Volodina-vasilisa.ru

Антикризисное мышление
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Процесс управления рисками

Процесс управления рисками: 5 важных шагов

Процесс управления рисками на предприятии не может быть набором одномоментных действий. Он будет эффективен только если это комплекс целенаправленных этапов. Кроме этого, для стабильного достижения целей бизнеса установление контроля над неопределенностями должно стать компонентом общего руководства компанией.

Узнайте из материала, какие главные этапы управления рисками и почему они так важны.

5 главных компонентов процесса управления неопределенностями

В основе риска лежит неопределенность. Нельзя быть уверенным произойдет определенное событие или нет. Помимо этого нельзя точно сказать какими будут последствия, если оно произойдет. Вероятность наступления события и оказываемое воздействие являются двумя компонентами, характеризующими величину угроз. Управляя ими, можно повысить эффективность компании, а иногда даже извлечь дополнительные выгоды.

Бизнес – это сознательное принятие опасностей за вознаграждение в виде прибыли.

Все процессы риск-менеджмента включают одинаковую последовательность шагов, хотя в разных источниках для их описания используются разные термины. В практике они не обязательно идут друг за другом, часто даже осуществляются параллельно. Вместе эти 5 этапов обеспечивают простой, но эффективный процесс контроля неопределенностей проекта или предприятия.

С каждой новой операцией количество угроз возрастает. Предприятие не может полностью избежать опасных ситуаций, но риск-менеджмент позволяет предвидеть и уменьшить отрицательные последствия большинства из них. Следуя этим 5 шагам по управлению неопределенностями, можно оптимизировать стратегию развития компании, делая ее более гибкой, отзывчивой в случае опасных ситуаций.

Чтобы управлять, нужно обнаружить

Если об угрозе ничего неизвестно, управлять ею невозможно. Поэтому так важно обнаружить все проблемы, которые стоят на пути предприятия к его целям. Их причиной становятся внутренние неполадки, внешние факторы, люди, ошибочные решения. Главное понять, что может пойти не так, взять эту опасность под контроль.

Для идентификации опасность нужно найти, включить в перечень и описать ее элементы:

  • причины, по которым она может возникнуть;
  • факторы воздействия, которые при этом возникают;
  • воздействия, которые могут повлиять на состояние предприятия;
  • возможные неблагоприятные последствия, их оценка;
  • факторы, которые влияют на вероятность опасного явления, размеры убытков.

Подходы к обнаружению опасностей на предприятиях разного размера отличаются. Небольшая фирма может ограничиться общим перечнем характерных для ее деятельности угроз. Крупная компания со сложной организационной структурой должна применять разносторонний подход, поскольку ее угрозы охватывают множество причин-следствий.

Чтобы правильно выбрать метод идентификации угроз, необходимо принять во внимание текущую степень развития системы, обеспеченность необходимой информацией. На начальном этапе желательно сочетать как можно больше методов, а если культура управления угрозами уже сформирована, можно ограничиться мозговым штурмом или методом Дельфи. Обычно уже в процессе обнаружения угроз частично вырабатываются меры по их снижению.

Грамотный анализ – залог действенной стратегии управления

Как только все возможные угрозы обнаружены, приходит время копнуть глубже. Какова вероятность каждого из неблагоприятных событий? Можно ли их предотвратить? Если опасная ситуация произойдет, какими будут последствия?

Для этого проводится вначале качественный, затем количественный анализ, классификация, а также ранжирование неопределенностей. Эти шаги позволяют получить целостное представление об опасностях, разобраться, куда следует направить максимальные усилия.

Грамотно проведенный анализ угроз предприятия позволяет:

  • сформировать целостную картину опасностей для принятия взвешенных управленческих решений;
  • сравнить альтернативные варианты новых технологий, проектов;
  • обосновать эффективность методов смягчения последствий;
  • пополнить базу данных для принятия бизнес-решений.

Чем выше информационная обеспеченность, тем глубже корректнее будет анализ. Ограниченность исходных данных приводит к статистическим неточностям, что впоследствии оборачивается ошибочными решениями.

По итогам анализа делают вывод о допустимости (недопустимости) рисков, чтобы соответствующим образом настроить систему контроля неопределенностей. Она должна обеспечить нужную степень защиты предприятия с учетом вероятности наступления неблагоприятного события.

Программа управления опасностями: требования, компоненты, особенности реализации

На данном этапе разрабатывают стратегии снижения угроз, комплексы инструментов для их предотвращения, планы действий на случай опасной ситуации. Стратегия должна соответствовать имеющимся опасностям, рентабельности средств, периоду ее осуществления.

