Curs Managementul Riscurilor 2009 Iasi

Universitatea Alexandru Ioan Cuza Facultatea de Economie i Administrarea Afacerilor ELITEC coala Economic Postuniversitar
Managementul Riscurilor Proiectelor

Suport de Curs
Iai, ianuarie 2009
Cuprins
Introducere .................................................................................................................................... 3 Cap.I Arta i tiina managementului riscului ........................................................................... 6 I.1 Cuvnt nainte ........................................................................................................................ 6 I.2 Managementul Riscului - concept, istoric, principii ............................................................. 8 I.2.1 Definiii ale managementului riscului ............................................................................. 9 I.2.2 Scurt istoric ................................................................................................................... 11 I.2.3 Principii, obiective, cerine, atribute ............................................................................. 13 Cap.II Elementele procesului de management al riscurilor .................................................... 17 II.1 Managementul riscului o trecere n revist a celor mai ntlnite modele ........................ 18 II.2 Definiii ale conceptului de risc ...................................................................................... 32 Cap.III Identificarea riscurilor .................................................................................................. 38 III.1 Clasificarea riscurilor ........................................................................................................ 51 III.2 Procesul de identificare a riscurilor ................................................................................... 59 III.2.1 Metode de identificare a riscului ................................................................................ 59 III.2.2 Metoda centrelor de risc ......................................................................................... 66 Cap.IV Riscurile asociate componentei umane ........................................................................ 70 IV.1 Riscul generat de atacurile la sistemul informaional ....................................................... 70 IV.2 Riscul generat de statutul de poziie cheie a unei resurse umane n cadrul procesului de implementare / administrare a proiectului ................................................................................. 75 Cap.V Riscurile asociate componentei fizice ............................................................................ 78 Cap.VI Riscurile asociate componentei informatice i rolul proteciei i securitii sistemelor informaionale ........................................................................................................... 81 Cap.VII Evaluare, ierarhizare ................................................................................................... 99 VII.1 Evaluarea riscului element esenial n procesul de management al riscurilor ............ 100 VII.1.1 Metoda Monte Carlo ............................................................................................... 108 VII.1.2 Alte metode de analiz / evaluare / cuantificare a riscurilor .................................. 111 VII.2 Ierarhizarea riscurilor..................................................................................................... 117 Cap.VIII Planul de rspuns la risc i planul de continuitate a afacerii ............................... 122 Cap.IX Monitorizarea i controlul riscurilor ......................................................................... 126 Concluzii ..................................................................................................................................... 128 Bibliografie ................................................................................................................................. 130
Introducere
Dac despre achiziia unui calculator se poate spune c odat ieit din magazin cu produsul cel mai performant eti aproape convins (sau cel puin ar trebui s contientizezi acest fapt) c este deja nvechit, la fel se poate vorbi i despre orice alt component a lumii IT. Afirmaiile de genul trim o adevrat revoluie informaional n care tehnologiile au sporit considerabil capacitatea de a achiziiona, manipula, stoca i comunica informaii au devenit uzuale. Datorit noilor tehnologii informaionale dispunem de instrumente ce permit s extragem i s comunicm informaii n cteva secunde, oriunde, oricui i la orice or. Revoluia e-Business a dat un cu totul alt sens modurilor de organizare i administrare al unei afaceri. Astfel, dac pn mai ieri se vorbea despre capital...munc...natur...., n contextul societii informaionale nu pot fi ignorate informaia i tehnologia informaional. E de la sine neles interdependena dintre primele trei cu noile venite pe pia. n debut de secol XXI, organizaiile caut soluii complete care s simplifice la maximum infrastructura sistemului lor informaional. n mediul tot mai deschis n care se desfoar afacerile, existena unui sistem standardizat a devenit o necesitate. Dezvoltarea continu a firmelor, creterea semnificativ a volumului informaional necesar desfurrii activitii, necesitatea micrilor rapide pe pia, pe baza cunotinelor obinute n termen scurt, dorina de a lua decizii n timp real, integral fundamentate, creterea complexitii afacerilor i a nevoii de a integra toate funciile i procesele n interiorul firmei au dus la apariia soluiilor ERP Tehnologiile informaionale i-au pus amprenta i n relaia dintre administraia public i cetean. Administraiile moderne pun pe primul loc n obiectivele lor dezvoltarea serviciilor pentru ceteni, oferirea de informaii de calitate, consistente i actuale, n forme ct mai prietenoase oricrui cetean, indiferent de nivelul lui de instruire, i deopotriv, crearea instrumentelor necesare participrii active a oricrui cetean la deciziile administrative i politice care l privesc. A aprut astfel conceptul de e-government, guvernarea bazat pe noile tehnologii. Conform Ghidului de e-democraie i guvernare electronic realizat n 2001 pentru Parlamentul Romniei, guvernarea electronica const n interaciunea dintre guvern, parlament i alte instituii publice cu cetenii prin intermediul mijloacelor electronice. Informarea asupra proiectelor de lege aflate n discuie i emiterea de preri de ctre ceteni, plata taxelor de ctre contribuabili, completarea unor plngeri i petiii online reprezint mijloace eficiente puse la dispoziie de ctre stat pentru exercitarea drepturilor fundamentale ale cetenilor. Aadar sensul implementrii guvernrii electronice este de sus n jos [de la stat la cetean]. Dar chiar i acest concept nou pierde deja teren n faa celui de m-government , guvernare mobil. Tot n aceast sfer a aprut conceptul de e-democracy , democraie electronic. Conform aceluiai ghid, spre deosebire de guvernarea electronic, democraia electronic pornete de jos n sus. Ea reprezint folosirea de ctre cetean a mijloacelor electronice pentru a putea comunica mai bine cu ali ceteni, pentru a dezbate probleme i a prezenta nemulumiri i propuneri. Democraia electronic e organizat aadar de ctre ceteni i capteaz prin canale electronice nemulumirile oamenilor, propuneri de mbuntire a procesului de guvernare i de multe ori 3
chiar dezbateri ale unor aciuni guvernamentale. S nu uitm ns c toate acestea se desfoar pe Internet, prin intermediul site-urilor de opinii personale, a forumurilor de pe portalurile de eDemocraie, a chaturilor si listelor de discuii. Internetul a schimbat toate regulile dup care se conduceau afacerile, ba mai mult, a schimbat viaa tuturor i asta mai ales prin noul mod prin care oamenii pot acum interaciona. Facem e-Business, cumprm de la e-Mall, ne achitm obligaiile ctre stat prin e-Tax, trim n e-Democraie, iar statul ne e-Guverneaz. Implementm soluii: Enterprise Resource Planning (ERP), Customer Relantionship Management (CRM), Supply Chain Management (SpCM) .... Dar, la soluii noi, riscuri noi Riscul este o coordonat cu care ne confruntm zilnic i pe care o acceptm. Pentru a putea lua decizii, n viaa noastr de zi cu zi, cntrim continuu riscul implicat de diferite opiuni. Riscul reprezint posibilitatea de a suferi o pierdere, este acel obstacol potenial care ar putea mpiedica succesul unui proiect de implementare. Riscul este inerent n orice proiect. i fiindc fiecare proiect este diferit, riscurile difer de la proiect la proiect. Controlul riscului reprezint cheia unui proiect de succes. Managementul riscului implic identificarea riscurilor care ar putea afecta succesul unui proiect i administrarea proactiv a acestora, n vederea reducerii impactului lor. E aproape la fel cum Sun Tzu spunea n Arta Rzboiului: E mai bine s capturezi armata inamic, dect s o nimiceti; e mai bine s prinzi intacte un batalion, o companie sau o grup de cinci oameni dect s le nimiceti. Comentariul imediat urmtor ntrete aceast idee i o dezbate cel care exceleaz n soluionarea dificultilor nainte ca ele s apar, cel care este capabil s-i nving adversarii triumf nainte ca ameninrile acestora s se concretizeze (Tu Mu). O alt idee care are direct aplicare n politica de management al riscurilor, este ceea ce spunea Paul William, unul din corespondenii computerweekly, n unul din articolele sale din seria Thought for the day, the IT dangers of coffee (i pe care de altfel am amintit-o i mai sus): nici o politic de securitate nu va compensa niciodat stupiditatea uman. Poate aceast s fie cauza ateniei sporite pe care am acordat-o procesului de identificarea riscurilor care ar putea afecta un proiect / sistem informaional i mai ales seciunii pe care noi am intitulat-o, riscuri asociate componentei umane. Lucrarea abordeaz att domeniul managementului riscurilor, analiznd pe rnd fiecare din fazele procesului de management al riscului (identificare, evaluare, dezvoltarea planului de rspuns la risc, controlul rspunsului la risc) ct i problema noii economii i a tehnologiilor ce ajut la derularea afacerilor moderne cu scopul de a identifica sursele de risc corespunztoare acestui mediu de afaceri. Se va observa ns c toate aceste faze, dei privite diferit de diverse instituii sau autori ce se ocup cu analiza procesului de management al riscului, difer doar ca denumire. Astfel, identificarea riscului i cuantificarea riscului sunt uneori tratate mpreun i poart denumirea de evaluare a riscului sau de analiz a riscului; planul de rspuns la risc este uneori ntlnit i su b denumirea de plan de atenuare a riscului; planul de rspuns la risc i planul de control al riscului sunt uneori tratate mpreun sub numele de plan de management al riscului. Aceste faze nu sunt 4
independente; ele interacioneaz unele cu altele i chiar dac prezentarea lor se va face individual, n practic e posibil s se suprapun i s interacioneze n diverse forme.
Cap.I Arta i tiina managementului riscului

Obiective Cunoaterea i nelegerea conceptului de managementul riscului Cunoaterea etapelor de cristalizare a tiinei managementului riscului Prezentarea principiilor de managementul riscului
Herodot (484 .Hr. - cca.425 .Hr.), pater historiae, spunea: Minunat lucru este prudena i neleapt este prevederea. Totui a prevedea fr a aciona nu poate s produc un impact fundamental asupra performanei unei afaceri sau asupra succesului unui proiect. Din acest motiv esenial n conducerea unei afaceri, n derularea unui proiect sau n administrarea unei resurse, umane, informaionale sau de orice tip, fie c vorbim despre securitatea unui computer personal sau consistena unei baze de date, fie c vorbim despre complexitatea unui sistem de tip Enterprise Resource Planning (ERP), e-Business sau mai noile sisteme de Guvernare Electronic (e-Government) i Democraie Electronic (e-Democracy) este partea de implementare a proiectului asistat de un ireproabil management al riscului.
