Realizarea obiectivelor firmei presupune cunoaşterea şi asumarea unor riscuri multiple. Procesul de management al riscului cuprinde trei faze: identificarea riscului, analiza riscului şi reacţia la risc. Identificarea riscului se realizează prin întocmirea unor liste de control, organizarea unor şedinţe de identificare a riscurilor şi analiza documentelor arhivate. Analiza riscului utilizează metode cum sunt: determinarea valorii aşteptate, simularea Monte Carlo şi arborii decizionali. Reacţia la risc cuprinde măsuri şi acţiuni pentru diminuarea, eliminarea sau repartizarea riscului.

Numim risc nesiguranţa asociată oricărui rezultat. Nesiguranţa se poate referi la probabilitatea de apariţie a unui eveniment sau la influenţa, la efectul unui eveniment în cazul în care acesta se produce. Riscul apare atunci când:

  • un eveniment se produce sigur, dar rezultatul acestuia e nesigur;
  • efectul unui eveniment este cunoscut, dar apariţia evenimentului este nesigură;
  • atât evenimentul cât şi efectul acestuia sunt incerte.

Riscul poate fi identificat folosind diferite metode:

  • întocmirea unor liste de control care cuprind surse potenţiale de risc;
  • analiza documentelor disponibile în arhiva firmei, pentru identificarea problemelor care au apărut în situaţii similare celor curente;
  • utilizarea experienţei personalului prin invitarea acestora la o şedinţă formala de identificare a riscurilor. De multe ori oamenii de specialitate sunt conştienţi de riscuri şi probleme pe care ceilalţi nu le sesizează. O comunicare eficientă este una dintre cele mai bune surse de identificare şi diminuare a riscurilor;
  • identificarea riscurilor impuse din exterior (prin legislaţie, schimbări în economie, tehnologie) prin desemnarea unei persoane care să participe la întrunirile asociaţiilor profesionale, la conferinţe şi care să parcurgă publicaţiile de specialitate.

Faza de analiză a riscului ia în considerare riscurile identificate în prima fază şi realizează o cuantificare aprofundată a acestora. Pentru analiza riscului se foloseşte un instrumentar matematic divers, mergând de la analiza probabilistică la analiza Monte Carlo. Alegerea instrumentarului matematic trebuie să fie adaptată necesităţilor analizei şi să ţină seama de acurateţea datelor disponibile.

Eliminarea riscurilor are scopul de a îndepărta riscurile, însă cele mai multe dintre opţiunile care elimină riscul tind să scoată organizaţia din afaceri. O organizaţie cu aversiune prea mare faţă de risc nu va supravieţui mult timp şi ar trebui să-şi investească capitalul în altă parte.

Diminuarea riscurilor se poate realiza printr-o serie de instrumente cum sunt:

  • Programarea activităţilor. Dacă riscurile sunt legate de termenul de execuţie programarea ştiinţifică a activităţilor cu ajutorul graficelor reţea poate diminua riscurile în limite rezonabile.
  • Instruirea. Multe riscuri în IT sunt legate de personalul neinstruit în problematica securităţii informaţiilor. Aceasta influenţează productivitatea şi calitatea lucrărilor. Prin programe de instruire şi conştientizare în domeniul securităţii informaţiilor se poate reduce probabilitatea producerii incidentelor şi efectul acestora.
  • Reproiectarea controalelor de securitate. Riscurile pot fi de multe ori diminuate printr-o reproiectare judicioasă a controalelor de securitate.

Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se referă la părţile care vor accepta o parte sau întreaga responsabilitate pentru consecinţele riscului. Repartizarea riscului trebuie să se facă ţinându-se seama de comportamentul faţă de risc al diferitelor organizaţii implicate. În acest sens regula generală de alocare a riscului este să se aloce riscul părţii care poate să îl suporte şi să îl controleze cel mai bine.

One Comment to “Managementul riscurilor în IT”

  1. rares says:

    O abordare interesanta si relativ mai usor de pus in practica o au cei de la Carnegie Mellon (metoda OCTAVE). Nu este de neglijat nici “politica” celor de la NIST ( intr-o publicatie speciala NSP).