Компонент "Процесс"
(набор практик и действий для достижения определенных целей и результатов, поддерживающих достижение общих целей, связанных с ИТ)
| Практика руководства | Примеры метрик |
|---|---|
| ЦР3.1 Оценка управления рисками Постоянное изучение и оценка влияния рисков использования ИТ на предприятие в настоящем и будущем. Анализ адекватности степени склонности предприятия к риску, а также того, что ИТ-риски, влияющие на ценности предприятия, выявлены и управляемы. |
а. Уровень неожиданного воздействия на предприятие. б. Процент ИТ-риска, превышающий допустимый уровень риска предприятия. в. Частота обновления оценки факторов риска. |
| Действия | Уровень возможностей |
| 1. Приобретение понимания организации и ее контекста относительно ИТ-рисков. 2. Определение уровня ИТ-риска, который предприятие готово взять на себя, чтобы выполнить свои задачи (склонность к риску). 3. Определение порогов терпимости к риску по отношению к риск-аппетиту, то есть временно приемлемые отклонения от риск-аппетита. 4. Определение степени согласованности между стратегией в отношении ИТ-риска и стратегией в отношении рисков предприятия, чтобы убедиться, что риск-аппетит ниже способности организации рисковать. |
2 |
| 5. Предварительная оценка факторов ИТ-риска до принятия стратегических решений предприятия и обеспечение принятия решений с учетом анализа рисков. 6. Оценка принятых подходов по управлению рисками со способностью предприятия покрыть возможные ИТ-потери и степень терпимости к этому руководителей предприятия. 7. Привлечение и поддержка необходимых навыков и персонала для управления рисками в сфере ИТ. |
3 |
| Источник | Раздел |
| COSO Enterprise Risk Management, June 2017 | Strategy and Objective-Setting—Principles 6 and 7; 9. Review and Revision—Principle 16 |
| Практика руководства | Примеры метрик |
| ЦР3.2 Задание направления управления рисками Установление практик управления ИТ-рисками, обеспечивающих разумную уверенность в том, что эти практики верны и обеспечивают непревышение фактическим уровнем ИТ-рисков величины склонности к риску, установленной Советом директоров. |
а. Уровень соответствия между ИТ-риском и корпоративным риском. б. Процент корпоративных проектов, учитывающих риски в сфере ИТ. |
| Действия | Уровень возможностей |
| 1. Направление преобразования и интеграции стратегии управления рисками ИТ в корпоративную практику управления рисками и операционную деятельность. 2. Руководство разработкой планов информирования о рисках, охватывающих все уровни предприятия. 3. Руководство внедрением эффективных механизмов оперативного реагирования на изменение рисков и немедленного информирования руководства соответствующего уровня по согласованному формату («что-когда-где-как»). 4. Установление порядка при котором информация о рисках, возможностях, проблемах и сомнениях могла бы выявляться и сообщаться любым лицом в любой момент времени. Управление рисками должно проводиться в соответствии с опубликованными корпоративными политикой и процедурами, риски должны эскалироваться на соответствующий уровень принятия решений. |
2 |
| 5. Определение ключевых целей и метрик процессов руководства и управления рисками, в отношении которых будет проводиться мониторинг, а также утверждение подходов, методов, технологий и процессов сбора оценочной информации и предоставления соответствующей отчетности. | 3 |
| Источник | Раздел |
| CMMI Cybermaturity Platform, 2018 | RS.AS Apply Risk Management Strategy; BC.RO Determine Strategic Risk Objectives |
| ISF, The Standard of Good Practice for Information Security 2016 | IR1.1 Information Risk Assessment—Management Approach |
| King IV Report on Corporate Governance for South Africa, 2016 | Part 5.4: Governance functional areas—Principle 11 |
| National Institute of Standards and Technology Special Publication 800-37, Revision 2 (Draft), May 2018 | 3.5 Assessment (Task 2) |
| Практика руководства | Примеры метрик |
| ЦР3.3 Мониторинг управления рисками Мониторинг ключевых целей и метрик процессов управления рисками и определение того, каким образом отклонения и проблемы будут выявляться, отслеживаться и сообщаться для принятия корректирующих мер. |
а. Количество выявленных и управляемых потенциальных областей ИТ-риска. б. Процент критического риска, который был эффективно снижен. в. Процент своевременного выполнения планов действий по ИТ-рискам. |
| Действия | Уровень возможностей |
| 1. Предоставление отчетности по любым возникающим вопросам, связанным с управлением рисками, Правлению или Исполнительному Комитету. | 2 |
| 2. Мониторинг степени соответствия профиля рисков пороговым значениям склонности к риску. | 3 |
| 3. Мониторинг соответствия ключевых целей и метрик процессов руководства и управления рисками установленным целевым значениям, анализ причин отклонений, инициирование действий по устранению отклонений и вызвавших их причин. 4. Предоставление возможности для заинтересованных сторон проводить оценку прогресса достижения поставленных целей. |