Завершающей точкой планирования должна стать программа управления, в которую входят:

  • детальный перечень мероприятий, которые нужно предпринять;
  • источники ресурсного и информационного обеспечения;
  • критерии, по которым определяется эффективности программы;
  • список сотрудников, структурных подразделений, ответственных за ее воплощение.

Ключ к управлению опасностью – правильно подобранный метод

Методы и финансовые инструменты для нейтрализации угроз подбирают с учетом их специфики, потенциала предприятия. Выделяют 4 основных подхода.

В программу также включают универсальные методы, которые позволяют снизить общий уровень угроз, повысить качество управления ими. Среди них:

  • повышение требований к квалификации, обучению, механизму мотивации персонала;
  • внедрение новых техник по повышению качества управления;
  • развитие организационной структуры предприятия;
  • поддержание контактов с другими компаниями.

Решающий этап – внедрение предотвращающих и компенсирующих мер

Данный шаг предполагает решение технических вопросов, воплощение в жизнь разработанной программы. С этой целью:

  • подготавливают всю необходимую сопутствующую документацию;
  • устанавливают конкретные сроки выполнения обозначенных мероприятий;
  • с программой ознакамливают ответственных лиц.

Когда начинают проводиться мероприятия, предусмотренные программой, подразделение риск-менеджмента помогает и консультирует участников процесса.

Мониторинг и контроль: оцениваем и совершенствуем процесс

Этап мониторинга предполагает обратную связь в системе управления неопределенностями. Он позволяет решить такие основные задачи:

  • определить эффективность разработанной системы;
  • проанализировать реализованные за период действия программы опасные ситуации, выяснить их причины;
  • найти слабые места, ошибки системы;
  • заменить неэффективные методы;
  • внести необходимые коррективы в программу.

Иногда результаты мониторинга процесса менеджмента опасностей бывают некорректными. Анализ соотношения реальных потерь к затратам может свидетельствовать о нулевой эффективности системы. По факту это будет как раз наоборот подтверждением высокой результативности – риски не воплотились за счет расходов на их предотвращение.

Управление рисками – дорога к новым возможностям в бизнесе

Риск – это любая неопределенность, которую нужно заключить в рамки, чтобы проконтролировать эффект ее воздействия на деятельность предприятия. Это позволит двигаться вперед уверенней, легче достигая целей компании. Через контроль и управление полным списком неопределенностей будут устранены неприятные сюрпризы и барьеры, а возможно – даже откроются новые возможности. Система риск-менеджмента способна справиться с многими проблемами в случае их возникновения, поскольку они будут заранее предусмотрены, а планы по их устранению разработаны и согласованы.

Читать еще:  Страховым риском является

Управление рисками проекта

Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.

Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.

Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).

Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.

Процесс управления рисками проекта обычно включает выполнение следующих процедур:

  1. Планирование управления рисками — выбор подходов и планирование деятельности по управлению рисками проекта.
  2. Идентификация рисков — определение рисков, способных повлиять на проект, и документирование их характеристик.
  3. Качественная оценка рисков — качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта.
  4. Количественная оценка — количественный анализ вероятности возникновения и влияния последствий рисков на проект.
  5. Планирование реагирования на риски — определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ.
  6. Мониторинг и контроль рисков — мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.

Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.

Планирование управления рисками

Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.

Идентификация рисков

Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.

Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.

Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.

Качественная оценка рисков

Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.

Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.

Количественная оценка рисков

Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.

Количественная оценка рисков позволяет определять:

  • вероятность достижения конечной цели проекта;
  • степень воздействия риска на проект и объемы непредвиденных затрат и материалов, которые могут понадобиться;
  • риски, требующие скорейшего реагирования и большего внимания, а также влияние их последствий на проект;
  • фактические затраты, предполагаемые сроки окончания.

Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.

Планирование реагирования на риски

Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.

Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.

Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.

Мониторинг и контроль

Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.

Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.

Читать еще:  Контракт плюс риски

Целью мониторинга и контроля является выяснить, было ли:

  1. Система реагирования на риски внедрена в соответствии с планом.
  2. Реагирование достаточно эффективно или необходимы изменения.
  3. Риски изменились по сравнению с предыдущим значением.
  4. Наступление влияния рисков.
  5. Необходимые меры приняты.
  6. Воздействие рисков оказалось запланированным или явилось случайным результатом.

Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.

Управление рисками: 7 главных правил

Налаженная система управления рисками — залог эффективности бизнеса. Она снижает количество негативных событий, минимизирует последствия реализованных рисков, дает компании ряд преимуществ:

Снижение факторов неопределенности и вероятности негативного исхода проекта.

Повышение надежности в глазах контрагентов.

