Kolumne

Published on January 5th, 2013 | by Nermin Catovic

Upravljanje rizicima




Sredinom 80-ih godina prošloga stoljeća velike kompanije koriste formalne metode upravljanja političkim i nacionalnim rizicima koje postupno oblikuju organizacijske jedinice zadužene isključivo za rizike. Danas zakonske obveze i razne regulative organizacijama ne ostavljaju mnogo prostora te se one moraju uhvatiti u koštac s ovom problematikom.

Upravljanje rizicima može se općenito definirati kao identifikacija, procjena i prioritizacija rizika, nakon kojih slijedi koordinirana i ekonomična uporaba sredstava kako bi se smanjila, nadzirala i bolje kontrolirala vjerojatnost i/ili utjecaj neželjenih događaja. Ono što stvara pomutnju pri razumijevanju i primjeni ove definicije kontekst je u kojemu se upravljanje rizicima promatra, a u tome smislu, mnogo je pogleda na upravljanje rizicima.

IT rizici zapravo su rizici na poslovanje koji proizlaze iz korištenja informacijske i komunikacijske tehnologije. Primjeri su takvih rizika zastoji u radu aplikacija, gubitak administratorskih zaporki ili ključeva, neovlašteni pristup povjerljivim obavijestima i sl.

U svijetu postoje mnoge metodologije koje usmjeruju ili konkretno upućuju na uporabu najboljih praksi za procese upravljanja rizicima. Neke se od njih odnose isključivo na IT rizike, neke govore o rizicima informacijske sigurnosti, a neke možemo primijeniti u bilo kojemu kontekstu upravljanja rizicima.

rizici

Što trebaju učiniti organizacije?

Odgovor na ovo pitanje nije jednostavan, inače bi sve organizacije primijenile i uspostavile procese upravljanja IT rizicima već davno. Naime, ova je disciplina relativno mlada u Republici Hrvatskoj, i moraju se priznati veći pomaci napravljeni upravo izbacivanjem odgovarajućih zakona i regulative. Ovime se natjeralo organizacije na upravljanje IT rizicima na metodološki način i smanjivanje gubitaka koje su imale, koje možda nikad nisu dostojno računale. Skupina znanstvenika koja je radila na Basel II direktivi istraživanjem je došla do podatka da operativni rizici (uključujući IT rizike) nose trećinu od ukupnih gubitaka svih ostvarenih rizika.

Danas je primjetan trend da organizacije upravljanje svojim IT rizicima eksternaliziraju (eng.outsourcing) vanjskim tvrtkama koje im pružaju usluge savjetovanja pri uspostavi procesa i ostvarivanja pripadajućih aktivnosti, što nije slučajnost.

Iako se proces upravljanja rizicima, kako je opisan u prethodnim poglavljima, čini jednostavan, on sadržava brojne zamke prilikom primjenjivanja. Vanjski savjetnici osiguravaju upravljanje rizicima na sveobuhvatan način te pridonose i stručnim ekspertizama za koje organizacije često nemaju dovoljno sredstava i vremena. Naravno, ova priča ima i svoju drugu stranu jer se na tržištu pojavljuje sve veći broj priučenih savjetnika sa sumnjivom stručnom pozadinom. Time organizacija ne dobiva dovoljno kvalitetno rješenje, a pri tome gubi šansu da sama osposobi kadrove za samostalno provođenje procesa upravljanja rizicima.

Autor članka je gospodin Dalibor Uremović osnivač firme Alter info d.o.o. Nositelj je certifikata ISO 27001:2005 Lead Auditor, CISA, CRISC i Microsoft Certified Solution Developer za .NET. Tijekom profesionalne karijere stekao je iskustva na poslovima razvoja informacijskih sustava, odnosno projektiranja, programiranja i implementacije sustava, implementacije sustava upravljanja informacijskom sigurnošću prema normi ISO/IEC 27001:2005 i usklađivanja sa zakonskim i regulatornim zahtjevima iz područja informacijske sigurnosti, upravljanja informatizacijom te revizija i procjena rizika informacijskih sustava.

U prilogu pročitajte kompletan članak objavljen u časopisu InfoTrend – Upravljanje rizicima

Tags: , , ,


About the Author

Osnivač portala itrevizija.ba i pristalica edukacije kroz besplatne članke, materijale i međusobne diskusije. Zainteresovan za područja IT revizije, informacione sigurnosti, zaštite podataka, implementacije ISO standarda, kontinuiteta poslovanja i projekt menadžmenta.



Back to Top ↑

UA-16409049-1