“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах

CFO —татии

»нформационни рискове за бизнеса и техни€ контрол

—пециалистите често казват, че способността да се балансира между риска и стремежа към успех отличава преусп€ващите от оцел€ващите компании

26 май 2010, 6511 прочитани€

–амона „ервенкова
–астежът на един бизнес почти винаги изисква да се поемат рискове. Ќавлизането на нови пазари и предлагането на нови продукти са пример за риск, който задължително тр€бва да се поеме, когато се цели нарастване на печалбата. ”споредно с това фирмите се сблъскват и с безброй оперативни рискове, които не са свързани с нови инициативи. ћакар и да не се отнас€т до растежа на бизнеса, такива рискове тр€бва да се идентифицират своевременно и да бъдат надеждно управл€вани. Ќови и нови рискове за бизнеса възникват непрекъснато, предизвикани от различни събити€, настъпващи на вътрешни€ и международните пазари.

 огато става дума за риск, от значение са три основни категории, а именно:

* –иск - веро€тността опасностите да засегнат неблагопри€тно способността на организаци€та да постигне бизнес целите си
*  онтрол - решението (процеси, процедури, приложни системи, организационна структура и култура), което помага на организаци€та да намали риска и да постигне бизнес целите си на стабилна основа
* ≈кспозици€ - потенциално неблагопри€тно въздействие вследствие на контрол, който не намал€ва изц€ло риска, независимо дали е очакван или не.

»нтерпретаци€та на тези категории определ€ и подхода към т€х:

* –иск е всеки случай на съмнително събитие (възникнало или неизбежно), което може да има неблагопри€тен ефект върху бизнес стратегиите или целите
*  онтрол/ограничаване на риска е ограничаването на веро€тността за или на въздействието на съмнителното събитие до приемливо ниво чрез неговото управление, пренас€не или приемане.
* ≈кспозици€ е нестабилността или у€звимостта, ко€то остава независимо от мерките за контрол/ограничаване на риска


–исковете за стопанските субекти при изпълнение на дейността по принцип могат да се причисл€т към една от следните четири големи групи - стратегически, организационни, финансови и информационни. ¬ътре във вс€ка група те могат да се категоризират още по-т€сно съответно като:

* —тратегически - структура на пазара, управление, засегнати лица
* ќрганизационни - бизнес процеси, физически активи, човешки ресурси и култура, юридически въпроси
* ‘инансови - структура на капитала, ликвидност и кредит, пазари, отчетност
»нформационни - интелектуална собственост, информационни системи, управление на информаци€та

¬ажно е да се отчита, че инвеститорите принципно подкреп€т компании, които поемат премерен риск с цел нарастване на потенциала и се дистанцират от онези, които не са в състо€ние да управл€ват оперативните си рискове. ≈то защо ръководителите на стопански субекти тр€бва да имат €сно разбиране за рисковете, с които се сблъсква т€хната организаци€ за да са в състо€ние да вземат решени€ по отношение изследването на риска и да могат да се предпаз€т от въздействието на неидентифицирани рискове върху ефективността на дейността си. ќсвен това, те тр€бва да могат да предостав€т на собствениците на бизнеса €сна и точна информаци€ за поеманите и/или възможните рискове и да могат да изб€гват принудата да се реагира при вече наличен негативен ефект от дадено събитие.

 

¬сичко това може да се постигне като се работи целенасочено и при прилагане на добре структуриран подход за да се:

* —ъздаде процедура за сигнализиране при възникване на риск за организаци€та
* јнализира потенциални€ ефект върху ключовите заинтересовани лица 
* ¬ъведе принципа за необвързаност, устав за ръководство и управление 
* ќцени съответствието със законовата рамка и стандарти и се изготв€т нужните предписани€
* »згради, наблюдава и оцен€ва практика за управление на риска 
* ѕоддържа интегритета на финансовата информаци€ чрез прецизна отчетност
* Ќаблюдава и подобр€ва запазването на активите
* »звършва подход€ща подготовка за реакци€ при евентуална криза
* ѕланират сценарии за реакци€ при различни ‘най-лоши случаи'

 

 

«а целта в организаци€та тр€бва да се изгради устойчив цикъл за контрол на риска, който да включва етапите, илюстрирани на фиг. 1.