I.1 Cuvnt nainte

Vorbim de riscuri zilnic. Sau poate nu att de mult de risc n aceast form dar sigur vorbim de evenimentul nefericit care s-a produs ntr-o anumit situaie sau unei anumite persoane. Desigur vorbim zilnic i de evenimente fericite. ns pe acestea ne-am obinuit s le numim anse, oportuniti. i vorbim de riscuri mai ales cnd ne referim la o aciune sau un eveniment viitor. De altfel, Paul S. Royer1, n lucrarea Project Risk Management, definea conceptul de risc ca fiind evenimentul viitor posibil a crui apariie va afecta obiectivele proiectului din punct de vedere al costului, programului calendaristic sau din punct de vedere tehnic. Efectul ar putea fi pozitiv, caz n care managerul de proiect are oportunitatea de a mbunti performana proiectului sau de a atenua riscurile. ns, de cele mai multe ori, efectul este contrar obiectivelor. Iat, deci, cum riscul prinde contur, nu att din probabilitatea c nu se va ntmpla ceva bine, ci din posibilitatea de a se ntmpla ceva ru. De fapt, i fr a vorbi, contient sau incontient, orice persoane i asum o serie de riscuri n viaa particular, n activitatea de rutin de zi cu zi sau n afacerea pe care o conduce. Practic, pentru orice decizie ce urmeaz a se lua se calculeaz ansa de a avea un rezultat pozitiv sau neansa, riscul de a avea un rezultat nedorit.Dar ce este riscul? i, pe cale de consecin care este definiia dat managementului riscului? Care este atitudinea corect pe care un bun manager ar trebui s o aib n faa unui risc? Acceptarea? Evitarea? Sau poate transferul riscului printr-o poli de asigurare? i cum se face c riscul este considerat o combinaie de pericol i
1
Royer, P.S., Project Risk Management A Proactive Aproach, Management Concepts, Project Management Institute, Inc.2000
oportunitate n filosofia asiatic? Este oare posibil s fie riscul considerat o oportunitate? Sau este vorba doar de un eveniment nefericit, nedorit? ntrebri ... Dar este oare suficient a da un rspuns, teoretic prin natura sa, acestor ntrebri pentru a putea considera mcar o clip c afacerea ce o conduci este asigurat i protejat de riscuri? Sau este suficient s adopi o metodologie, o politic de tip best practices sau un standard, precum ISO 17799, BS 7799, HIPPA Act, TickIT, ITIL, SOX, CobIT, Octave, Delphi, Mehari etc., avnd n vedere, totui, c fiecare afacere i are unicitatea sa i de asemenea, riscurile difer de la situaie la situaie? Doar cu titlu de exemplu: - pentru un sistem de furnizare a biletelor de avion disponibilitatea soluiei este cheia continuitii afacerii, acest lucru ducnd la necesitatea soluiilor de asigurare a continuitii afacerii; - pentru un productor de automobile confidenialitatea planurilor i proiectelor reprezint cheia succesului n faa competiiei, acest lucru ducnd la politici i soluii de control al accesului; - pentru un sistem de calcularea pensiilor integritatea datelor despre angajai trebuie s fie pstrat intact de-a lungul unei perioade ndelungate de timp (40 - 60 ani), pentru a se evita dificulti ulterioare. Importante, n acest sens, sunt, de asemenea, politicile de control al accesului, scopul fiind ns pstrarea ncrederii n datele colectate pentru o perioad de timp ndelungat. i iat-ne ajuni n faa unor noi ntrebri ...
I.2 Managementul Riscului - concept, istoric, principii

De ce a ctigat conceptul de risc o importan att de mare n societatea modern ? De ce se definete societatea modern ca o societate riscant ? Sociologul german Nickolas Luhman a adus o contribuie instrumental substanial prin lansarea ideii c riscul reprezint o form general prin care societatea i descrie viitorul2. Potrivit lui Luhman, riscul este un concept care trebuie deosebit de pericol. n timp ce riscul indic o pierdere posibil viitoare datorit deciziei unui alt agent, pericolul se relaioneaz cu posibilitatea unei pierderi cauzate de indecizie. Pe scurt, teza lui Luhman susine c viitorul este total dependent de deciziile prezente. Aceast abordare are implicaii importante pentru analiza riscului. Noile condiii n care mediile de afaceri sunt n continu schimbare, ndreptndu-se tot mai mult ctre dereglementare i competiie, genereaz riscuri diverse, practic n toate domeniile de activitate. Orice decizie n ceea ce privete realizarea unui obiectiv nou, dezvoltri sau restructurri, antreneaz un risc n obinerea rezultatelor estimate iniial datorit influenei schimbrilor ce se manifest nencetat n mediul tehnic, economic i social, intern i extern. Condiiile de incertitudine influeneaz evenimentele (variabilele) care concur la obinerea unor indicatori ce pot fi utilizai pentru evaluarea variantelor de realizare a unui proiect i fundamentarea deciziilor. Aceste schimbri, ca i existena unui mare numr de participani la derularea activitilor, fac necesar gestionarea (managementul) riscului printr-o strategie coerent de evaluare, tratare i administrare a acestuia, fr de care nici un participant serios nu poate s se angajeze n prezent la realizarea unei afaceri. De altfel n literatura de specialitate se arat c un proces sntos al managementului riscului i mbuntirea continu a acestuia constituie semnul distinctiv al companiilor de talie internaional ntr-un mediu competitiv3.
Managementul Riscului, Revista Risc Consult, nr. 4/2003, la http://www.riskmanagement.ro, accesat n 12.03.2005 3 Brbulescu, C., Romascu, G., Diaconu, A., Diaconu, . Aspecte privind managementul riscului i utilizarea sa n activitatea decizional din domeniul transportului energiei electrice, C.N. Transelectrica S.A , la http://www.stcv.ro/timisoara/s_tm2002/13b/13a.htm, accesat n 23.01.2006
I.2.1 Definiii ale managementului riscului

The PMBOK Guide 2000 Edition, definete managementul riscului n proiecte ca fiind un proces sistematic de identificare, analiz i rspuns la riscurile proiectului4. n opinia Western Education And Library Board instituie avnd drept ocupaie de baz furnizarea de servicii educaionale n regiunile din Irlanda de Nord managementul riscului presupune implementarea unui proces sistematic i la nivel de corporaie n vederea evalurii i abordrii impactului cauzat de riscuri ntr-o manier eficient din punct de vedere al costurilor implicate, precum i crearea unei echipe cu competene potrivite pentru a identifica i evalua posibilitatea ca diverse riscuri s apar5. FAST Federal Aviation Administration Acquisition System Toolset 6 pune n discuie problematica managementului riscului securitii (SRM Security Risk Management). Astfel, SRM reprezint un proces logic ce poate fi utilizat n vederea evalurii i cuantificrii riscului, i implementarea unui proces de management cu soluii - din punct de vedere al costurilor - eficiente de reducere a riscurilor de securitate, utilizndu-se resursele disponibile7. SRM se declaneaz odat cu nceputul programului i se aplic pe toat durata ciclului de viat al proiectului i are menirea de: - a identifica i cuantifica bunurile pentru a li se asigura protecia; - a msura rolul i importana fiecrui bun prin determinarea impactului pierderii acestuia; - a identifica i cuantifica vulnerabilitile asociate cu fiecare bun (obiect ameninare determinat); - a aplica taxonomia potrivit; a analiza costurile i beneficiile asociate cu paii de reducere a riscurilor. Constantin Opran i colaboratorii8 prezint dou definiii ale conceptului. n primul rnd managementul riscului (MR) se definete drept gestionarea evenimentelor incerte n scopul succesului. Managementul riscului are drept caracteristic totalitatea metodelor si mijloacelor prin care este gestionat riscul n scopul ndeplinirii obiectivelor descrise n cadrul evenimentului tehnic, social, uman sau politic de analizat, avnd incertitudinea ca baza majora a factorilor de risc. n al doilea rnd, managementul riscului proiectului (MRP) se definete drept totalitatea metodelor i mijloacelor prin care este gestionat riscul n cadrul unui proiect n scopul ndeplinirii obiectivelor proiectului avnd incertitudinea ca baz major a factorilor de risc. BT Business Office, pagin web dedicat tirilor despre afaceri, prezint lucrarea Risk Management - An introduction and discussion on Risk Management together with recommendations for its implementation9, lucrare n care managementul riscului este definit
4
...the systematic process of identifying, analyzing, and responding to project risk. http://www.risksig.com/Articles/rm%20report%20final%20version%2012.doc 5 http://www.welbni.org/FOI/Risk%20Management.doc 6 http://fast.faa.gov/index.htm 7 http://fast.faa.gov/Riskmgmt/Secriskmgmt/docs/00-11-a.doc 8 Opran, C., Paraipan, L., Stan, S. Managementul Riscului, Suport de curs, SNSPA, Facultatea de Comunicare i Relaii Publice David Oglvy, 2004., pp.7-8 9 http://home.btconnect.com/managingstandard/risk_1.htm#INTRO
astfel: suma tuturor activitilor proactive ordonate de ctre management n cadrul unui program ce au ca scop adaptarea la un nivel acceptabil a posibilelor eecuri ale elementele programului. Termenul de risc management se aplic n numeroase domenii: - ca o cerin a mediului profesional analizat de Colegiul Medicilor i Centrul de Educaie Medical Continu Iai, a fost realizat proiectul "Managementul Riscului Legal n Practica Medicului de Familie"10 - program educaional regional de educaie medical continu pentru medicii de familie n probleme de responsabilitate medical i de malpractice; - domeniul socio-politic i de analiz nelege conceptul de management al riscului ca management al mediului i al riscurilor nucleare, acele macro-riscuri generate de tehnologii care pot pune n pericol chiar existena noastr; - pentru bancheri i finaniti reprezint modalitatea sofisticat de folosire a instrumentelor financiare; - pentru cei din domeniul proteciei umane, reprezint micorarea numrului de accidente i rniri; pentru domeniul asigurrilor reprezint coordonarea riscurilor asigurabile i reducerea costurilor asigurrii; - etc Pentru bncile de investiii, riscul portofoliului de credite este asociat cu ratele de pierderi n portofoliul de tranzacii incertitudinea privind pierderile din activitatea de creditare n termeni de faliment sau imposibilitate de plat. Managementul modern al portofoliului de credit se refer exact la acest aspect, recunoscnd c factorii determinani sunt concentrarea debitorilor, a industriilor i a rilor n termeni de volatilitate n expunerea viitoare i instabilitate financiar11. Scopul managementului riscului asociat portofoliului de credite este diminuarea riscului i/sau creterea profitului pentru un portofoliu de tranzacii. Mai mult sau mai puin nou...a aprut i conceptul de management al riscului de terorism. Gestionarea riscului de terorism presupune12: - Colaborarea strns cu autoritile locale i guvernamentale, cu firme de avocatur i cu specialiti n elaborarea planurilor anti-teroriste; - Controlul accesului fizic i electronic n companie, incluznd controlul accesului la diferite active - importante ale organizaiei; Promovarea unui plan de redresare a companiei n caz de dezastru, incluznd refacerea sistemelor de protecie; Achiziionarea de polie de asigurare prin care s se realizeze transferul riscurilor de la organizaie ctre societatea de asigurare.