Вообще, прежде чем говорить об управлении рисками необходимо определиться, что такое риск. Слово «риск» происходит от французского слова «risque» — смелость, бесстрашие. Существуют разные подходы к этому понятию, но по сути они сводятся к следующему:

    События с отрицательным влиянием. Они мешают созданию или ведут к снижению стоимости (Управление рисками организаций Интегрированная модель Комитет спонсорских организаций Комиссии Тредвея (COSO));

Влияние неопределенности на цели организации. При этом оно рассматривается как отклонение от ожидания, с позитивными или негативными последствиями (ГОСТ Р ИСО 31000-2010. Национальный стандарт Российской Федерации. Менеджмент риска. Принципы и руководство).

В любом случае каждый риск имеет понятные причины и последствия, а выражается через ущерб и вероятность.

Как управлять рисками

  • Выявите риск, оцените реальность его реализации и размеры потерь бизнеса.
  • Определите инструментарий для управления этим риском (самый важный этап).
  • Продумайте стратегию: как снизить вероятность его реализации или уменьшить потери.
  • Реализуйте стратегию.
  • Посчитайте эффект, оцените результаты стратегии. Измените ее при необходимости.

Основные правила риск-менеджмента

Запомните несколько общих правил стратегии риск-менеджмента, актуальных для любой компании. Специфика их применения в организациях сильно отличается, но общий подход один для всех.

1. Проявляйте инициативу

Инициатива внедрения риск-менеджмента должна исходить от руководства организации. Топ-менеджмент не только внедряет, но и контролирует процесс, показывает своим примером важность управления рисками. Не стоит надеяться, что вопросами безопасности займутся ваши сотрудники.

2. Будьте стратегом

Выявить и обезвредить оперативные риски — половина дела. Нужно реагировать не только на текущие вызовы, но и уметь прогнозировать будущие события. Часто банкротства организаций происходят именно из-за игнорирования будущих угроз.

3. Делегируйте по назначению

Часто все обязанности по управлению рисками на предприятии возлагают на отдельного работника. Он должен самостоятельно выявлять и минимизировать все риски. Но только профильные сотрудники знают специфику своей работы, возможные угрозы и способы минимизации своих рисков. Поэтому вовлекайте в процесс управления рисками сами подразделения.

4. Пишите инструкции

Действия, связанные с управлением рисками, нужно указывать в должностных регламентах и инструкциях сотрудников. Контролируйте этот процесс.

5. Включайте критическое мышление

Управляйте рисками адекватно! Какова вероятность, что завтра ваш офис пострадает от наводнения? А риск, что сотрудник отдела продаж уйдет к конкурентам вместе с базой платежеспособных клиентов?

Распространенная ошибка: выделить перечень рисков, подлежащих управлению, и управлять ими до тех пор, пока не закончатся деньги. Ранжируйте риски по вероятности, последствиям, стоимости и простоте минимизации.

6. Планируйте

После ранжирования спланируйте действия при возможной реализации рисков. Всеми рисками управлять практически невозможно, даже те риски, которыми управляют, тоже имеют тенденцию иногда реализоваться. Продумайте, как вы будете реагировать, если что-то произойдет. Инструкцию действий при пожаре, например.

7. Проводите мониторинг

Управление рисками — это постоянный процесс. Проводите периодический мониторинг и пересмотр рисков. Некоторые риски появляются, некоторые исчезают. Меняется вероятность их возникновения и тяжесть последствий. Определите периодичность или факторы, которые должны стать сигналом для новой переоценки.

Вот основные правила управления рисками. Они не являются исчерпывающими, но должны выполняться во всех организациях, где внедряется или уже внедрена система риск-менеджмента.

Автор: Виктор Крупенков, преподаватель-консультант по экономической безопасности и управлению рисками. Подробнее об авторе и его семинарах в Русской Школе Управления можно узнать здесь.

Хотите научиться работать с рисками компании? Приходите на курсы по управлению безопасностью в Русскую Школу Управления!

Процесс управления риском

Тема 10. Управление рисками.

1. Понятие, классификация рисков;

2. Процесс управления риском;

3. Методы управления рисками;

4. Стратегия и приёмы риск- менеджмента.

1.Понятие, классификация рисков

Риск – это вероятность возникновения потерь, убытков, недопоступлений планируемых доходов, прибыли.

-в зависимости от вида хозяйственной деятельности: предпринимательс-кий (производственный, коммерческий, финансовый) и потребительский;

— по признаку правления: спекулятивный, простой (чистый);

— в зависимости от вида финансового посредничества: инвестиционный, страховой, банковский.

Финансовые риски:

Кредитный риск – опасность неуплаты предприятием основного долга и процентов по нему.