 

‘игура 1:”стойчив цикъл за контрол на риска

 

 

Ќай-честите опасности
“ук ще се спрем по-конкретно на н€кои от категориите информационни рискове, които са по-често срещани или зас€гат повече организации, а именно риска от управление на информаци€та и използване на информационни системи при управление на бизнеса.  ъм този риск най-общо може да се подходи в два аспекта - сигурност на информаци€та и информационна поддръжка на бизнес процесите.

 

—игурността на информаци€та може да бъде разглеждана като инвестици€, насочена към намал€ване на оперативните разходи или разходите при разкриване на нови източници на печалба. Ќа не€ също може да се гледа като на предпазна инвестици€, ко€то се прави за да се ограничи възникване на потенциални разходи или негативни за бизнеса въздействи€.
¬ тази връзка, създаването на политика за сигурност дава на организаци€та база за проектиране и внедр€ване на контроли по сигурността, които да ограничат до възможни€ минимум рисковете от информационен тип.

«а да се разработи ефективна политика по сигурността е необходимо да се анализират и оцен€т потенциалните рискове, произтичащи от използваните в информационните системи хардуер, софтуер и мрежи, както и от планирането и развитието, организаци€та и управлението на информационното обслужване. Ќа тази база вече може да се предвиди от каква степен на "твърдост" в политиката по сигурността се нуждае организаци€та, което от сво€ страна определ€ и необходимите разходи по проектирането и внедр€ването на контролите, гарантиращи постигането на очакваната сигурност. ƒо колко "твърда" тр€бва да бъде политиката по принцип се определ€ от н€колко групи фактори:

* Ќиво на заплахите, на които е подложена организаци€та и доколко т€ е "видима" за външни€ св€т
* „увствителност на организаци€та към последиците от потенциални инциденти със сигурността
* ѕравни и регулаторни въпроси, които могат да изискват определено ниво на анализ на риска и да определ€т необходимостта от използване на контроли по сигурността, специфични за информационните системи, приложни€ софтуер или данните

 

«а заплаха се приема вс€ко обсто€телство или събитие, което може да причини вреда на организаци€та чрез оповест€ване, модифициране или разрушаване на нейна информаци€ или чрез лишаване от критично важно обслужване. ѕри това заплахите могат да бъдат случайни (човешка грешка, проблем с хардуера/софтуера и т.н.) или злоумишлени (кражба, разрушаване на информаци€та и др.).

ѕо отношение на "видимостта" за външни€ св€т тр€бва да се има предвид, че вс€ка организаци€ с достъп до »нтернет в известна степен е видима.
–азличните организации имат различна степен на чувствителност към риска, което се определ€ от два основни фактора - възможните последстви€ от инцидент със сигурността и конюнктурни или вътрешно-организационни причини.

ѕочти всички организации са чувствителни по отношение на разходи, предизвикани от инциденти със сигурността, които могат да доведат до влагане на сериозни средства за възстанов€ване дори ако не е засегнато информационното обслужване на критични за бизнеса дейности, поради което те естествено да се стрем€т към прехвърл€не на риска върху контрагенти. Ќай-сериозни са последиците, обаче, когато са засегнати и нарушени вътрешни функции на организаци€та, което предизвиква загуби от пропуснати възможности, престой на персонала и влагане на средства за възстанов€ване, а също и загуба на доверие/репутаци€ на пазара.

 

–едица собственици и ръководители биха приели като риск веро€тността за оповест€ване чрез средствата за масова комуникаци€ на факта, че т€хната информационна система е била обект на проникване независимо дали това е довело до финансови последици или не. “ова определ€ и по-гол€мата чувствителност на техните организации към информационната сигурност.

 

 огато към всичко това се добав€т и законовите изисквани€ и регулации в държавата и/или сферата на дейност на организаци€та, може да се изгради матрицата на нейни€ рисков профил. “€ дава количествено измерение на степента на риска, на който е изложена организаци€та при отчитане на посочените по-горе фактори и го определ€ като нисък, среден или гол€м като при това дава основание за избора на твърдост на политиката по сигурността на информаци€та.  ак се създават контролите за информационна сигурност ще разгледаме в следваща публикаци€.