10 11
http://www.colegiu.mednet.ro/proiecte/managementul.html Idem 57 12 Asigurarea riscului de terorism, Revista Risc Consult, nr.3/2001, http://www.riskmanagement.ro
10
n domeniul asigurrilor, managementul riscurilor const att n prevenirea i minimizarea producerii unor evenimente ct i n procesul de identificare, evaluare i cuantificare al acestora13. Managementul riscului de mediu este un termen relativ nou n literatura de specialitate. El se refer att la msurile de diminuare a riscurilor, ct i la msurile luate pentru diminuarea efectelor acestora14. n lucrarea Aspecte privind managementul riscului i utilizarea sa n activitatea decizional din domeniul transportului energiei electrice, C.N. Transelectrica S.A.15 coautorii Brbulescu Christiana, Romascu Gabriel , Diaconu Anca i Diaconu tefan privesc procesul de management al riscului ca un proces complex, ncepnd cu stabilirea unei infrastructuri i continund cu identificarea, analiza i evaluarea riscurilor, luarea unor msuri de evitare sau minimizare a pierderilor, precum i luarea deciziilor n privina tratamentului financiar necesar pentru minimizarea pierderilor inevitabile. ntr-un sens foarte restrns, aplicabil domeniul energetic, se poate spune c managementul riscului identific i evalueaz activitile care reduc probabilitatea evenimentelor accidentale din cadrul reelei electrice de transport i evit consecinele ce ar putea apare, conducnd la un nivel de siguran (securitate) sporit fa de cel anterior aplicrii programelor de management de risc. Pentru domeniul IT, managementul riscului (informaional) este o component important a managementului integrat care are menirea de a produce instrumentele necesare de analiz i implementare a soluiilor care s reduc efectele negative ale perturbrii informaiei.
I.2.2 Scurt istoric

Managementul riscului este un fenomen destul de nou. Managerii au nceput s discute despre risc abia n anii 90. Dac ar fi s aruncm o privire n istorie se pot puncta anumite momente definitorii n consolidarea tiinei managementului riscului16:
-
1654 apare pentru prima dat noiunea de probabilitate n evaluarea unor situaii posibile de realizare a unor evenimente (Blaise Pascal i Pierre de Fermat); 1662 John Graunt public primele analize statistice asupra mortalitii populaiei londoneze (se utilizeaz primele elemente de eantionare pe baza unor metode statistice, se identific principalii factori de risc ce au contribuit la scderea mediei de via); 1687 Edward Loyd ntocmete pe baza calculelor personale efectuate un tabel (tabelul lui Loyd), coninnd date referitoare la principalele evenimente maritime europene; 1696 Edmund Halley demonstraz modul n care pot fi utilizate de ctre societile de asigurri, tabelele statistice referitoare la evoluia mortalitii n funcie de vrst;
13 14
http://www.romasig.ro/asigurari/asig_manag.php http://www.ici.ro/ici/revista/ria2002_1/art3.htm 15 Brbulescu, C., .a., opcit. 16 Opran, C., .a. , opcit., p.10-13
11
1713 Jacob Bernoulli postuleaz Legea numerelor mari ce furnizeaz metoda prin care probabilitile i semnificaia statistic, pot fi identificate dintr -o informaie limitat, cristaliznd n acest mod teoriile legate de metodele i procedeele de eantionare a unei populaii; 1733 Abraham de Moivre postuleaz dou mrimi statistice extrem de importante: dispersia i abaterea standard, cu rolul de a studia mprtierea datelor experimentale n jurul valorii centrale sau mediane; 1738 Daniel Bernoulli postuleaz noiunea de utilitate (teoria utilitii marginale descrescnde). Consecinele studiilor sale au un puternic impact n cadrul riscurilor asumate n teoria deciziei, pornind de la supoziia conform creia riscul n asumarea unei decizii nu este exclusiv legat de realizarea unor calcule i estimarea unor probabiliti ci i de valoarea consecinelor pe care le pot avea aceste riscuri pentru cel care i le asum. 1885 Francois Galton pune n eviden regresia datelor ctre medie ce consta n esen n faptul c ntr-un interval mai lung de timp, sau dup un numr suficient de mare de iteraii sau experimente, valorile extremale ale distribuiei se ndreapt ctre medie sau ctre valoarea central a acesteia. 1944 John von Neumann i Oskar Mogenstern introduc conceptul de joc de strategie pentru obinere unor rezultate semnificative de succes n orice domeniu socio-economic; o declar omul drept surs primar de incertitudine (factorul uman prezint o atitudine variabil, influennd astfel n mod determinat prognozele statistice); 1952 Harry Marcovitz demonstra fundamentul tiinific prin care investitorii i managerii implicai n dezvoltarea afacerilor pot minimiza efectele varianei veniturilor la venire; o ncepnd cu aceast perioad, atenia tuturor oamenilor de tiin, ce au ntreprins cercetri n domeniu s-a focalizat pe descoperirea unor modele matematice capabile s furnizeze prognoze i s estimeze evoluia unor indicatori specifici, baz de referin pentru activitatea managerilor de risc. 1955-1964 se dezvolt sistemul de cumprare a polielor de asigurare (insurance buying); 1970 Fischer Black i Myron Scholes public pentru prima dat un model matematic pentru simularea unei opiuni manageriale, relevnd pentru prima dat i gradul de risc pe care l implic aceast asumare a unei astfel de opiuni; 1979 David Hertz propune utilizarea metodei matematice de simulare Monte Carlo pentru evaluarea capitalului de investiii, relevnd modurile n care incertitudinea afecteaz succesul unui proiect; o ncepnd cu aceast perioad, se extinde aria de influen a Risk and Insurance Management Society (RIMS) nspre Europa i Asia; o apar organizaii profesionale de management al riscului; o se manifest interes pentru tehnicile de finanarea riscului 12
I.2.3 Principii, obiective, cerine, atribute

Teoria i practica managementului riscului au generat i anumite principii. Astfel, Software Management Institute propune urmtoarele principii de management al riscului: 1. Perspectiv global a. dezvoltarea unui produs soft trebuie analizat n contextul dezvoltrii / definirii unui sistem mai larg b. necesitatea recunoaterii att a valorii poteniale a oportunitii ct i potenialul impact al efectelor adverse 2. Privire orientat ctre viitor a. identificarea incertitudinilor, anticiparea potenialelor rezultate b. desfurarea procesului de management al resurselor i al activitilor proiectului n acelai timp cu procesul de anticipare a incertitudinilor 3. Comunicare deschis a. ncurajarea circulaiei libere a informaiilor ctre i ntre toate nivelele proiectului b. permiterea comunicrii formale, informale i a celei improvizate 4. Management integrat a. managementul riscului reprezint parte integral i vital a managementului de proiect b. adaptarea metodelor i uneltelor de management al riscului n cultura i infrastructura proiectului 5. Proces Continuu a. vigilen constant b. identificarea i administrarea riscul de-a lungul tuturor fazelor din ciclul de via al proiectului 6. Viziune mprtit a produsului a. viziune reciproc asupra produsului inndu-se seama de scopuri comune, proprietate mprit i comunicare colectiv b. orientare ctre rezultat 7. Spirit de echip a. lucru n cooperare n scopul atingerii de inte comune b. punerea la comun a talentelor, competenelor i cunotinelor Jason Sullivan, prezint urmtoarele principii ale managementului riscului17: - toate activitile de management al riscului vor fi aliniate la intele, prioritile i obiectivele corporaiei i trebuie s aib n vedere protejarea i creterea reputaiei i poziiei organizaiei;
17
Idem 65
13
analiza riscului va forma parte din planificarea strategic a organizaiei, din procedurile de planificare a afacerii i a investiiilor; - managementul riscului va fi constituit pe o abordare bazat pe un control intern a riscurilor, control ca va fi integrat n operaiunile zilnice ale organizaiei; - managerii i personalul de la toate nivelele vor avea responsabilitatea de a identifica, evalua i administra sau raporta riscurile, i vor fi dotai tehnic corespunztor. Sunt prezentate apoi o serie de principii aplicabile n managementul unor riscuri specifice: - managementul riscurilor din organizaie trebuie s fie proactiv i motivat. Riscurile corporative i cele operaionale trebuie s fie identificate, evaluate obiectiv i, acolo unde acesta ar fi cel mai potrivit mijloc de rspuns, administrate activ; - inta este a anticipa i unde este posibil, a evita riscurile mai degrab dect a avea de -a face cu consecinele acestora. Totui, pentru anumite zone cheie unde posibilitatea de apariie a riscurilor este relativ mic, dar impactul asupra organizaiei este mare, se pot dezvolta planuri de contingen (ex. Planuri de continuitate a afacerii); - n determinarea unui rspuns potrivit, costurile managementului riscurilor i impactul apariiei riscurilor va fi balansat cu beneficiile reducerii riscului. Asta nseamn c acolo unde costurile i eforturile sunt disproporionate fa de impactul sau beneficiul ateptat, nu se va mai realiza obligatoriu un control al riscurilor; unele riscuri pot fi administrate prin transferarea lor ctre tere pri (ex. outsourcing)
Obiectivul procesului de management al riscului poate fii definit ca fiind asigurarea, n orice circumstan, a disponibilitii resurselor, la nivelurile compatibile cu obiectivele fundamentale ale organizaiei.18 Se menioneaz: - Obiective organizaionale o Eficien economic o Aspecte referitoare la calitatea mediului o Etic i cetenie o Obiective funcionale cu legtur direct ctre departamentele din cadrul instituiei resurse umane, tehnic, sisteme informaionale, marketing achiziii logistic, financiar - Obiective operaionale o Obiective pre-eveniment Asigurarea eficienei economice o Obiective post-eveniment Se produce o ruptur n procesul de producie Obiectivul principal va fii supravieuirea companiei o Alte obiective:
18
Reducerea incertitudinilor
Louisot, J.P., opcit.
14
Respectarea legilor Armonie cu scopurile societii
o Obs. eveniment este neles ca evenimentul ce cauzeaz (sau nu) pierderea Western Education And Library Board propune urmtoarea serie de obiective ale managementului riscului19: a. implementarea strategiilor de management, identificare i evaluare a riscurilor n vederea asigurrii atingerii planurilor corporaiei; b. evaluarea i prioritizarea periodic a riscurilor orientat ctre minimizarea lor; c. reducerea riscurilor performanelor slabe, plngerilor, ntreruperi ale serviciului i a evenimentelor adverse; d. evitarea fraudelor i a pierderilor financiare; e. nrdcinarea unei viziuni de management al riscului. n opinia instituiei mai sus menionate exist i o serie de cerine pentru derularea unui proces efectiv de management al riscului20: a. politicile i beneficiile de management al riscului trebuie comunicate n mod clar ctre tot personalul; b. managementul superior trebuie s sprijine i s promoveze managementul riscului; c. cultura firmei trebuie s sprijine ideile bune prin inovaie i asumarea riscului; d. managementul riscului trebuie s fie parte din procesul de management; e. managementul riscului trebuie s fie clar ancorat de atingerea obiectivelor; f. riscurile asociate colaborrii cu alte organizaii trebuie evaluate i administrate. n opinia autorilor lucrrii Aspecte privind managementul riscului i utilizarea sa n activitatea decizional din domeniul transportului energiei electrice, C.N. Transelectrica S.A.21 caracteristicile definitorii ale procesului de management al riscului ar putea fi sintetizate astfel: - Managementul riscului este un proces suport al managementului decizional. - Managementul riscului produce, structureaz i prezint cele mai bune informaii disponibile privind riscul, pentru a susine i facilita cele mai bune decizii de management. - Managementul riscului permite ca deciziile de management n general s faciliteze comunicarea ntre operatori, reglementatori i public privind natura riscurilor i modul de gestionare a lor. Managementul riscului include identificarea i analiza riscurilor, identificarea, analiza i selectarea msurilor alternative de control al riscurilor i evaluarea performanei. Managementul riscului este un proces integrator. Riscul poate fi stpnit prin analize de cost beneficiu n cadrul unor resurse limitate
19 20
http://www.welbni.org/FOI/Risk%20Management.doc Ibidem 21 Brbulescu, C., .a., opcit.
