ConQuaestor: Integreer IT Risk Management in ERM

11 maart 2013 Consultancy.nl

IT Risk Management een steeds belangrijker wordende component van interne beheersing en risicomanagement binnen organisaties in alle sectoren. Veel bedrijfsrisico’s hebben tegenwoordig een sterk verband met IT. IT Risk Management zou daarom idealiter geïntegreerd moeten zijn in ERM (Enterprise Risk Management). Slecht beheerste inzet van IT vormt een risico voor het realiseren van doelen én het voldoen aan wetgeving, terwijl goed beheerste inzet van IT een waardevolle bijdrage kan leveren om bedrijfsrisico’s de baas te zijn. Hoe beheersen organisaties deze risico’s tegenwoordig adequaat en pragmatisch, zodat IT toegevoegde waarde kan leveren bij het realiseren van de doelstellingen van de organisatie?
 
IT-trends volop in beweging
Wat kenmerkend is voor veel (private en publieke) sectoren en organisaties is dat het belang van IT systemen in hoge mate is toegenomen; een trend waarvan het einde nog niet in zicht is. Bedrijfsprocessen zijn steeds afhankelijker van IT voor het realiseren van de organisatiestrategie en -doelstellingen, waardoor beheersing, rendement uit IT-investeringen en IT-veerkracht alsmaar belangrijker worden. Keerzijde is; IT is kostbaar en lastig te meten qua rendement. Bovendien is sprake van toename van de complexiteit van IT-systemen, door digitalisering van processen en diensten en toepassing van geïntegreerde systemen, maatwerk, informatie-uitwisseling met derden, uitbesteding aan dienstverleners en de ‘cloud’. Het is meer dan ooit noodzakelijk om goede beveiligingsmechanismen te hebben tegen zwakke plekken. Organisaties moeten de gehele keten van automatisering en informatievoorziening beheersen, ook als onderdelen daarvan zijn uitbesteed aan andere organisaties of andere onderdelen van dezelfde organisatie.
 
ConQuaestor - IT Risk Management
 
IT Risk Management
IT Risk Management omvat het proces van implementeren en onderhouden van adequate beheersmaatregelen. Er moet gedacht worden aan algemeen beleid en procedures, om de risico’s, die gepaard gaan met de inzet van IT-middelen, tot een aanvaardbaar niveau te beperken. Dit proces omvat het algehele risico- en controle raamwerk, gericht op de belangrijkste kwaliteitsaspecten van IT. We hebben het dan over Integriteit, Beschikbaarheid, Vertrouwelijkheid, Compliance, Effectiviteit en Efficiëntie. De IT Risk Management functie kan worden opgedeeld in drie aspecten, die we hieronder omschrijven.
 
Risico Governance: Het definiëren van de voor de organisatie relevante IT-domeinen, (IT) risicotolerantie, kwaliteitsaspecten en beheersdoelstellingen. Dit borgt dat IT beleid en -procedures in lijn zijn met organisatiestrategie en ERM, en dat verantwoording wordt verkregen voor IT-risico’s. Besluiten rondom IT-risicoanalyse, -evaluatie en –respons worden afgestemd met de organisatie.
 
Risico Evaluatie: Het bepalen van het IT risicoprofiel, door IT-middelen te koppelen aan producten, diensten en bedrijfsprocessen. Op basis van het profiel worden IT-risicoanalyses uitgevoerd en beheersmaatregelen gedefinieerd.
 
Risico Respons: Borgen dat IT-risico's op kosteneffectieve wijze worden geadresseerd met beheersmaatregelen, conform organisatieprioriteiten- en toleranties. IT-risico's en beheersmaatregelen worden periodiek beoordeeld en het risico responsplan wordt uitgevoerd.
 
Bij IT Risk Management is het van belang dat IT-risico’s worden geëvalueerd in relatie tot de kans en (mogelijke) impact op de bedrijfsvoering. Risico’s rondom de inzet van IT kunnen echter zeer veelzijdig zijn. Er valt te denken aan IT-risico’s in het domein van informatiebeveiliging en privacy, maar bijvoorbeeld ook applicatieontwikkeling, wijzigingsbeheer en continue beschikbaarheid van IT.
 
Randvoorwaarden voor een succesvolle geïntegreerde aanpak van IT Risk Management
Deze veelzijdigheid van risico’s rondom de inzet van IT vraagt om een geïntegreerde en gebalanceerde aanpak van (IT) Risk Management. Met een dergelijk proces kan de organisatie voor elk IT-domein de risico’s op strategisch, tactisch en operationeel niveau met elkaar verbinden. De volgende vijf aspecten zijn randvoorwaardelijk voor een succesvolle geïntegreerde aanpak van IT Risk Management:
 
1. Beschouw IT-risico’s zoveel mogelijk vanuit het perspectief van de bedrijfsdoelstellingen. Integreer IT Risk Management in ERM: het doel van dit proces is om beheersing van (IT-gerelateerde) risico’s te verbeteren. Een geïntegreerde aanpak stelt organisaties beter in staat om bedrijfsrisico’s te verminderen en waarde toe te voegen, maar ook IT-investeringen te rechtvaardigen en optimaal rendement te behalen.
 
2. Bepaal de afhankelijkheid van IT-systemen in combinatie met belang van bedrijfsfunctie/bedrijfsproces. Beschouw de mate waarin strategische, tactische en operationele risico’s rondom de inzet van IT beheerst dienen te worden in combinatie met het belang voor het behalen van de organisatiedoelstellingen.
 
3. Verdeel de aandacht op alle IT risico domeinen. Focus niet uitsluitend op IT-risico’s rondom beveiliging, maar betrek bijvoorbeeld ook de perspectieven als compliance, integriteit, en beschikbaarheid.
 
4. De mogelijkheden om technologie aan te wenden in de beheersing worden groter. Tooling ten aanzien van Governance Risk en Compliance oplossingen (GRC), Business Intelligence en Control Monitoring kunnen organisaties in staat stellen efficiënter en effectiever de interne beheersing te analyseren / monitoren (Governance, Evaluatie en Respons), auditen en daarover te rapporteren.
 
5. Beschouw (IT) Risk Management als continu proces van Governance, Evaluatie en Respons, niet als (risicoanalyse) project. Pas de ‘Plan Do Check Act’ (PDCA) cyclus toe, zodat IT op blijvende wijze toegevoegde waarde kan leveren bij het realiseren van de doelstellingen van de organisatie.
 
Conclusie
Door een in ERM geïntegreerde aanpak van (IT) Risk Management en door rekening te houden met de hierboven geschetste randvoorwaarden, kunnen organisaties IT risico’s adequaat op een pragmatische wijze managen, zodat IT voortdurend toegevoegde waarde kan leveren bij het realiseren van de doelstellingen van de organisatie. Bij IT Risk Management is het van groot belang dat IT risico’s worden geëvalueerd in relatie tot de (mogelijke) impact op de bedrijfsvoering: IT Risk Management is daarmee onlosmakelijk verbonden met ERM.
 
Een artikel van Jeffrey Martens en Bart Tesselaar, beide Consultants bij ConQuaestor.

Nieuws

Meer nieuws over