جایگاه ریسک IT در مدیریت کلان ریسک سازمانی (چارچوب ایساکا)

جایگاه ریسک فناوری اطلاعات در مدیریت ریسک سازمانی

ریسک مرتبط با I&T یکی از اجزای ریسک کلان سازمان است. سایر انواع ریسک سازمان، شامل ریسک استراتژیک، ریسک محیطی، ریسک بازار، ریسک اعتباری، ریسک عملیاتی و ریسک انطباق است.

در چارچوب بازل ریسک مرتبط با I&T ، تحت ریسک عملیاتی دسته بندی گردیده است. در حالی که در چارچوب ریسک فناوری اطلاعات ایساکا، ریسک های مرتبط با I&T در تمام انواع ریسک های سازمانی گسترده است. بر اساس این چارچوب همه انواع ریسک حتی ریسک استراتژیک می توانند عناصری از ریسک I&T را شامل شوند، به ویژه اگر I&T هسته ابتکارات تجاری جدید را تشکیل دهند.

این ارتباط مشابه برای ریسک اعتباری نیز صدق می کند، به عنوان مثال مدیریت ضعیف ریسک سایبری ممکن است به نقض امنیت یا جریمه های انطباق منجر شود و در نتیجه به کاهش رتبه بندی اعتباری منجر شود.

این چارچوب ریسک مرتبط با I&T را به عنوان یک پیوستار در نظر می گیرد که کاملاً با سایر دسته های اصلی ریسک هم گسترده است، نه به عنوان یک زیرمجموعه محدود از ریسک که به صورت سلسله مراتبی تابع (یا وابسته به) یک دسته دیگر باشد.

قرار دادن مفهومی ریسک مرتبط با I&T به عنوان زیرمجموعه نوع دیگری از ریسک، یا محدود کردن آن به یک دپارتمان یا بخش خاص از سازمان ممکن است آگاهی و ارزیابی ریسک را کاهش دهد و منجر به قضاوت ضعیف درباره ریسک فناوری اطلاعات و یا عدم شناخت دامنه واقعی و جهانی آن شود.

بنابراین ریسک مرتبط با I&T مانند هر ریسک کلیدی دیگر سازمانی (ریسک استراتژیک، ریسک محیطی، ریسک بازار، ریسک اعتباری، ریسک عملیاتی و ریسک انطباق) که همگی تحت بالاترین دسته ریسک قرار دارند، مورد توجه قرار گیرد.

ریسک مرتبط با I&T کل سازمان را تحت تأثیر قرار می دهد و بنابراین نیازمند یک رویکرد مدیریت ریسک یکپارچه است، نه درمان های منفرد، محلی یا موردی.

دسته بندی ریسک فناوری اطلاعات

یک طبقه بندی ریسک ممکن است با ارائه طرحی برای طبقه بندی منابع و دسته بندی های ریسک، به ارتباط نتایج آن ها کمک کند. مسیر از یک تهدید سایبری (یا حوزه نگرانی) به یک ریسک توسعه یافته و مستند نیازمند این است که بیانیه ریسک به اجزای قابل اقدام تجزیه شود. طبقه بندی ریسک یک زبان مشترک از منابع و دسته بندی های مجزا فراهم می کند و به متخصصان کمک می کند تا ریسک را به ذینفعان منتقل کنند و اطمینان می دهد که سناریوهای ریسک مرتبط هستند و با ریسک واقعی کسب و کار یا مأموریت پیوند دارند.

بر اساس این چارچوب ریسک های مرتبط با فناوری و اطلاعات به چهار دسته  اصلی تقسیم می شوند که هر یک نشان دهنده جنبه ای خاص از تهدیدهای بالقوه در استفاده از فناوری در سازمان هستند. این دسته بندی به مدیران کمک می کند تا ریسک های حوزه فناوری را شناسایی، ارزیابی و مدیریت کنند و سرمایه گذاری های فناوری را هم راستا با اهداف کسب و کار هدایت نمایند.

این تقسیم بندی، چارچوبی عملیاتی برای پوشش کامل ریسک های فناوری اطلاعات فراهم می کند و به سازمان اجازه می دهد تا رویکردی ساخت یافته و هدفمند برای حفظ ارزش، امنیت، کارایی و انطباق فناوری اطلاعات اتخاذ کند.

چهار دسته ریسک فناوری اطلاعات عبارتند از

• ریسک ارزش/منافع فناوری و اطلاعات
• ریسک پروژه و برنامه فناوری و اطلاعات
• ریسک ارائه خدمات و عملیات فناوری و اطلاعات
• ریسک امنیت اطلاعات و سایبری

ریسک ارزش/منافع فناوری و اطلاعات

ریسکی است که ناشی از ناتوانی سازمان در دستیابی به منافع، بازده یا ارزش مورد انتظار از سرمایه گذاری ها، برنامه ها و خدمات فناوری اطلاعات می باشد. این ریسک به ویژه در شرایطی مطرح می شود که فناوری اطلاعات به درستی پیاده سازی شده ولی ارزش کسب و کاری ملموسی تولید نمی کند.

ریسک پروژه و برنامه فناوری و اطلاعات

ریسکی است که مربوط به شکست یا اختلال در اجرای پروژه ها و برنامه های فناوری اطلاعات می باشد. این شامل تأخیر، افزایش هزینه، یا عدم تطابق خروجی پروژه با نیازهای تعریف شده کسب و کار است.

ریسک ارائه خدمات و عملیات فناوری و اطلاعات

ریسکی که به اختلال، کاهش کیفیت یا عدم دسترس پذیری خدمات فناوری اطلاعات در عملیات جاری سازمان مربوط می شود. این نوع ریسک می تواند منجر به توقف خدمات حیاتی، کاهش بهره وری یا نارضایتی کاربران شود.

ریسک امنیت اطلاعات و سایبری

ریسکی است که از تهدیدات مربوط به امنیت اطلاعات، داده ها، سیستم ها و زیرساخت های فناوری اطلاعات ناشی می شود. این نوع ریسک شامل حملات سایبری، نشت داده ها، نقض حریم خصوصی، یا عدم رعایت الزامات قانونی امنیت اطلاعات می باشد.