Процентный риск – опасность потерь, связанная с ростом стоимости кредита.

Валютный риск – изменение курса валюты, которое приводит к реальным потерям при совершении биржевых спекуляций и различных внешнеэкономических операций.

Риск упущенной выгоды – вероятность нанесения косвенного ущерба или недополучения прибыли в результате неосуществления какого-либо мероприятия или остановки хозяйственной деятельности.

Инвестиционный риск – вероятность того, что отвлечение финансовых ресурсов из текущего оборота в будущем принесет убытки или меньшую прибыль, чем ожидалось.

Налоговый риск – включает следующие опасности: невозможность получения налогового кредита; изменение налогового законодательства;

В зависимости от масштаба вероятных потерь риски делят на:

-допустимый – имеется угроза полной потери прибыли от реализации планируемого проекта;

-критический – возможны непоступление прибыли и выручки и покрытие убытков за счет средств предпринимателя;

-катастрофический – возможны потеря капитала, имущества и банкротство предпринимателя.

При выборе метода управления рисками необходимо исходить из следующих принципов:

Читать еще:  Социальные риски примеры

— нельзя рисковать больше, чем это может позволить собственный капитал;

— нельзя рисковать многим ради малого;

— следует предугадывать последствия риска.

Это означает, что всегда надо рассчитывать максимально возможный убыток по данному виду риска, сопоставить его с объемом капитала, подвергаемого данному риску и сравнить возможный убыток с общим объемом собственных финансовых ресурсов, определить не приведет ли данный риск к банкротству предприятия.

Цель управления финансовым риском – снижение потерь, связанных с этим риском, до минимума.

В зависимости от объекта воздействия методы защиты от финансовых рисков могут быть классифицированы на 2 вида: физическую и экономическую защиту.

Физическая защита заключается в создании таких средств, как сигнализация, приобретение сейфов, системы контроля качества продукции и т.д. Экономическая защита заключается в обеспечении предприятия финансовыми средствами для покрытия убытков от риска.

Процесс управления риском можно разбить на 6 стадий:

1. Определение цели (защита предприятия от внешней среды или оптимизация внутренней среды);

2. Выяснение риска – сбор информации;

4. выбор методов управления риском;

5. применения выбранного метода,

6. оценки результатов.

Многие крупные фирмы содержат на службе, специалистов по безопасности. Они дают консультации, как уберечь страховые платежи от инфляции, выбирают способы избежания убытков. В фирмах среднего масштаба к функциям финансового менеджера относят и обязанность управления финансовыми рисками. В мелких фирмах – это одна из функций владельца.

Снижение риска возможно:

1) на этапе планирования операции или проектирования образ-цов — введением дополнительных элементов и мер;

2) на этапе принятия решений — использованием соответ­ствую-щих критериев оценки эффективности решения, например, критериев Вальда («рассчитывай на худшее») или Седвиджа («рассчитывай на лучшее») или критерия, при котором показатель риска ограничен по величине (при этом альтернативы, не удо­влетворяющие ограничению на риск, не рассматриваются);

3) на этапе выполнения операции и эксплуатации техни­ческих систем — посредством строгого соблюдения и контроля режимов эксплуатации.

Важно помнить, что управление рисками одновременно является как наукой, так и искусством. Чем более оригиналь­ным является проект, тем выше роль искусства в управлении рисками. Поэтому эффективность управления рисками может быть повышена не только за счет применения научных мето­дов, но и творческих удач субъекта риска.

Управление рисками

Основные понятия

Управление рисками рассматривается нами на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками , равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество бумаг, во втором достаточно определиться лишь с несколькими параметрами. Более подробно данный аспект рассмотрен в статье Сергея Симонова » Анализ рисков, управления рисками» (Jet Info , 1999, 1).

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая (пере) оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

  • (пере)оценка (измерение) рисков;
  • выбор эффективных и экономичных защитных средств ( нейтрализация рисков ).

По отношению к выявленным рискам возможны следующие действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

  1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
  2. Выбор методологии оценки рисков .
  3. Идентификация активов .
  4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
  5. Оценка рисков.
  6. Выбор защитных мер.
  7. Реализация и проверка выбранных мер.
  8. Оценка остаточного риска .

Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные — к оценке рисков.

Уже перечисление этапов показывает, что управление рисками — процесс циклический. По существу, последний этап — это оператор конца цикла , предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность .

Управление рисками , как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС . Тогда эффект оказывается наибольшим, а затраты — минимальными. Ранее мы определили пять этапов жизненного цикла . Кратко опишем, что может дать управление рисками на каждом из них.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Ссылка на основную публикацию
Adblock
detector