IT and other enterprise risksHaving

IT and other enterprise risksHaving established the need for IT governance, the benefits of proactive managementof the IT risk portfolio and having explored each of the seven classes of ITrisk, we now turn to examine other enterprise risks and the relationship with IT.You can’t put a fence around IT risk and separate it from the remainder ofyour organization’s activity. IT is intimately associated with a range of businessactivities that are sources of risk and, as such, has a key part to play in thecontrol environment. IT risk managers must team with those managing enterpriserisks from other perspectives – in their line roles or as functional specialists– to ensure IT risks are given the right priority and that opportunities for ITsystems and services to assist in managing risks of different types are leveraged.Furthermore, at a general level, IT can facilitate the wiring-up, locking-downand constant surveillance of your business, and specifically in the domain of riskmanagement information systems, IT will be relied on for advanced risk analyticsand reporting.Finally we examine IT risk management reliance on a range of other organizationcapabilities for effective preparation, defence and response: from the strategysettingrole of the business leaders to the physical security role of the buildingand facilities staff – down to and literally including the janitor!Divergent perspectives are healthy and ensure completeness in the coveragerisiko perusahaan, sebagai bagian dari manajemen risiko proses adalah untuk memiliki lebih darisatu lapisan kontrol. Pedoman disediakan dalam bab ini untuk membantu Anda mengelolahubungan dan dependensi antara IT risiko dan pengelolaan risiko lainnyakegiatan di perusahaan Anda.Berkaitan dengan jenis lain dari portofolio resiko ITrisiko usahaTerlalu mudah untuk merujuk kepada ini dan 'bisnis' seolah-olah entah bagaimana itu bukan bagian daribisnis. Kami eksklusif fokus pada portofolio risiko itu perlu diimbangi denganpertimbangan risiko perusahaan lainnya.Penilaian risiko bersama risiko lainnyaApakah itu risiko tingkat sebagai salah satu atas risiko di perusahaan Anda?Mari kita membangun kerangka kerja di mana untuk menjawab pertanyaan:• Untuk konsistensi bahasa, kita mengatakan bahwa (risiko) menyebabkan menyebabkan peristiwa (risiko) yangkemudian memiliki konsekuensi (risiko);• Kegagalan dalam portofolio risiko itu adalah salah satu dari banyak penyebab risiko peristiwa dalamenterprise-salah satu wilayah yang banyak dalam hal-hal yang bisa salah yang dapatmengakibatkan konsekuensi negatif bagi bisnis;• Penyebab risiko lain mungkin sama sekali tidak terkait dengan risiko itu, atau terkait erat denganRisiko itu-ini dikenal sebagai korelasi antar risiko; dan• Konsekuensi untuk bisnis akan tidak selalu dapat diukur. Kapandiukur terpercaya, akan tersedia hanya untuk kerugian aktual peristiwa masa lalu dan akanbiasanya berfokus pada kisaran normal kerugian atau 'diharapkan badan'. 91Dalam kerangka ini, kita dapat membuat tabel ilustrasi peringkat perusahaanrisks, illustrating the top risk causes and the major risk impacts or consequences,experienced within a given period (see Figure 11.1). The focus here is onthe major ‘hits’ taken by the enterprise and the contributing causes.92 The linesjoining the causes and the consequences indicate the major relationships evidentin the risk events experienced within the period. For example, failures incorporate governance led to reputational and financial loss. The number of starsis indicating the qualitative or quantitative assessment of the consequence. Notethe big ‘hit’ to reputational loss also resulted from personnel and product qualityfailures that were contributing factors in the risk events.In this illustrative example, IT ranks fourth behind failures in corporategovernance, audit and personnel as a major cause of negative enterprise riskconsequences, for the specific illustrative set of events.Quantified loss and qualitative loss data should be normalized against theexpected losses (normal range) in each category. While ‘plain sailing’ is desirable,it is not anticipated in any category of loss. Figure 11.2 illustrates this concept.Outcomes range from better than expected (one star), expected (two stars) throughto catastrophic (five stars).Comparability of losses in different