 

¬тори€т съществен аспект по отношение на рисковете от информационни технологии (»“) е свързан с информационното обслужване на бизнес процесите. ¬ тази връзка се откро€ват н€колко важни въпроса, а именно:

* ƒали въпросите, свързани с развитието на »“ са интегрирани в процеса на вземане на решени€ и в общата стратеги€ за пром€на/развитие на организаци€та като част от нейната бизнес стратеги€
* ƒали »“ функци€та осигур€ва силна поддръжка в постигането на бизнес целите на организаци€та и реализаци€та на нейната стратеги€
* ƒали средствата, влагани в »“ и самата »“ функци€ се управл€ват добре
* ƒали »“ системите осигур€ват нужното информационно обслужване за бизнес процесите
* ƒали »“ осигур€ват нужни€ и подход€щ достъп до информаци€ от всички нейни потенциални потребители в организаци€та
* ƒали »“ проектите се изпълн€ват всеки път в срок и в рамките на бюджета

 

–исковете, които се кри€т в тези въпроси
ѕреди всичко тр€бва да се избегне опасността »“ да се развиват отделно от развитието на организаци€та, самоцелно и/или несъответстващо на потребностите на бизнеса. јко потребността за развитие на »“ не произтича от бизнес стратеги€та или краткосрочни цели на организаци€та свързани/еднопосочни с не€, съществува гол€м риск от това да не се постигне възвращаемост на направените инвестиции като в същото време бизнеса изпитва потребност от адекватно информационно обслужване, което не получава и в резултат реализира пропуснати ползи. ƒори ако развитието на »“ функци€та е правилно планирано, възможно е т€ да не предостав€ желаната поддръжка за изпълнение на стратеги€та/целите на организаци€та поради лошо изпълнение на дейността и така да прави инвестициите неефективни.

ќт друга страна съществува риск от лошо управление на средствата или на самата »“ функци€ в организаци€та. «а да бъде т€ ефективна според очаквани€та е необходимо да се създаде €сна организаци€ и правила за управление както и да се определ€т конкретни показатели за характера и качеството на информационното обслужване. “ова в съчетание с подход€ща функционалност и параметри на работа на използваните информационни системи може да осигури нужното ниво на информационна поддръжка за бизнес процесите. јко информационната система не предлага подход€щи функции или не е настроена за използване по най-добри€ за организаци€та начин, може да се достигне до затрудн€ване и неефективност на изпълнението на процесите или до регистриране на некоректни данни за дейността.

Ќе по-малко съществено е и осигур€ването на оптимален достъп до информаци€ за всички нейни потребители в организаци€та, което да гарантира, че всеки от т€х е в състо€ние да изпълни своите задължени€.

»зпълнението на проекти в областта на »“ често се превръща в сериозно бреме за организаци€та. ѕричините за това са много (вътрешни и външни), но не на последно м€сто е слабата подготовка на самата организаци€ за изпълнението на такъв тип проекти. «а да се ограничи риска от просрочване на проекта, надхвърл€не на бюджета или непостигане на очакваните резултати от него, е необходимо организаци€та да установи съответните контроли по изпълнението на проекта още по време на самото му планиране.

–ол€та на информационните технологи€ и инфраструктура никога не е била по-решаваща за успеха на бизнеса отколкото днес. “ова предполага действи€ от страна на вс€ка организаци€ за гарантиране на контрола върху рисковете, произтичащи от т€хното използване. Ќай-често тези действи€ се насочват към:

  • ”правление на съдържанието/качеството на данните
  • ”правление сигурността на достъп до информационните ресурси
  • √арантиране сигурността на инфраструктурата
  • ”правление на сигурността
  • ќценка на сигурността и контролите на информационните системи
  • ѕроектиране и внедр€ване на »“ контролите
  • √арантиране на контрол върху »“ проектите 
  • √арантиране на непрекъсваемост на бизнеса от проблеми с »“

 

 

–искове при информационното обслужване на бизнес процесите
  • »нформационните технологии се развиват самоцелно или несъответстващо на потребностите на бизнеса
  • »нформационната система не предлага подход€щи функции или не е настроена за използване по най-добри€ за организаци€та начин
  • Ќе е осигурен оптимален достъп до информаци€ за всички нейни потребители в организаци€та
  • —лабата подготовка на организаци€та за изпълнението на »“ проекти

 

¬ стати€та "¬ъвеждане на контроли за намал€ване на риска при използване на »“ " се спираме по-подробно на тези инициативи.


ќригиналът на стати€та е публикуван в списание CIO бр.9/2005

© јй —и “и ћедиа ≈ќќƒ 1997 - 2018 | –еклама | «а нас
ƒействителни собственици на насто€щото издание са »во √еоргиев ѕрокопиев и “еодор »ванов «ахов