15
Managementul riscului structureaz logic, aduce consisten, documenteaz i clarific demersul de a alege, n funcie de incertitudini i beneficii, ntre alternative competitive. Managementul riscului are nevoie de date adecvate i suficiente pentru a fi dezvoltat, necesitnd deci o organizare corespunztoare a fluxurilor informaionale. Managementul riscului trebuie s se refere la ntreg spectru al riscurilor, de la evenimente relativ frecvente, dar minore, care pun probleme mici, la cele cu probabiliti de apariie foarte mici, care pot avea ns consecine grave Programele de management al riscului sunt structurate, dar flexibile, permind s fie dezvoltate i adaptate pentru diferite situaii. Programele de management al riscului includ msurarea performanelor i cer monitorizare, urmrire i raportare a progreselor n ceea ce privete rezultatele scontate.
16
Cap.II Elementele procesului de management al riscurilor

Obiective Cunoaterea i nelegerea conceptului de risc Prezentarea principalelor modele de management al riscului
Ca i n cazul definirii conceptului de risc sau a celui de management al riscului, exist diverse opinii cu privire la fazele pe care ar trebui s le prezinte un proces de management al riscului. Elementele procesului de management al riscului sunt elemente tehnice i analitice ale programului de management al riscului necesare pentru evaluarea riscurilor, identificarea cilor posibile de a le controla, de a aloca resursele de control al riscurilor, de a monitoriza performanele i de a utiliza informaiile pentru a mbunti procesul. Dintre acestea se menioneaz : a.) Evaluarea riscului b.) Controlul riscului i suportul deciziilor c.) Monitorizarea performanelor Pentru ca o companie s nceap s-i dezvolte un program de management de risc la nivel global, legat de obiectivele i strategiile sale, este necesar ca aceasta s-i stabileasc n mod clar elementele programului de management al riscului. Elementele programului de management al riscului constituie fundamentul infrastructurii organizaionale care susine elementele analitice i tehnice ale procesului de management al riscului. Coninutul i complexitatea problemelor de management al riscului trebuie corelate cu gradul de risc, cantitatea i calitatea datelor disponibile. Deoarece sunt multe moduri de a structura un program de management de risc, toate programele vor trebui s conin elemente privind: - Administrarea programului de management al riscului - Comunicarea n cadrul programului de management al riscului - Documentarea n cadrul programului de management al riscului - Evaluarea i mbuntirea programului de management al riscului O prim opinie prezint procesul de management al riscului prin urmtorii patru pai, care n mod normal fac uz de informaiile i procedurile existente n structurile companiei: o Evaluarea riscului: se concentreaz pe riscul ca ameninare, dar i ca oportunitate. n cazul evalurii riscului ca ameninare, procesul include identificarea, sortarea prioritilor i clasificarea factorilor de risc pentru a pregti un rspuns defensiv prompt. Pentru evaluarea riscului ca oportunitate, acest pas include conturarea profilului riscului pentru nu i se atribui un tratament ofensiv ulterior.
17
o Conturarea riscului: acest pas defensiv include cuantificarea / modelarea, diminuarea i finanarea riscului. o Exploatarea riscului: acest pas ofensiv include analiza, dezvoltarea i punerea n practic a planurilor de exploatare a unor riscuri, planuri vzute ca avantaje competitive. o Actualizarea riscului: natura riscului, mediul n care acesta opereaz i organizaia nsi se schimb o dat cu trecerea timpului, ceea ce impune o monitorizare continu a riscului n aceste condiii, activitile unui eventual Departament de Management al Riscului ar fi: - Identific riscurile la care este expus compania; - Evalueaz riscurile, probabilitatea lor de producere i posibilul impact financiar al acestora; - Implementeaz programe de prevenire i control al pierderilor, i elaboreaz recomandri pentru reducerea riscurilor atunci cnd acestea nu pot fi transferate ctre o societate de asigurri sau outsourcing; - Stabilete prioriti n ceea ce privete programul de management al riscului n companie; Dezvolt un program de management al riscului i ajut compania la implementarea acestuia; Urmrete n mod continuu programul de management al riscului i l adapteaz pe msur ce compania se dezvolt; Asigur respectarea prevederilor legale n domeniu; Organizeaz instructaje i seminarii educaionale pe probleme legate de risc, securitate, protecia muncii, a mediului etc
II.1 Managementul riscului o trecere n revist a celor mai ntlnite modele

Revenind la procesul de management al riscului, Infosys propune urmtoarele faze 22, fiecare component implicnd la rndul ei diferite activiti:
Fig. 1 Managementul riscurilor dup Infosys

22
Jalote, P., Software Project Management in Practice, Addison-Wesley, 2002, p.96
18
Procesul folosit de ctre Infosys este, de altfel, cel propus de Boehm n 1991, model pe care l vom prezenta n una din paginile urmtoare. n lucrarea Risk Management - An introduction and discussion on Risk Management together with recommendations for its implementation23, prezentat pe pagina web a BT Business Office, se consider c procesul de management al riscului trebuie s cuprind activitile: Identificarea surselor de ngrijorare Identificarea riscurilor i a deintorilor de riscuri Evaluarea riscurilor posibilitate de apariie i consecine Evaluarea opiunilor de adaptare a riscurilor Prioritizarea eforturilor de management al riscurilor Dezvoltarea de planuri de management al riscurilor Autorizarea implementrii planurilor de management al riscurilor Urmrirea eforturilor de management al riscurilor i administrare corespunztoare n Missouri IT Risk Management Manual conceput de The Information Technology Advisory Board24, departament al Missouri State Government, procesul de management al riscului prezint urmtoarele faze: - Identificarea riscurilor - Analiza riscurilor - Planificarea pailor de rspuns la risc - Rspunsul la risc Componentele procesului de management al riscului, dup acelai manual, sunt: - determinarea obiectivelor proiectului i a fiecrui acionar major; - identificarea a ctor mai multe riscuri; - analiza riscurilor: o probabilitate de apariie; o consecine ale apariiei; o expunerea la risc; - revizuirea analizelor de risc; - evaluarea strategiilor de reducere a efectelor riscurilor: o reducerea riscurilor o protejarea fa de riscuri o transferarea riscurilor o planurile de contingen o acceptarea riscurilor - dezvoltarea planurilor de aciune a pailor de reducere a efectelor impactului - reducerea efectelor riscurilor o monitorizarea riscurilor
23 24
http://home.btconnect.com/managingstandard/risk_1.htm#INTRO Missouri IT Risk Management Manual, http://oit.mo.gov/
19
o implementarea planurilor de aciune la timpul potrivit Paul S. Royer25, plecnd de la cele cinci procese de management al proiectelor definite de ctre Project Management Institute n PMBOKGuide (Procesele de iniiere, Procesele de planificare, Procesele de execuie, Procesele de control, Procesele de nchidere), aloc pentru fiecare dintre acestea cte un proces de management al riscului. Astfel: procesele de iniiere evaluarea oportunitilor proiectului evaluare oportuniti versus riscuri identificarea riscurilor i dezvoltarea strategiilor de atenuare a efectelor i a planurilor de contingen n vederea minimizrii impactului auditarea eficienei proceselor de management al proiectului monitorizarea riscurilor identificate identificarea de noi riscuri nregistrarea leciilor nvate n vederea aplicrii lor n proiectele viitoare procesele de planificare planificarea managementului riscului
procesele de execuie auditarea riscului proiectului procesele de control continuitatea managementului riscului
procesele de nchidere transferul cunotinelor despre risc
Fig. 2 Managementul riscurilor dup Paul S. Royer
Un model de proces de management al riscului este i cel folosit n dezvoltarea avionului F/A-18E/F Super Hornet26 model ce aparine Departamentului de Aprare al Statelor Unite
25 26
Royer, P.S., opcit., pp.1-3 http://www.boeing.com/defense-space/military/fa18ef/flash.html
20
ale Americii (DoD). Acesta conine urmtorii 4 pai, ce se deruleaz ntr-o permanent bucl de feed-back27: - identificarea riscurilor (prin modelul Ce cauzeaz ridicarea la suprafa a riscurilor?) - analiza riscurilor prin cuantificarea riscurilor i determinarea nivelului complet de risc - planificarea riscului prin dezvoltarea de activiti de diminuare a efectelor riscurilor - urmrirea riscurilor prin monitorizare i actualizri Procesul de management al riscurilor Rockwell este un alt model bazat pe principiile Dr. Robert Charette i presupune 5 pai28: identificarea riscurilor caracterizarea riscurilor prioritizarea riscurilor evitarea / mpiedicarea riscurilor
urmrirea / controlul riscurilor Cnd se administreaz riscul e necesar a se nelege cele trei elemente ale riscului: 1. identificarea a ce poate s mearg ru. 2. evaluarea probabilitii ca acel ceva s se ntmple. 3. determinarea severitii impactului dac acel ceva se va ntmpla. Exist multe surse de risc: tehnologia, logistica, oamenii, schimbarea, ntmplarea, politica, echipamentele tehnice, programul calendaristic, costurile, oportunitile, cerinele etc Administrarea riscului implic un proces continuu de activiti. Plecnd de la aceste idei, Software Engineering Institute a definit paradigma SEI Risk Management, din punctul lor de vedere, procesele managementului riscului fiind: - identificarea riscurilor (Identify) - nainte ca riscurile s se administreze ele trebuie s fie identificate; - analiza riscurilor (Analyse) - conversia datelor despre risc n informaii decizionale despre risc; revizuirea, prioritizarea i selectarea celor mai critice riscuri la care s se lucreze; - planificarea (Plan) - transformarea datelor despre risc n decizii i aciuni; se dezvolt aciuni adresate ctre riscuri individuale, se prioritizeaz aciunile, se creeaz un plan de management al riscului; n planificare se ine cont de consecinele viitoare ale deciziilor luate n prezent; se au n vedere: o reducerea impactului riscului prin dezvoltarea planurilor de rspuns la evenimente neprevzute; o studierea riscului pentru a obine mai multe informaii i pentru a determina mai bine cauza apariiei; urmrirea (Track) - monitorizarea riscurilor i a aciunilor luate n scopul reducerii efectelor negative ale acestora ;
27 28
http://www.psmsc.com/UG1999/Presentations/The%20Use%20of%20Measurement%20in%20Managing%20the%20FA18.pdf
http://www.softstar-inc.com/Methodology/Artifacts_Risk_Management.pdf
21
controlul (Control) - corectarea deviaiilor de la aciunile planificate; comunicarea (Comunicate) - component esenial fr de care nu se poate vorbi de viabilitatea unui proces de management al riscului.