categories may be attempted, but willremain open to the charge of subjectivity and may be considered insensitive(misalnya tiga orang telah meninggal di kilang kami dianggap setara dengan berapa banyak dipenipuan yang terkait kerugian?).Dikatakan, dimana data kuantitatif tersedia-diukur distribusi kerugian totaldigambarkan sebagai tahunan hilangnya agregat-itu dapat diterjemahkan seperti yang ditunjukkan dalam11.3 gambar. Pendekatan ini untuk penilaian risiko bersama risiko perusahaan lainnyamencerminkan kenyataan bahwa dalam kebanyakan organisasi prioritas pendanaan akan pergi ke arah menamballubang-lubang menganga hari ini.Jika itu tidak menilai sebagai salah satu prioritas utama maka itu tidak akan mendapatkan prioritaspendanaan.Sejauh bahwa penyebab atas risiko tidak mengepel seluruh dana yang tersedia danperhatian, kebijaksanaan manajemen akan menentukan bagaimana sisanya akan dibagiOut antara daerah-daerah yang paling mungkin berdampak negatif terhadap bisnis dimasa depan dan melihat dengan nikmat kepada mereka menawarkan manajemen risiko yang efektifpilihan.Jika Anda banyak beroperasi di lingkungan seperti itu, itu risiko menghabiskan perludibenarkan dan tidak dapat diambil sebagai diberikan. Pertanyaan yang pragmatis untuk bertanya penutupberbagai alat penilaian:• Pengalaman kerugian aktual: apa yang utama 'hits' Anda mengambil? Bagaimana melakukan'sesuatu yang salah' dan portofolio resiko yang melakukan hal-hal yang salahTerletak di?• Kontrol penilaian: Bagaimana efektif kontrol yang ada dan bagaimana merekadiperbaiki? Di mana yang paling masuk akal, ditindaklanjuti dan pencegahan risikostrategi perawatan diarahkan?• Kunci risiko indikator: Apakah Anda memiliki seperangkat indikator di semua daerah-daerah berisikoefektif dalam mengidentifikasi penyimpangan dari norma-norma yang diharapkan?• Skenario analisis: untuk koleksi luas didefinisikan skenario, seberapa baikApakah organisasi Anda merespons? Mengingat bahwa skenario memotong di daerah-daerah berisikomelalui banyak berkontribusi penyebab, bagaimana harus terbatas Anda risiko pengobatanmenghabiskan (mitigasi) dialokasikan untuk memastikan efektivitas maksimum?

IT dan risiko perusahaan lainnya Setelah menetapkan perlunya tata kelola TI, manfaat manajemen proaktif dari portofolio risiko TI dan setelah menjelajahi setiap tujuh kelas TI risiko, kita kini giliran untuk memeriksa risiko perusahaan lain dan hubungan dengan IT. Anda tidak dapat menempatkan pagar di sekitar risiko TI dan terpisah dari sisa aktivitas organisasi Anda. TI berkaitan erat dengan berbagai bisnis kegiatan yang sumber risiko dan, dengan demikian, memiliki bagian penting untuk bermain dalam lingkungan pengendalian. Manajer risiko TI harus bekerjasama dengan pengelola perusahaan risiko dari perspektif lain - dalam peran lini mereka atau spesialis fungsional - untuk memastikan risiko TI diberi prioritas yang tepat dan kesempatan untuk IT sistem dan layanan untuk membantu dalam mengelola risiko dari berbagai jenis yang leveraged . Selain itu, pada tingkat umum, TI dapat memfasilitasi kabel-up, mengunci-down dan pengawasan konstan bisnis Anda, dan secara khusus dalam domain risiko sistem informasi manajemen, TI akan diandalkan untuk analisis risiko canggih dan pelaporan. Akhirnya kita meneliti risiko TI manajemen ketergantungan pada berbagai organisasi lain kemampuan untuk persiapan efektif, pertahanan dan respon: dari strategysetting peran pemimpin bisnis untuk peran keamanan fisik bangunan ! dan fasilitas staf - ke dan benar-benar termasuk petugas kebersihan Berbeda perspektif yang sehat dan memastikan kelengkapan dalam cakupan risiko perusahaan, sebagai bagian dari proses manajemen risiko adalah untuk memiliki lebih dari satu lapisan kontrol. Pedoman disediakan dalam bab ini untuk membantu Anda mengelola hubungan dan ketergantungan antara risiko TI dan manajemen risiko lain kegiatan di perusahaan Anda. Berkaitan portofolio risiko TI dengan jenis lain dari risiko perusahaan itu terlalu mudah untuk merujuk kepada IT dan 'bisnis' seolah-olah entah bagaimana IT bukan merupakan bagian dari bisnis. Fokus eksklusif kami pada portofolio risiko TI perlu diimbangi dengan pertimbangan risiko perusahaan lain. Penilaian risiko TI bersama risiko lainnya Apakah IT risiko tingkat sebagai salah satu risiko atas di perusahaan Anda? Mari kita membangun kerangka kerja yang untuk menjawab