Название: Информационные технологии в банке - Тютюнник А.В

Жанр: Информатика

Рейтинг:

Просмотров: 1392

Риск-менеджмент

Важнейшая составляющая правильной организации управления ИТ - риск-менеджмент. ИТ является одной из самых высокорискованных областей деятельности и может быть сопоставима для кредитных организаций по уровню рискованности даже с финансовыми операциями. Постоянная оценка наихудшего сценария по всем направлениям, оценка вероятности его наступления и потенциального влияния - вот основы риск-менеджмента.

Далее должна следовать работа по смягчению возможных последствий, минимизации влияния и снижения вероятности наступления негативного события, независимо от его природы. Невозможно подготовиться ко всему, поэтому необходимо использовать взвешенный подход, направляя максимум усилий на потенциальные события с высокой вероятностью наступления и высоким влиянием и с низкой вероятностью и высоким влиянием. Такой подход в западной практике является основой риск-менеджмента и называется Probability Impact Analysis.

Основными направлениями риск-менеджмента являются:

- планирование непрерывности деятельности и действий в чрезвычайных ситуациях, так называемые ВСР и DRP (Business Continue and Disaster Recovery Planning);

- разделение ключевых ИТ-функций (необходимо, например, разделять функции разработки программного обеспечения, технического тестирования, тестирования функциональных возможностей и сопровождения эксплуатируемых систем);

- зависимость от ключевогоИТ-персонала (в последнее время одна из наиболее часто встречающихся проблем ИТ-менеджмента);

- информационная безопасность, инциденты, связанные с доступом и раскрытием конфиденциальной информации.

Для минимизации рисков внедряются так называемые контрольные процедуры (Control Procedures), направляемые на предотвращение (Preventive Controls), выявление (Detective Controls) и смягчение (Corrective Controls) негативной ситуации.