IT Consulting >
IT ניהול סיכוני

ניהול סיכוני IT הינו נדבך מרכזי בממשל טכנולוגית מידע המהווה חלק מממשל תאגידי ומטרתו להבטיח שטכנולוגית המידע תומכת במימוש היעדים העסקיים של הארגון תוך השאת ערך מקסימאלי מהשקעות במערך ה-IT בארגון. האחריות על ממשל טכנולוגיות המידע הינה של דירקטוריון והנהלת הארגון ונדרש מהם למסד מסגרות עבודה מקובלות לניהול מערך ה-IT ולשלב בהם, כחלק אינטגרלי, תהליכי מדידה ובקרה שיבטיחו ניהול אפקטיבי שגם יביא להשאת ערך הארגון ועמידה ביעדים העסקיים תוך צמצום הסיכונים הכרוכים בעבודה עם מערכות מידע.

סיכון IT הינו כל סיכון עסקי, אשר כרוך בשימוש, בעלות, הפעלת ואימוץ טכנולוגיות מידע בארגון.

ניתן לחלק את סיכוני ה-IT לקטגוריות הבאות:

  • סיכון הכרוך באספקת שירותי IT – פגיעה בזמינות ובביצועים של מערכות המידע;
  • סיכון הכרוך באספקת פתרונות IT – טיב המענה של מערכת המידע לצרכים העסקיים;
  • סיכון הכרוך באי יצירת ערך באמצעות IT – אי שימוש במערכות מידע כאשר שימוש בהם היה מגביר את האפקטיביות והיעילות של התהליכים העסקיים.

מסגרת העבודה לניהול סיכוני IT באה למלא את החלל בין מתודולוגיית ניהול הסיכונים של COSO לניהול סיכונים כולל (Enterprise Risk Management) לבין ניהול ובקרת ה-IT הנידונים בפרסומי IT Governance Framework של ה-ITGI ורכיבי ניהול הסיכונים הכלולים במסגרת ה-COBIT וה-ValIT. במסגרת העבודה יש 3 תחומים ותהליכים עיקריים:

  • ניהול הסיכון – Risk Governance
  • הערכת הסיכון – Risk Evaluation
  • תגובה לסיכון – Risk Response

אבני הדרך לניהול סיכוני ה-IT בארגון הינם: הגדרת סמכות ואחריות לניהול סיכוני IT; קביעת יעדים והגדרת "תיאבון" סיכון ורמת הסיבולת לסיכון; זיהוי, ניתוח ותיאור הסיכון; ניטור מידת החשיפה לסיכון; טיפול בסיכון; שמירה על הקשר להנחיות הארגון בנושא ניהול סיכונים כללי.

המומחים של BSE Consulting Group מסייעים לארגון במיפוי וזיהוי הסיכונים הקשורים בטכנולוגיות המידע, להעריך את מידת השפעתם הפוטנציאלית על הארגון ולמפות תגובות ובקרות לצמצום מידת השפעתם, תוך הסתמכות על מתודולוגיות ומודלים מבוססים כדוגמת מודל ה-COSO וה-COBIT.

במסגרת תחום זה אנו מספקים את השירותים הבאים: סקר סיכונים הכולל מיפוי נכסי המידע והמערך הטכנולוגי, מיפוי תהליכים משמעותיים בסביבת טכנולוגית המידע, מיפוי הבקרה הפנימית - בקרות כלליות ובקרות יישום מרכזיות, איתור הסיכונים והחשיפות הקיימים בסביבה הטכנולוגית, קביעת הבקרות הנדרשות לצורך צמצום הסיכונים ושיפור התהליכים בסביבת מערכות המידע.

שירותים משלימים נוספים: בניית תוכנית היערכות לשעת חירום, סיוע בכתיבת מדיניות ניהול סיכונים ונהלי עבודה משלימים ואספקת פלטפורמה ייעודית לניהול מתמשך של הסיכונים, שירותי הטמעה וביקורת של סעיפים 302 ו-404 לתקנות SOX (Sarbanes-Oxley ).