pertanyaan : • Untuk konsistensi bahasa, kita mengatakan bahwa (risiko) menyebabkan menyebabkan (risiko) peristiwa yang kemudian memiliki (risiko) konsekuensi; • Kegagalan dalam portofolio risiko TI adalah salah satu dari banyak penyebab kejadian risiko dalam perusahaan - salah satu banyak daerah di mana hal-hal yang bisa salah yang dapat menyebabkan konsekuensi negatif bagi bisnis; • penyebab risiko lain mungkin sama sekali tidak terkait dengan IT risiko, atau terkait erat dengan IT risiko - ini dikenal sebagai korelasi antar risiko; dan • Konsekuensi untuk bisnis akan tidak selalu diukur. Ketika diukur secara andal, maka akan tersedia hanya untuk acara kehilangan masa lalu yang sebenarnya dan akan biasanya difokuskan pada kisaran normal kerugian atau 'loss'.91 diharapkan Dalam kerangka ini kita dapat membuat penilaian tabel ilustrasi dari perusahaan risiko, menggambarkan risiko atas penyebab dan dampak risiko utama atau konsekuensi, mengalami dalam jangka waktu tertentu (lihat Gambar 11.1). Fokus di sini adalah pada yang 'hits' besar diambil oleh perusahaan dan kontribusi causes.92 Garis bergabung dengan penyebab dan konsekuensi menunjukkan hubungan utama jelas dalam peristiwa risiko mengalami dalam jangka waktu. Misalnya, kegagalan dalam tata kelola perusahaan menyebabkan kerugian reputasi dan keuangan. Jumlah bintang yang menunjukkan penilaian kualitatif atau kuantitatif konsekuensi. Catatan besar 'memukul' kehilangan reputasi juga dihasilkan dari personil dan kualitas produk kegagalan yang berkontribusi faktor dalam kejadian risiko. Dalam contoh ilustrasi ini, IT peringkat keempat di belakang kegagalan dalam perusahaan pemerintahan, audit dan personel sebagai penyebab utama perusahaan negatif risiko konsekuensi, untuk set ilustrasi spesifik peristiwa. kehilangan diukur dan data kerugian kualitatif harus dinormalisasi terhadap kerugian yang diharapkan (normal) dalam setiap kategori. Sementara 'berlayar polos' yang diinginkan, tidak diantisipasi dalam kategori kerugian. Gambar 11.2 mengilustrasikan konsep ini. Hasil berkisar dari baik dari yang diharapkan (satu bintang), diharapkan (dua bintang) melalui ke bencana (lima bintang). Komparatif kerugian dalam kategori yang berbeda dapat dicoba, tetapi akan tetap terbuka dengan muatan subjektivitas dan dapat dianggap tidak sensitif (misalnya tiga kematian di kilang kami dianggap setara dengan berapa banyak di loss-penipuan terkait?). Dimana data kuantitatif yang tersedia - katakanlah, diukur total distribusi kerugian direpresentasikan sebagai kerugian tahunan agregat - itu dapat diterjemahkan sebagai ditampilkan di Gambar 11.3. Pendekatan ini untuk Peringkat IT risiko bersama risiko perusahaan lain mencerminkan realitas bahwa dalam kebanyakan organisasi pendanaan prioritas akan pergi ke arah menambal lubang menganga saat ini. Jika TI tidak menilai sebagai salah satu prioritas utama maka tidak akan mendapatkan prioritas pendanaan. Untuk Sejauh penyebab risiko atas tidak mengepel semua dana yang tersedia dan perhatian, kebijaksanaan manajemen akan menentukan bagaimana sisanya akan dibagi keluar di antara daerah-daerah yang paling mungkin berdampak negatif bisnis di masa depan dan melihat dengan nikmat kepada mereka menawarkan biaya manajemen risiko -Efektif pilihan. Jika Anda beroperasi di lingkungan seperti itu, risiko TI menghabiskan kebutuhan akan dibenarkan dan tidak dapat diambil sebagai diberikan. Pertanyaan-pertanyaan pragmatis untuk meminta mencakup berbagai alat penilaian: • pengalaman kerugian aktual: Apa 'hits' utama Anda mengambil? Bagaimana dengan 'sesuatu yang salah dan yang risiko portofolio melakukan hal-hal yang salah berbaring di? • penilaian Control: Seberapa efektif adalah kontrol yang ada dan bagaimana mereka dapat ditingkatkan? Mana risiko yang paling masuk akal, ditindaklanjuti dan preventif strategi pengobatan diarahkan? • indikator risiko kunci: Apakah Anda memiliki satu set indikator di semua area risiko yang efektif dalam mengidentifikasi penyimpangan dari norma-norma yang diharapkan? • Analisis Skenario: Untuk didefinisikan secara luas koleksi skenario, seberapa baik organisasi anda merespon? Mengingat bahwa skenario memotong daerah berisiko melalui beberapa penyebab yang berkontribusi, bagaimana seharusnya perlakuan risiko Anda terbatas pengeluaran (mitigasi) dialokasikan untuk memastikan efektivitas maksimum?