4 |
| Источник | Раздел |
| COSO Enterprise Risk Management, June 2017 | 9. Review and Revision—Principle 17 |
| National Institute of Standards and Technology Special Publication 800-37, Revision 2 (Draft), May 2018 | 3.1 Preparation (Task 7); 3.5 Assessment (Task 1); 3.6 Authorization (Task 1) |
| The Open Group IT4IT Reference Architecture, Version 2.0 | 6. Requirement to Deploy (R2D) Value Stream;7. Request to Fulfill (R2F) Value Stream |
Компонент "Организационные структуры"
| Практика руководства\Роль в организации | СД | ИК | ИД | ДР | ДИТ | СИТ | КР | ДИБ |
|---|---|---|---|---|---|---|---|---|
| ЦР3.1 Оценка управления рисками | О | И | И | И | И | И | И | |
| ЦР3.2 Задание направления управления рисками | О | И | И | И | И | И | И | |
| ЦР3.3 Мониторинг управления рисками | О | И | И | И | И | И | И | И |
| Источник | Раздел | |||||||
| COSO Enterprise Risk Management, June 2017 | 6. Governance and Culture—Principle | |||||||
| King IV Report on Corporate Governance for South Africa, 2016 | Part 2: Fundamental concepts—Definition of corporate governance | |||||||
Компонент "Информация"
(включает всю информацию, производимую и используемую предприятием, необходимую для эффективного функционирования системы управления предприятием)
| Практика руководства | Входы | Результаты | ||
|---|---|---|---|---|
| ЦР3.1 Оценка управления рисками | Из | Описание | В | |
| КПО12.1 | Возникающие проблемы и факторы риска |
Руководство по риск-аппетиту
|
КПО4.1; КПО12.3 |
|
| Вне РиУ КИТ |
Принципы управления рисками предприятия (ERM)
|
Оценка деятельности по управлению рисками | КПО12.1 | |
| Утвержденные уровни толерантности к риску | КПО12.3 | |||
| ЦР3.2 Задание направления управления рисками | КПО2.3 | Агрегированный профиль риска, включая статус действий по управлению рисками | Утвержденный процесс измерения управления рисками | КПО12.1 |
| Вне РиУ КИТ | Профили управления рисками предприятия и планы смягчения последствий | Ключевые цели, которые необходимо отслеживать для управления рисками | КПО2.1 | |
| Политики управления рисками | КПО2.1 | |||
| ЦР3.3 Мониторинг управления рисками | КПО12.2 | Результаты анализа рисков | Меры по устранению отклонений в управлении рисками | КПО12.6 |
| КПО12.4 | - Анализ рисков и отчеты о профилях рисков для заинтересованных сторон - Результаты сторонних оценок рисков - Возможности для принятия большего риска |
Вопросы управления рисками для Совета Директоров/Правления | ЦР5.1 | |
| Источник | Раздел | |||
| National Institute of Standards and Technology Special Publication 800-37, Revision 2, September 2017 | 3.1 Preparation (Task 7): Inputs and Outputs; 3.5 Assessment (Tasks 1, 2): Inputs 2, and Outputs; 3.6 Authorization (Task 1): Inputs and Outputs | |||
Компонент "Люди, навыки и компетенции"
| Навык | Источник | Раздел |
|---|---|---|
| Управление бизнес-рисками | Skills Framework for the Information Age V6, 2015 | BURM |
| Управление рисками | e-Competence Framework (e-CF)—A common European Framework for ICT Professionals in all industry sectors—Part 1: Framework, 2016 | E. Manage—E.3. Risk Management |
Компонент "Принципы, политики и подходы"
(преобразуют желаемое поведение в практическое руководство для повседневного управления)
| Политика | Описание политики | Источник | Раздел |
|---|---|---|---|
| Политика рисков | Определяет руководство и управление рисками предприятия на стратегическом, тактическом и операционном уровнях в соответствии с бизнес-целями. Переводит корпоративное управление в принципы и политику управления рисками и разрабатывает мероприятия по управлению рисками. | National Institute of Standards and Technology Special Publication 800- 53, Revision 5 (Draft), August 2017 | 3.17 Risk assessment (RA-1) |
Компонент "Культура, этика и поведение"
| Ключевой элемент культуры | Источник | Раздел |
|---|---|---|
| Содействует развитию культуры осведомленности о рисках в сфере ИТ на всех уровнях организации и дает предприятию возможность заблаговременно выявлять, сообщать и снижать риски и потенциальные воздействия на бизнес. Высшее руководство задает направление и демонстрирует видимую и искреннюю поддержку практики управления рисками. Кроме этого, руководство должно четко определить аппетит к риску и обеспечить соответствующий уровень обсуждения в рамках обычной деятельности. Желательное поведение включает побуждение сотрудников поднимать вопросы или отрицательные результаты и демонстрировать прозрачность в отношении рисков, связанных с ИТ. Владельцы бизнеса должны принять на себя ответственность за риски, связанные с ИТ, когда это применимо, и демонстрировать искреннюю приверженность управлению ИТ-рисками, предоставляя для этого адекватные ресурсы. | COSO Enterprise Risk Management, June 2017 | 6. Governance and Culture— Principles 3 and 4 |
Компонент "Услуги, инфраструктура и приложения"
(инфраструктура, технологии и приложения, которые обеспечивают предприятие системой управления эксплуатацией ИТ-решений)
- Система управления рисками