"IT risk-management" ili upravljanje informacijskim rizicima sagledava se ponajprije kao aktivnost koja se odvija unutar operativne razine informacijskog sustava, kao prvenstveno tehnička disciplina, s minimalnom (tek neophodnom) interakcijom s upravljačkim procesima. Iako je risk-management ugrađen u temelje informacijske sigurnosti, naročito u procese upravljanja informacijskom sigurnošću, postoji latentna prijetnja deformacije ili čak minorizacije njegovog značenja. No trendovi koje donosi "Enterpise Risk Management" i zahtjevi ugrađeni u Basel II potiču reafirmaciju discipline upravljanja informacijskim rizicima, stavljajući je u kontekst upravljačkih procesa i povezujući je s upravljačkim procesima organizacije. No, ovaj put je ta veza postaje suštinska.
Usporedimo tradicionalnu poziciju upravljanja informacijskim rizicima. Nositelji procesa bili su predstavnici informatičkih službi. Glavni cilj bio je propisati kontrolne mjere (za što je dovoljno i pametno prepisivanje "best practice" dokumenata), ali uz adekvatne prioritete (upravo zbog toga "best practice" treba pojačati s poslovnim pogledom na potencijalne posljedice, tj. upravljati rizicma). Ipak, "risk management" je infomatičarima uglavnom izgledao trivijalano, a prakticirao se prije svega u kontekstu upravljanja kontinuitetom poslovanja. Njegova prava primjena u drugim segmentima informacijske sigurnosti uglavnom je izostajala (bez obzira na "best practice" dokumente ili profesionalne norme koje su inzistirale na "risk managementu").
"Risk management" je, dakle, gotovo banaliziran i trivijaliziran. No, tržišna regulacija i "Corporate Governance" incijative pojačavaju odgovornost rukovodstva, a time ponovo oživljavaju značaja "IT risk-managementa". Naime, upravljanje rizicima je važan instrument korporativnog upravljanja, a upravljanje informacijskim rizicima integrira se u taj instrument. Kao što sam već pisao na ovim stranicama, kod nas se ova incijativa pojavljuje kroz Smjernice HNB-a, a Odlukom HNB-a iz 2007., upravljanje rizikom informacijskog sustava mora biti uspostavljeno kao složen proces koji će obuhvaćati njegovu procjenu ali i njegovo kontinuirano praćenje. Ovo poglavlje Odluke mora biti provedeno do kraja ove godine.
Kako će banke odgovoriti na ovaj zahtjev? Prije svega, smatramo da se na ovaj zahtjev ne smije gledati površno, a banke ne bi trebale pristupiti samo sa ciljem jednokratnog i formalnog ispunjavanja obveze. Glavni problem predstavlja čijenice da mnoge banke nisu sasvim sigurne kome treba delegirati odgovornost za provedbu ovog zahtjeva. Gledajući terminološki, postojeće bankarske službe za upravljanje rizicima nameću se kao prvi kandidati. No, ove se službe se bave prije svega kreditnim rizicima, dok su operativni rizici (gdje treba ubroji i informacijske rizike) po svom karakteru i metodama upravljanja nešto drugo. Osim toga, kod informacijskih rizika dolazi do izražaja njihova horizontalna disperziranost među različitim organizacijskim procesima banke što sa sobom vuče potrebu "političke" spretnosti u provedbi procesa. Služba informacijske sigurnosti puno je bliža stručnom aspektu upravljanja rizicima, no pitanje je li u našim bankama uspjela dobiti na "političkoj" težini. (Napomena: pojam "politički" se, naravno, odnosi na organizacijske odnose unutar banke, a ne na parlamentarne odnose).
Nakon prvog koraka, određivanja nositelja procesa, slijedi njegova realizacija. Postoji nekoliko mogućih pristupa, no smatram da prije toga treba postaviti cjeloviti okvir provedbe Smjernica HNB-a (o čemu sam nedavno pisao). Na taj način će se modelirati mnogi važni elementi potrebni za uspostavu upravljanja rizikom informacijskim sustavima. Naročito bi trebalo inzistirati na uspostavi procesa provjere kontrolnih mjera koje bi trebale proizaći iz upravljanja rizicima ("compliance"). Sama aktivnost procjene rizika, koja bi inača izgledala kao tehnički zahtjevan zadatak, svesti će se na razumnije proporcije i postati prihvatljiviji zalogaj. Upravljanje informacijskim rizicima će, unatoč probavljivijim proporcijama, dobiti na svojoj težini i strateškom značaju.
Nema komentara:
Objavi komentar