Fig. 3 Managementul riscurilor dup Software Engineering Institute
Obs. Modelul celor de la SEI are la baz roata lui Shewhart-Deming. Barry Boehm, un pionier al managementului riscului n proiectele IT, considerat de altfel i cel mai bun teoretician al acestui domeniu, a dezvoltat propria metodologie de management al riscurilor IT, oferind un proces de management al riscului n 6 pai, pai mprii pe dou etape29: I. evaluarea riscurilor, compus din: i. identificarea acelor riscuri cu probabilitate de a cauza probleme ii. analiz pentru a determina probabilitatea pierderilor i magnitudinea pierderilor pentru fiecare risc n parte i a dezvolta riscuri compuse iii. prioritizare pentru a clasifica punctelor riscante identificate conform riscurilor compuse de care aparin II. controlul riscurilor, compus din: i. planificare de management pentru a controla punctele riscante identificate ii. rezoluii pentru a elimina sau rezolva punctele riscante iii. monitorizare pentru a urmri progresul reducerii de riscuri n cadrul proiectului i aplicarea de aciuni corective acolo unde se dovedete a fi necesar aceast msur
Graficul modelului propus de Boehm30 se prezint n urmtorul mod:
29
Managing Risk With Metrics - A Term Paper For The MJY Team Software Risk Management WWW Site , la www.baz.com/kjordan/swse625/docs/tp-pm.doc, accesat n 07.10.2005 30 Boehm, B.W. Software Risk Management: Principles and Practices, Defense Advance Research Project Agency, la http://www.ece.ubc.ca/~elec443/priv/ReadingMaterial/Boehm-risk.pdf, accesat n 08.10.2005
22
Fig. 4 Managementul riscurilor dup Barry Boehm
Un alt teoretician i practician n acest domeniu, Richard Fairley, ofer un proces de management al riscului structurat pe 7 pai31, model creat pe baza experienei sale acumulate dea lungul colaborrii n diverse proiecte de implementare de soluii software. Diferena acestui model fa de cel propus de ctre Barry Boehm se refer la faptul c anumite evenimente riscante vor lua prin surprindere proiectul i vor solicita aciuni de remediere. Paii procesului de management al riscului dup modelul lui Richard Fairley sunt: o identificarea factorilor de risc o evaluarea probabilitii de risc i a efectelor asupra proiectului o dezvoltarea strategiilor de a diminua impactul riscurilor identificate o monitorizarea factorilor de risc o invocarea unui plan de contingen cnd un factor de risc cantitativ depete un prag de risc asumat n prealabil o administrarea crizei prin aciuni corective drastice dac planul de contingen cade o revenirea din situaia de criz (ex. Prin premierea personalului, reevaluarea programului calendaristic i a resurselor)
31
Idem 99
23
Banca Reglementelor Internaionale propune urmtorii pai de management al riscului32: evaluarea riscurilor o un proces continuu o implic trei pai: identificarea riscurilor cuantificare unde e posibil acolo unde nu se pot cuantifica, se pot identifica cum pot apare riscurile poteniale i paii necesari a se lua pentru a se face fa i limita acele riscuri determinarea toleranei la risc a bncii, inndu-se cont de o evaluare a pierderilor pe care banca i le poate permite compararea toleranei la riscuri cu evaluarea impactului ca un risc s se stabileasc, daca expunerea la risc se ncadreaz n limitele de toleran
controlul expunerii la risc o include activiti precum implementarea: politicilor i msurilor de securitate securitatea o combinaie de sisteme, aplicaii i controale interne menite a asigura integritatea, autenticitatea i confidenialitatea datelor i proceselor politica de securitate prezint inteniile conducerii de a asigura securitatea informaional i furnizeaz o explicare a organizrii securitii bncii o stabilete liniile de baz care definesc tolerana bncii la riscurile de securitate msurile de securitate combinaii de instrumente hard i soft i personal de management ce contribuie la construirea securitii sistemului i operaiunilor o bncile pot alege dintr-o varietate larg de msuri de securitate pentru a preveni sau a diminua atacurile interne sau externe sau abuzurile n folosirea sistemelor de ebanking, e-money. Astfel de msuri sunt: criptarea parole de acces numere de identificare a angajailor tokene hardware sisteme biometrice firewall sisteme Antivirus
32
Risk management for electronic banking and electronic money activities , la http://www.bis.org/publ/bcbsc215.pdf, accesat n 10.02.2006 sunt analizate n capitolul privitor la identificarea riscurilor
24
monitorizarea angajailor o Obs. O mare atenie trebuie s se acorde i atacurilor din interior, cauzate de angajai ru voitori sau nepregtii. coordonarea comunicaiilor interne pentru a se asigura o comunicare intern eficient i adecvat, toate politicile i procedurile trebuie s se prezinte i s circule n scris. evaluarea i mbuntirea produselor i serviciilor evaluarea produselor i serviciilor nainte de a fi introduse ajut la limitarea riscurilor operaionale i reputaionale testarea valideaz funcionarea corespunztoare a echipamentelor i sistemelor i faptul c acestea produc rezultatul scontat programele pilor i prototipurile pot fi folositoare n dezvoltarea de noi aplicaii revizuirea periodic a capacitilor hardware i software reduce posibilitatea de ntrerupere sau ncetinire a sistemului implementarea de msuri care s asigure c riscurile de outsourcing (externalizare) sunt controlate i administrate o tendin n cretere este cea n care instituiile bancare se concentreaz asupra competenelor i atribuiunilor cheie, bazndu-se pe tere pri n administrarea unor activiti ce nu se afl n experiena bncii
outsourcing-ul poate aduce reduceri importante de costuri, dar poate fi i o surs de risc o astfel, banca trebuie s adopte frecvent politici de securitate intite pe reducerea de riscuri cauzate din ncrederea acordat companiilor de outsourcing o Ex. conducerea bncii trebuie s monitorizeze performanele operaionale i financiare ale furnizorilor de servicii furnizarea de educaie i informaii clienilor ajut la limitarea riscurilor legale i de reputaie se educ i informeaz clienii cu privire la noi produse i servicii
bancare, mod de folosin a unor sisteme i aparate dezvoltarea de planuri de contingen banca poate s-i limiteze riscul de ntrerupere a procedurilor interne sau a furnizrii de produse sau servicii, prin dezvoltarea planurilor de contingen care stabilesc cursul aciunilor n cazul n care apare un eveniment care s ntrerup furnizarea serviciilor de e-banking sau e-money planurile se refer la: 25
o restaurarea datelor, capaciti alternative de procesare a datelor, personal de urgen, suport pentru clieni sistemele de back-up trebuie testate periodic i securizate monitorizarea riscurilor o component important a procesului de management al riscurilor o elemente componente: testarea i supravegherea sistemului se realizeaz teste de penetrare supravegherea form de monitorizare n care aplicaii software i de audit sunt folosite pentru a urmri activitile, a monitoriza operaiile de rutin, a investiga anomaliile i a furniza soluii i recomandri cu privire la eficiena securitii forme ale procedurii de audit: intern i extern furnizeaz un mecanism de control independent important pentru a detecta deficienele i a minimiza riscurile n furnizarea serviciilor de e-banking, e-money
auditarea sistemului
auditorul intern trebuie s fie independent i separat de personalul care adopt procedurile de management al riscului O alt opinie vine din partea lui Steve McConnell. n lucrarea Software Project - Survival 33 Guide , autorul precizeaz c succesul unui program de management al riscului n cadrul proiectelor software depinde mult de gradul de implicare n acest program, de dezvoltarea abilitilor specifice derulrii unui astfel de program, de ducerea la bun sfrit a tuturor activitilor prevzute i de verificarea c planul de management al riscului pentru fiecare risc n parte a fost eficient. Angajarea ntr-un program de management al riscurilor presupune trei elemente: - planul proiectului trebuie s prezinte modul de abordare a managementului de risc - bugetul proiectului trebuie s includ fonduri pentru rezoluia riscului (planificarea rspunsului la risc) - cu ocazia evalurii riscurilor, impactul acestora trebuie s fie incorporat n proiect Practicile recomandate n vederea abordrii managementului riscului includ urmtorii pai: - planificarea managementului riscului - identificarea unui ofier de risc o responsabil cu identificarea riscurilor o urmrirea n mod continuu a potenialelor probleme - folosirea listei Top 10 riscuri o reprezint instrumentul cheie de management al riscului o reprezint o list a celor mai mari riscuri pe care le nfrunt proiectul n orice moment
33
McConnell, S. Software Project-survival guide, Microsoft Prees 1998, p.96
26
o lista trebuie nnoit periodic pe parcursul derulrii proiectului (aceast list trebuie revizuit cel puin odat la dou sptmni) o se ncurajeaz i raportarea riscurilor identificate i din partea personalului ce nu afl n corpul managerial o un astfel de top ten riscuri ar trebui s cuprind: locul ocupat sptmnal de riscul identificat (pentru a se urmri evoluia acestuia trebuie pstrate colanele cu poziiile din sptmnile precedente) progresul realizat de planul de management al riscului pentru fiecare risc n parte Ex. riscuri: Program calendaristic de neatins Software de calitate joas Cerine ireale
Nenelegeri ntre dezvoltatori i clieni crearea unui plan de management al riscului pentru fiecare risc identificat
crearea unui canal de raportare a riscului Constantin Opran vorbete de organigrama structural privind managementul riscului n proiecte34, pe care o prezint n figura de mai jos (fig. 6). Ca activiti pe care trebuie s le ntreprind managerul de proiect n aceast direcie, autorul prezint35: 1. Identificarea zonelor de risc i a componentelor factorilor de risc pentru fiecare zon 2. Structurarea factorilor de risc identificai i definirea probabilitii de apariie a unui 3. 4. 5. 6. 7. pericol potenial Gestionarea optim a resurselor proprii n scopul reducerii factorilor de risc Identificarea i analiza alternativelor posibile pentru reducerea factorilor de risc Selectarea celor mai bune alternative pentru fiecare factor de risc Implementarea n cadrul unui plan de aciune a alternativelor selectate pentru fiecare categorie de factori. Obinerea unui feedback n scopul identificrii aciunilor de succes de reducere a riscului pentru fiecare factor de risc
34 35
Opran, C, .a., opcit., p.88 Idem, p.85
27
Fig. 5 Managementul riscurilor dup Opran Constantin
Paii dezvoltrii unui plan de management al riscurilor dup Robert T. Futrell36 sunt prezentai n cele ce urmeaz: Obs. - se pleac n dezvoltarea acestui plan, de la cele 12 elementele generatoare de riscuri poteniale, care vor fi prezentate n aceast lucrare, n seciunea rezervat procesului de identificare a riscurilor. Pas 1 - pe baza categoriilor de riscuri, se construiete un tabel de grupare pe categorii de riscuri acest tabel poate folosii la revizuirea categoriilor de riscuri plecnd de la acest tabel este punctul de start pentru identificarea de riscuri specifice pentru fiecare proiect
