Максим Торнов

Управление риском ИТ. Основы


Скачать книгу

Однако фундаментальная суть риска состоит в том, что риск определяет вероятность или возможность того, что некое событие произойдет и какие в этом будут последствия для организации.

      Категории рисков

      Существует множество категорий и типов рисков. Для наглядности следует отметить наиболее, на мой взгляд, важные и привести примеры того, что может пойти не так.

      Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.

      Кредитный – невозврат кредита заемщиком.

      Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.

      Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.

      

      Взаимосвязь ИТ и бизнес-функций организации

      Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.

      

      1.2. ЧТО ТАКОЕ РИСК ИТ?

      EBA – Европейский Банковский регулятор4 дает, на мой взгляд, наиболее точное определение:

      Риск ИТ – это риск потерь организации, вызванный:

      • нарушением конфиденциальности;

      • сбоем целостности систем и данных;

      • некорректной работой либо недоступностью систем и данных;

      • невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).

      Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:

      • неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.

      Взаимосвязь риска ИТ и других категорий рисков

      В случае реализации риска ИТ, рискового события, связанного с ИТ, потенциально, подобно карточному домику, такое событие запускает реализацию рисков из других категорий рисков бизнеса. Более наглядный пример приведен на изображении ниже.

      О том,