微信
手机学习
智选
报班
  • 客服热线: 4008-000-428

IT在风险管理中的作用

发布时间:2015年09月14日| 作者:Sunil Bakshi| 来源:Information Systems Audit and Control Association| 点击数: |字体:    |    默认    |   

  一个挑战风险经理通常面临的是识别风险的所有者是谁管理的风险责任。一般情况下,一个企业拥有的功能(遭受)损失风险时,物质化。然而,由于大多数业务流程的自动化,并依赖于信息技术(IT)和信息和通信技术,技术相关的风险影响的业务,风险所有者可能没有或对技术知识有限。这导致离开IT负责风险缓解计划,使之成为违约风险所有者。

 

  另一个问题是,IT部门支持几乎所有的业务流程,其中共同服务是共用的,诸如网络和通信(例如,电子邮件,电话)存储。常见的风险,这些服务对每一个不同的业务流程产生不同的影响。这要求风险管理人员聚集的风险影响,这是由不同的企业主进行评估。其结果是一个很大的问题:“谁应该定义风险应对,这将是适当的通过IT服务支持的所有业务功能”在实践中,很难使业务流程所有者,尽管风险负责人的定义,接受它的所有权 - 相关常见的风险服务。它是单独留在家中,以评估风险,确定并实施减灾方案,常见的IT相关风险。

 

  使其朝向在这种情况下的问题是:

  它是一个服务提供商的业务的功能。 IT水平控件可能对每个业务功能不同,因此,它发现它很难实现通用的控制。

  企业主要求其通过批准的例外条款为他们的业务领域,导致虚假的安慰的隐患或放宽共同控制的所有业务功能放宽管制。

  IT经理和管理员,没有意识到风险影响的性质,有可能实现弱电控制IT运营的便利性。
在业务方面,由于缺乏知识或假设,这不是自己的责任,不传达适当的控制要求的。


  其结果是一个有缺陷的风险缓解计划,往往需要的怪,如果风险兑现。这个问题能否得到解决?

 

  每一个组织都可能有自己独到的见解,这取决于文化,依赖IT,组织结构和业务目标。但是,下面的几个步骤可以帮助IT风险管理:

 

  形成IT风险管理委员会由来自业务功能,包括IT的代表。它是有一个高级经理的椅子是个好主意。
定义角色和职责该委员会并建立一个基本的议程,以确定减排方案,常见的危险。该委员会的成员必须是可用于对常见的风险有关问题的决定。


  确保它理解为所有IT相关的风险其作为托管人(或共同拥有者)的角色。
  定义一个共同的强制基准缓解方案常见的IT服务。
  确保IT,作为减轻风险程序的执行者,是感知相关风险的。
  虽然实际的实施可以从组织而异,这种方法可以帮助解决与常见的风险问题,并避免指责的游戏,当风险兑现。

热销商品推荐
学员心声