Pas 2 - urmeaz ierarhizarea riscurilor proiectului pe categorii de: o factori de risc i zone de risc se listeaz factorii de risc pe categorii
36
Futrell, R.T., .a., opcit., pp.608-609
28
o o o o o
dovezi de riscuri cu impact sczut (L) dovezi de riscuri cu impact mediu (M) dovezi de riscuri cu impact ridicat (H) msurarea selectarea nivelului de risc aplicabil proiectului comentarii informaii despre specificaiile proiectului
Pas 3 - sortarea tabelului de riscuri n ordinea riscurilor cu impact puternic - pentru riscurile din top 10, i pentru riscurile cotate ca impact ridicat se calculeaz o expunere la risc aceste riscuri reprezint riscurile cheie - identificarea riscurilor reprezint controlarea acestor riscuri cheie, stabilirea proprietarului aciunii, i data de completare - integrarea riscurilor cheie n planul proiectului i determinarea impacturilor asupra planificrii calendaristice i asupra costurilor Pas 4 - stabilirea unui raport periodic despre riscuri pentru ntlnirile sptmnale ale echipei de proiect se prezint top 10 riscuri, se analizeaz ierarhia riscurilor din sptmna precedent se analizeaz raportul de rspunsuri la risc i raportul de schimbare a riscurilor
Pas 5 - pasul final este de a asigura c managementul riscului este un proces continuu n cadrul managementului proiectului - monitorizarea i controlul listei despre riscuri trebuie fcut n mod regulat - managerul i echipa de proiect trebuie s fie contient despre riscurile identificate i despre procesele de rezolvare a acestora - noile riscuri trebuie s fie identificate ct de repede posibil, ierarhizate i adugate la planul de management al riscurilor - riscurile cu prioritate ridicat trebuie administrate n funcie de planul general al proiectului Problematica mangementului riscului este ridicat i de diverse aspecte particulare ale riscurilor, cum ar fi de exemplu riscul operaional sau riscul de credit. Managementul riscului de credit de exemplu, reprezint o problem vast, care poate fi tratat pe multe pagini. Avantajele pe care o companie le obine apelnd la politicile de management al riscului sunt evidente, i constau n identificarea din timp a riscurilor poteniale ce ar putea afecta activitatea companiei, evaluarea corect a riscurilor i a impactului acestora, reducerea expunerii la risc a companiei prin transferul riscurilor ctre firmele de asigurri sau outsourcing, luarea de msuri pentru diminuarea riscurilor. i nu numai... Iar beneficiile nu ntrzie s apar: optimizarea costurilor cauzate de expunerea la risc a firmei; protejarea managementului i a acionarilor mpotriva potenialelor pierderi financiare; atragerea investitorilor, prin mbuntirea profilului de risc a companiei; protejarea informaiilor etc. 29
n aceste condiii este de neles de ce exist att de multe instituii ce se ocup de aceast problem, fiecare propunnd propria metod de management al riscului. Unul dintre cele mai cunoscute procese de managementul proiectelor este The Project Management Body of Knowledge Guide (PMBOK Guide), standardul promovat de ctre Project Management Institute (PMI). Managementul riscului este privit prin prisma urmtoarelor procese37: - identificarea riscurilor se determin care dintre riscuri are posibilitatea de a afecta proiectul, i se precizeaz caracteristicile acesteia; - cuantificarea riscurilor se evalueaz riscurile i interaciunile dintre riscuri pentru a se aprecia rezultatele proiectului; - planul de rspuns la risc se definesc paii de rspuns la ameninri; - controlul rspunsului la risc se declar rspunsurile la modificrile riscurilor ce apar pe parcursul proiectului. Schia grafic a procesului este prezentat n continuare:
Fig. 6 Managementul riscurilor dup Project Management Institute
37
Duncan, W.R., A Guide to the Project Management Body of Knowledge, Project Risk Management, 1996, p.111
30
Este foarte important de a identifica riscul i de al estima pentru a putea fi analizat. Procesul de analiz a riscului ncearc s identifice toate rezultatele posibile, care pot s rezulte n urma unei aciuni. Estimarea riscului se face cu ajutorul metodelor analitice sau cu ajutorul simulrii. Astfel, se estimeaz probabilitatea fiecrei catastrofe precum i magnitudinea (dimensiunea) asociat. Tipurile principale de modele matematice sunt bazate pe ecuaii difereniale deterministe i stocastice (ecuaii difereniale ordinare, ecuaii cu derivate pariale), ecuaii algebrice statice, reele Petri, programare matematic, programare stocastic, teoria controlului optimal, lanuri Markov, procese Markov, simulare Monte Carlo, modele bazate pe reguli etc. Procesul de analiz a riscului folosete informaia de natur tehnic, legat de estimri precum i alte informaii suplimentare, disponibile pentru a evalua diferite variante de aciuni posibile. Am vzut n aceast seciune c (sub-)procesele managementului riscului sunt privite diferit de diverse organisme ce se ocup cu analiza acestei practici. n realitate doar denumirea fazelor este alta. Astfel, identificarea riscului i cuantificarea riscului sunt uneori tratate mpreun i poart denumirea de evaluarea riscului sau de analiz a riscului; planul de rspuns la risc este uneori ntlnit i sub denumirea de plan de atenuare a riscului; planul de rspuns la risc i planul de control al riscului sunt uneori tratate mpreun sub numele de plan de management al riscului. n aceste condiii vom trece n cele ce urmeaz la tratarea fiecrui subproces separat punnd accent pe etapa de identificare a riscului. i pentru a ne explica modul de abordare, vom face urmtoarea remarc: n rezolvarea problemelor de geometrie este o vorb citirea cu atenie a textului problemei rezolv problema n proporie de 60 %; ali 30% sunt acordai realizrii unei figuri clare, descifrabile iar 10% vine din partea cunotinelor matematicianului. Prin analogie, afirmm c i n cazul managementului riscurilor, 60% din reuit (dac nu chiar mai mult) se acord identificrii cu exactitate a riscurilor ce aplaneaz asupra proiectului, restul fiind mprit ntre o evaluare corespunztoare a acestor riscuri, realizarea unui plan de rspuns adecvat, urmrirea acestui plan ad-literam, monitorizare i control permanent manifestat asupra riscurilor identificate i asupra desfurrii proiectului. Acesta este i motivul pentru care lucrarea de fa analizeaz ntr-un mod ct mai cuprinztor problematica identificrii riscurilor, trecnd de bariera conceptelor tehnice, surprinznd diverse practici din realitate. Dar mai nti.... ... ce reprezint riscurile?
31
II.2 Definiii ale conceptului de risc

n dimensiunea sa istoric, riscul este un concept tnr i n acelai timp unul din puinii termeni de afaceri cu origini directe n mediul comercial i financiar i nu derivat din vocabularul militar, psihologic sau tiinific. Conceptul poart dou nelesuri: hazardul monetar n afaceri i pericolul care trebuie luat n considerare38. n timp ce n anii 70 riscul era o noiune asociat n special cu tiinele naturii i mai puin cu teoria financiar i a asigurrilor, n ultimii ani, conceptul de risc a ctigat importan n rndul decidenilor din lumea afacerilor. n acest context, economitii americani Harry M. Markovitz i James Tobin, laureai ai premiului Nobel, au jucat rolul de pionieri39. Lucrrile acestora s-au concentrat pe conceptele de portofolii eficiente (portofoliul care asigur cel mai mare profit pentru un nivel dat de risc sau, echivalent, cel mai mic nivel de risc pentru un profit ateptat). Oricum, pe msur ce metodele de evaluare tiinific a riscului au devenit mai sofisticate, societatea a acordat atenia cuvenit conflictelor cu privire la acceptarea riscului i tehnologiile de evaluare. Conceptul de risc a ctigat conotaii generale care i-au permis expandarea ctre domenii diverse n structurile societii moderne. Riscurile sunt elemente intrinseci i inevitabile ale existenei i oricrei activiti umane. Contient sau nu, fiecare dintre noi ne asumm o serie de riscuri, n viaa particular sau n afacerea pe care o conducem... Riscul este practic ameninarea ca un eveniment sau o aciune s afecteze abilitatea unei companii de a funciona i/sau de a i urmri ndeplinirea obiectivelor sale strategice. n lucrarea Project Risk Management, Paul S. Royer 40 definete conceptul de risc ca fiind evenimentul viitor posibil, a crui apariie va afecta obiectivele proiectului din punct de vedere al costului, programului calendaristic sau din punct de vedere tehnic. Efectul ar putea fi pozitiv, caz n care managerul de proiect are oportunitatea de a mbunti performana proiectului sau de a atenua riscurile. De cele mai multe ori ns, efectul este contrar obiectivelor. Sursa riscului poate fi identificat iar uneori chiar i posibilitatea ca acest risc s se produc, precum i cuantificarea impactului asupra obiectivelor proiectului. Procesul de identificare i de evaluare al riscului reprezint transformarea necunoscutei n riscuri cunoscute tocmai pentru a ajuta la un management de proiect mai bun. n accepiunea consultanilor Ten Step i a metodologiei TenStep Project Management Process, riscul se refer la condiii sau circumstane care se afl n afara controlului echipei de
38 39
Idem 57 Ibidem 40 Royer, P.S., opcit., p.109
32
proiect i care vor avea un impact devaforabil asupra proiectului, dac apar. Cu alte cuvinte, dac o situaie dificil este o problem care trebuie rezolvat, un risc este o potenial problem care nc nu a aprut41. Dup NODEX42, riscul este pericol eventual, mai mult sau mai puin previzibil; o primejdie. Un alt punct de vedere43 prezint riscul drept un element incert dar posibil ce apare permanent n procesul evenimentelor tehnice, umane, sociale, politice, reflectnd variaiile distribuirii rezultatelor posibile, probabilitatea de apariie cu valorile subiective i obiective, avnd efecte posibil pgubitoare i ireversibile. Riscul este definit de ctre Antonio Borghesi n lucrarea Credit Risk in the New Economy 44 ca posibilitatea de apariie a unui eveniment nefavorabil, ceea ce nseamn un eveniment care are ca rezultate schimbri negative ntr-o situaie ateptat dat. Metoda Riskit folosit de ctre R&D Ware Oy Risk Management Solutions45 n Software Risk Management definete conceptul de risc dup urmtoarea schem:
Fig. 7 Riscul n viziunea metodei RiskIt
Jean-Paul Louisot, profesor asociat la Universitatea Paris 1, Pantheon Sorbona, admite c exist numeroase abordri referitoare la risc, riscul fiind neles sub forma unuia din urmtoarele concepte:46
41 42
http://www.tenstep.ro/7.0ManagementulRiscurilor.htm Noul dicionar explicativ al limbii romne, Editura Litera Internaional, 2002 43 Opran, C., .a., opcit., p.16 44 Borghesi, A., opcit. 45 http://www.rdware.com 46 Louisot, J.P., opcit.
