik prelazi kapacitet rizika iako ostaje ispod nivoa sklonosti ka riziku
Izvor: COBIT 5 for Risk, ISACA, 2013
38
Izvor: Managing IT risk in a fast-changing environment:
IT Risk Management Survey, Ernst & Young, 2013.
Trend IT rizika
39
Rizik je karakteristika svih organizacija bez obzira na veličinu. Organizacije treba da se pobrinu da se šanse za kreiranje vrednosti ne propuste pokušavanjem eliminisanja svih rizika (određeni nivo rizika je potrebno prihvatati da bi se kreirala vrednost).
William A. Ward
William Arthur Ward
Velibor Sikimic, [email protected]