33
- un eveniment incert care provoac pierderi ( - pericol) - resurse expuse ( - obiecte de risc) - consecine financiare ( - pierderi) - o apreciere global i subiectiv a factorilor precedeni Se admite c cea mai rspndit abordare este cea n care riscul este privit ca un pericol. Pericolul este acel eveniment nesigur (cu o evaluare statistic ntre 0 i 1) care n caz de apariie va genera o pierdere organizaiei. Pierderea rezult din pagube, distrugeri, indisponibilitatea unei resurse importante pentru operaiunile organizaiei. Pentru a se reui implementarea corect a msurilor de control a riscurilor i o strategie financiar corect, se analizeaz aceste pericole conform clasificrii de mai jos:
Tabel 1 Clasificarea surselor de risc
Economic Intenionat Endogen Exogen
Uman Neintenionat
Natural
Explicaiile acestui tabel sunt de la sine nelese: sursa pericolului poate fii de natur economic, natural sau uman (aici lundu-se n considerare natur comportamentului uman ce cauzeaz pericolul, intenionat sau neintenionat, ruvoitor sau accidental); endogen vs. exogen: are n vedere mediul de producere al pericolului intern sau extern organizaiei i proceselor de afacere a acesteia. Obiectele de risc reprezint orice resurs a organizaiei ce este expus riscului. Aceast definiie trebuie neleas ntr-un sens larg, incluzndu-se att valorile tangibile, ct i cele intangibile. Expunerea, la rndul ei, este definit prin prisma a trei elemente: - pericol - obiect de risc - consecin asupra obiectivelor (consecine financiare sau de alt tip) Exist cinci clase de expunere: - expunerea la pierdere de proprietate - expunerea la rspundere n faa terelor pri - expunerea personalului (indisponibilitatea unei persoane, a unui grup sau a ntregului personal al organizaiei) - expunerea informaiei (pierderea de date, degradarea, dezvluirea informaiei confideniale cauzat de eroare uman, cderea echipamentelor, etc) o poate duce la expunerea la risc reputaional (de imagine, de brand) expunerea venitului net (pierderi financiare)
34
Basel II definete riscul operaional ca fiind riscul de nregistrare a unor pierderi rezultate n urma inadecvanei sau inoperativitii unor procese, membri ai personalului sau tehnologii interne sau ca urmare a aciunii unor factori externi.47 n accepiunea teoriei clasice a deciziei, riscul este identificat drept un element incert dar posibil ce apare permanent n procesul activitilor socio-umane ale crui efecte sunt pgubitoare i ireversibile48. n cadrul teoriilor statistice avansate n evaluarea riscurilor, este prezentat o definire mult mai elaborata a riscurilor: riscul reflect variaiile distribuirii rezultatelor posibile, probabilitatea i valorile lor subiective. Dup PeopleSoft49, riscul este un factor, un lucru element sau un proces aflat n desfurare ce presupune incertitudine. Pankaj Jalote, prezentnd metodele de management al proiectelor informaionale utilizate de ctre Infosys50, definete riscul, ca acel eveniment / condiie care e posibil s apar, i a crui / crei apariie are un efect negativ sau duntor asupra proiectului51. n esen, riscul este o coordonat cu care ne confruntm zilnic i pe care o acceptm. Pentru a putea lua decizii, n viaa noastr de zi cu zi, cntrim continuu riscul implicat de diferite opiuni. Riscul apare n general nu att din probabilitatea c nu se va ntmpla ceva bine, ci din posibilitatea de a se ntmpla ceva ru. Unele riscuri sunt uor de identificat: spre exemplu riscul ca o persoan s sufere un accident sau riscul ca o cldire s fie afectat de un incendiu. Riscurile pot fi ns mult mai complexe. Iar exemplele urmtoare ncearc s scoat n eviden aceast complexitate a riscurilor:
47
Taming uncertainty: Risk management for the entire enterprise , PricewaterhouseCoopers, la http://www.pwc.com, accesat n 11.10.2003 48 Opran, C., .a., opcit., p.15 49 http://www.peoplesoft.com 50 http://www.infosys.com 51 Jalote, P., opcit., p.94
35
Caz I - Ariane 552 One little bug, one big crash
data: 4 iunie 1996; costul de producie: 7000 milioane $; durata: peste 10 ani; autodistrugere n primul su zbor, la un interval de 37 secunde de la lansare, cauzat de o singur linie de cod din programul de ghidare, care a generat o eroare, activnd astfel oprirea automat a sistemelor; s-au distrus totodat i cei patru satelii tiinifici aflai la bord (foarte scumpi i neasigurai, din pcate);
Cauza eecului: - datorit unei erori software care a dus la oprirea sistemului de pilotare a navetei; o sistemul de pilotare era asigurat de trei componente: SRI 1 i 2 (Inertial Reference System) aflat la centrul de comand i OBC (calculatorul de bord); o ntre aceste componente se transferau datele necesare pilotrii navetei; o o manevr de zbor (inutil de altfel) ca rspuns la fora aerodinamic a determinat componenta OBC s cear de la sol o nou verificare a direciei de zbor;
o
la momentul blocrii sistemului OBC de la bord, ntre cele dou componente SRI se desfura un proces de conversie a datelor din format 64 biti-float n 16 bitiinteger, proces ndelungat, care necesita timp; acest fapt a generat un mesaj de eroare (n ciuda faptului c se verificaser toate variabilele pentru a se stopa generarea de mesaje de eroare) ctre componenta OBC, mesaj care a fost interpretat ca directiv de zbor; mesajul de eroare a fost generat de ctre o variabil din codul surs a crui rol era doar de a stabiliza naveta de-a lungul perioadei de count-down , singura parte din program care nu fusese verificat de ctre programatori, deoarece aceast parte din program se nchidea automat la ... 40 de secunde de la lansarea navetei (50 de secunde de la startul programului amintim c eroarea s-a produs la secunda 36.7);
52
http://www.dcs.ed.ac.uk/teaching/cs2/online/Lectures/CS2Ah/SoftEng/se01.pdf ; http://www.cs.bham.ac.uk/~mzk/courses/SafetyCrit/presentations2003/sakowski.pdf
36
Caz II - The Great Belt link53 megaproiect care face parte din ceea ce se numete: Reeaua de Transport TransEuropean; include cel mai mare pod suspendat din Europa i al doilea ca lungime tunel subacvatic de tren; face legtura dintre Danemarca (Est) i Europa; a intrat n folosin n 1997 pentru traficul pe ci ferate i n 1998 pentru traficul rutier.
Eec din perspectiva costului implicat la vremea ratificrii de ctre Parlamentul Danez (1987) a legii care autoriza construcia, investiia preconizat a fost de: 13.9 miliarde DKK (la valoarea din 1988) la data finalizrii construciei, costul se ridicase la 21.4 miliarde DKK (costurile au crescut cu 54 per cent) ~.~
53
Flyvbjerg, B., Megaprojects and Risk-an anatomy of ambition, Cambridge, 2003
37
Cap.III Identificarea riscurilor

Obiective Cunoaterea i nelegerea etapei de identificare a riscului Cunoaterea principalelor instrumente de identificare a riscului Metoda cetrelor de risc n identificarea riscului
Exist multe puncte de vedere cu privire la riscurile ce pot s apar n procesul de implementare i administrare a unui sistem informaional. Astfel... Dr. Paul Dorsey, fondatorul i preedintele firmei Dulcian,Inc. propune Primele 10 motive din cauza crora eueaz proiectele de Sisteme Informatice54, lista inspirat din greeli reale ntlnite n proiecte: 1. Nu se utilizeaz o anumit metodologie deoarece codul este singurul important. Utilizarea unei metodologii structurate de dezvoltare a sistemului este unul din factorii critici de succes ntr-un proiect de dezvoltare de sisteme; 2. Crearea unui plan al proiectului lucrnd napoi de la o dat final de ncheiere a sistemului. A lucra napoi de la o dat fix de ncheiere a proiectului este un mod sigur de a garanta eecul unui proiect i, din nefericire, este o practic prea obinuit n comunitatea IT; 3. Nefolosirea unui model de date. Construirea tabelelor pe msur ce este nevoie de ele. Modelul de date este nucleul sistemului. Fr un model de date construit cu grij, orice sistem este sortit eecului, sau cel puin nendeplinirii necesitilor i cerinelor utilizatorilor; 4. Utilizarea unui conductor tehnic care nu a mai implementat niciodat un sistem similar. (Angajarea unui astfel de talent este prea scump.) Persoana cu rolul de conductor tehnic al proiectului trebuie s aib experien; 5. Angajarea a 40 de dezvoltatori pentru a face codificarea s mearg mai repede. Mai mult nu nseamn neaprat mai bun !!!; 6. Construirea sistemului n Java, chiar dac cea mai mare parte a echipei de dezvoltare crede c Java este cafea i nu exist intenia a pune aplicaia pe web. Unealta potrivit pentru sarcina potrivit." Acest motto este la fel de adevrat pentru construirea de sisteme ca i pentru construirea de cldiri; 7. Asignarea migrrii datelor unui dezvoltator nceptor cu trei luni nainte ca sistemul s fie implementat.
54
Dorsey, P. Primele 10 motive din cauza crora eueaz proiecte le de Sisteme Informatice, la http://www.computerworld.ro, accesat n 02.02.2006
38
Faza de migrare a unui proiect poate consuma pn la 30 % din resursele totale ale proiectului. De obicei, atenia ce se d acestei faze n metodologiile existente este foarte mic. Costul migrrii datelor tinde s fie imprevizibil pn foarte trziu n programul proiectului. Cea mai obinuit problem n planificarea migrrii datelor este faptul c prea puine resurse sunt investite pentru aceasta. Multe programe de proiect vor afia migrarea datelor ca o unic sarcin n efortul de dezvoltare. Dar, pn la sfritul proiectului va fi evident c migrarea datelor a fost ntr-adevr un proiect separat, dependent de mai multe din produsele proiectului de dezvoltare; 8. Srirea fazei de testare pentru c proiectul este oricum ntrziat. Lansarea unui sistem n producie fr testare adecvat este ca scufundarea ntr-o piscin fr a verifica dac aceasta are ap. Timpul petrecut pentru a testa cu grij orice sistem nainte de a-l lansa n producie poate salva mult mai mult timp pe termen lung; 9. Schimbarea sistemului pentru a asigura cerine noi descoperite in timpul finalizrii dezvoltrii. Este important prevenirea deplasrii scopului unui proiect. ntotdeauna vor exista noi cerine de suportat, noi moduri puin mai bune de a modifica modelul de date i moduri mai bune de a proiecta aplicaia; 10. Cumprarea unui produs i adaptarea lui... mult Singurul mod n care o implementare a unui produs comercial poate s aib succes este de a decide c activitatea trebuie s fie regndit astfel nct s corespund limitrilor pachetului cumprat. Daniel OLeary ERP Systems-System, Life Cycle, Electronic Commerce and Risk , vorbind despre administrarea unei sistem informaional de tip ERP (Enterprise Resource Planning), prezint riscurile unei astfel de soluii din trei puncte de vedere: -riscurile tehnice riscuri specifice noilor tehnologii ; -riscurile organizaionale gradul de implicare al managerilor i al personalului companiei n procesul de implementare; -riscurile economice nu toate modulele pachetelor ERP corespund cerinelor operaiunilor proceselor economice ale organizaiei. Dup Consiliul Decanal al Florida State University (FSU), factorii ce duc la eecul unui sistem ERP sunt: - Inexistena managementului proiectelor (MP); - Imposibilitatea de a rezolva sarcini i a lua decizii n timp util; Resusele nu sunt disponibile cnd ai nevoie de ele; Conducerea nu observ sau nu se implic n derularea proiectului; Software-ul cedeaz la necesitile afacerii; Modul prin care este reprezentat compania. Conform analistului Bruce Bond Gartner, aproape 70%, 80% dintre toate tipurile de implementri ERP eueaz, fie datorit modului de implementare, fie datorit modului de -
39
declarare a obiectivelor i companiile observ c nu pot obine nici o evaluare din ce ofer soluia livrat. O alt mprire a riscurilor ce pot s apar n procesul de implementare i administrare a sistemelor informaionale ar fi: - proiectele depesc adesea bugetele companiilor dup implementarea sistemelor; - companiile pierd venituri mari prin proasta administrare a sistemelor complexe; - apar probleme operaionale atunci cnd structura sistemelor nu se potrivete cu structura ntreprinderii; - anumite costuri au fost ignorate sau subestimate: o activitatea de implementare o consilierea o transformarea proceselor economice o costurile de integrare i testare a sistemului o personalizarea sistemului informaional adoptat o cerinele hardware o cheltuielile necesare pregtirii personalului o costuri generate de depirea duratei proiectului Din practica implementrii unui proiect de lan de distribuie, care se dovedete de cele mai multe ori mai dificil dect implementarea unui sistem ERP, pentru c implic conectarea zecilor sau sutelor de furnizori din exteriorul companiei, obstacolele ce pot s apar capt valene noi. Computerworld USA a discutat cu doi consultani n domeniul managementului lanului de distribuie, Jeff Kavanaugh, vicepreedinte la Inforte Corp. din Chicago, i Brent Habig, CEO al Tigris Corp. din New York. Acetia au identificat barierele cele mai importante n calea implementrii de succes a unei soluii de management al lanului de distribuie. 1.Ostilitatea dintre departamente (Sau, daca nu e vorba de ostilitate, cel puin exist o rezisten pasiv). 2.Conducerea slab (Deoarece sunt implicate departamente multiple, proiectele de lan de distribuie au nevoie s fie conduse de la un nivel superior pentru a putea s supravieuiasc presiunilor i problemelor care apar pe parcurs). 3.Recuperarea investiiei este greu de msurat (Problema const n faptul c dei costurile nu sunt dificil de cuantificat, beneficiile sunt mai greu de vzut. Pot dura chiar ani pn cnd acestea se vor reflecta n profituri). 4.Probleme de finanare (Multe companii au nceput s adopte o strategie de ''bugetare dinamic'', ceea ce nseamn c stabilesc o list de proiecte prioritare pe care s le finaneze, aa nct proiectele care se afl n fruntea listei i menin finanarea chiar n situaii mai dificile). 5.Temerile provocate de amploarea proiectului (De multe ori, proiectele devin tot mai complicate n timp, adugndu-se tot mai multe caracteristici).
40
6.Sistemele preexistente nu sunt integrate (Trebuie gsite soluiile pentru integrarea acestor sisteme vechi cu noul sistem de lan de distribuie. De multe ori, n acele sisteme sunt stocate toate informaiile care fac din companie una competitiv i profitabil). 7.Angrenarea companiilor mici (Potrivit statisticilor, se ntlnete foarte rar integrarea adevrat a lanului de furnizare, dincolo de partenerii i furnizorii mari. Una dintre problemele care determin acest lucru este faptul c multora dintre companiile mici le lipsesc resursele pentru automatizarea la standardele marilor companii). 8.Probleme legate de calitatea datelor (Un studiul al CAPS - Centre for Advanced Purchasing Studies arat c cerina nr.1 pentru realizarea unui sistem de lan de distribuie de succes este urmtoarea: Stabilirea de sisteme informatice capabile s partajeze informaii corecte, relevante i n timp real). 9.Sabotaj din partea angajailor bine intenionai (Uneori, cei mai buni angajai - cei care ncearc cu adevrat s mulumeasc clienii - sunt cei care dau sistemul peste cap. De exemplu, dac personalul de vnzri care, dei are nevoie de exact 100 de exemplare dintr-un anumit produs pentru a rspunde cererii, solicit 110 exemplare doar ca s fie acoperii i s fie linitii c au destul, atunci companiei i se ofer o imagine fals asupra cererii i stocurile vor crete. Pentru a preveni aa ceva, trebuie schimbat modul n care este msurat performana angajailor. Dac activitatea unei persoane de vnzari este msurat n funcie de ct de corecte sunt previziunile de vnzri, nu doar dup ct de mult vnd, atunci aceste probleme vor fi eliminate). 10.Obiceiuri vechi care mor greu (Amintii-v c activitatea lanului de distribuie se fcea i nainte s apar software-ul respectiv. Aa nct va fi inevitabil ca software-ul s intre n competiie cu obinuina de a utiliza e-mail-ul, faxul i telefonul.) n articolul intitulat Eight Mantras to a Successful Software Implementation, Vyom Bhuta, propune 8 reguli de inut n seam atunci cnd se dorete implementare unei tehnologii ce are ca efect schimbarea politicii organizaionale a companiei55: Derulai un program de management al schimbrii Iniiativele majore vor schimba cu siguran cultura organizaional a firmei. Tocmai de aceea e necesar s se ia n vedere acest fapt n strategia de implementare. Determin cum acionezi efectiv n faa schimbrii. Fii pregtit pentru probleme de genul: - rezistena: oamenii se vor opune schimbrii de frica pierderii controlului asupra departamentului ce-l conduc, a sistemului sau chiar a locului de munca. frica de eec: oamenii pot s aleag s nu se implice n proiect dect s rite ca proiectu l s eueze. Aceasta ar putea genera o stare de alert care ar duce la ntrzierea iniierii i predrii proiectului. non-vizionari: vei avea de-a face cu persoane care nu au o clar nelegere a unui proiect cu relevan i importan vizibil pe termen lung.
55
Vyom, B., Eight Mantras to a Successful Software Implementation , la http://www.gantthead.com, accesat n 25.11.2005
41
Cheia oricrui program de management al schimbrii este COMUNICAREA. Departamentul de Management trebuie s comunice importana proiectului n ntreaga organizaie. Asigur suportul i angajamentul din partea departamentului de management Asigur un campion al proiectului. Campionul este de obicei un vizionar care are acces la diferite nivele ale managementului. Angajamentul din partea conducerii departamentului de management poate fi asigurat demonstrnd c automatizarea tehnologic permite ca strat egia de afaceri s se poat realiza. Un bun mod de a arta acest lucru este s se nceap cu strategia ca apoi s se identifice procesele afacerii care ndeplinesc sau care vor ndeplini strategia. Urmtorul pas este vizualizarea i sublinierea modului n care noul sistem va ajuta organizaia s execute procesele identificate. De asemenea, trebuie incluse beneficiile cantitative i calitative precum margini de profit mbuntite, venituri mai mari din vnzri, satisfacii mai mari ale clienilor i salariailor, productivitatea mai mare a angajailor i costuri reduse. nfiineaz un comitet de conducere care s includ un manager IT, un manager de proiect al echipei de implementare i un manager al departamentului. Acest comitet ar trebui sa furnizeze periodic informaii managerului general i finanatorului proiectului cu privire la starea proiectului. Cunoate prioritile IT ale organizaiei i ale conducerii Una din problemele cheie cu care organizaiile se pot ntlni, este dilema alegerii doar a unu i singur furnizor pentru toate soluiile sau a alegerii soluiilor cele mai bune de la mai muli furnizori. Spre exemplu, s zicem c organizaia are deja implementat o soluie ERP de la SAP iar acum se iau decizii de implementare a unei soluii CRM. Pe pia sunt deja civa furnizori de soluii CRM, n frunte cu Siebel, iar SAP i face o intrare n for pe piaa CRM. Problema este dac s se aleag un furnizor cunoscut, SAP, care ar veni cu strns integrare ntre soluia ERP existent i soluia CRM (deci doar un singur furnizor), sau s se mearg cu Siebel, care a dovedit o soluie CRM cu funcionaliti bogate (alegerea soluiilor cele mai bune de la diveri furnizori). Ce faci n acest caz? n recomandarea pe care o faci, nu uita s ari avantajele clare ale opiunii pe care ai ales-o. Rezultatul final va fi acela c vei avea de convins conducerea departamentului de management de recomandarea pe care ai fcut-o, prin comparaii ale preului, factori care ajut la avantajul competiional i o comparare prin care se va prezenta gradul n care soluia aleas satisface cel mai bine cerinele afacerii i cerinele tehnice. Dezvolt o hart a pailor de urmat Rolul acestei hri este acela de a arta diferitele faze ale ntregii iniiative. Va arta care va fi rezultatul final i anticiparea timpului cnd acest rezultat va fi atins.
42
Asigura-te de confirmarea i de comunicarea acestei hri din partea departamentului de management ctre toat organizaia. Include acest aspect n comunicaiile ce in de managementul schimbrii. Pornete cu un pilot (prototip) O abordare n faze poate asigura cteva beneficii. Pornete implementarea n cadrul departamentului, cu funciile i caracteristicile, i atunci cnd condiiile geografice vor genera sigur un succes mare, cu un impact puternic. Acest succes va construi ncrederea i va motiva fiecare individ din echip s continue executarea celorlalte faze ale proiectului. Este esenial ca n faza pilot s nu se aib n vedere scopuri vaste, dar din care s reias totui funcionalitatea. Faza pilot faciliteaz introducerea de noi tehnologii, testarea lor cu riscuri i costuri minime i ajut la introducerea schimbrii la nivelul dezvoltrii organizaiei. Alegei echipa de implementare inteligent Organizaiile au cteva opiuni atunci cnd vine vorba s-i aleag echipa de implementare. De obicei sunt trei opiuni: departamentele IT interne; firme de consultan; i grupuri de servicii pentru clienii furnizorilor de pachete de software. Personalul IT intern e ideal atunci cnd timpul e n favoarea ta, totui, problemele referitoare la disponibilitatea resurselor i curba nvrii te pot stimula s iei n considerare asistena din afara organizaiei. Firmele de consultan au o mare nsemntate, deoarece pot furniza recomandri impariale i de asemenea pot oferi informaii despre problemele cu care s-au ntlnit cu ocazia unor alte implementri de sisteme asemntoare. Totui, consultanii pot s nu fie la curent cu toate aspectele produsului n ceea ce privete noi upgrade-uri, noi modele etc Grupurile de servicii pot furniza beneficii precum cunotine intime despre produs i despre strategia furnizorului privind produsul respectiv. Totui prejudecata poate exista atunci cnd se va recomanda o strategie, iar uneori aptitudinile i interesul de a integra sisteme externe software-ului poate fi limitat. Organizaiile au propriile preferine n alegerea echipei de implementare, dar ar fi un beneficiu dac s-ar merge pe o combinare a celor trei surse: - include civa membrii din departamentul IT propriu pentru a asigura transferul de cunotine, precum i pentru a furniza informaii despre sistemele i resursele interne existente. - implic firmele de consultan pentru a furniza expertiza implementrii i recomandri fr prejudeci. - include unul sau doi membrii din grupurile de servicii software sau din grupurile de dezvoltare ale furnizorului. Provocarea va fi s decizi procentul echipei de implementare. Alege-i ngerii(persoanele cheie) Sistemele pilot sau utilizatorii finali trebuie s fie tratai special, de aici i termenul de utilizatori nger. E necesar ca utilizatorii s fie implicai ct mai devreme n proces, pentru a asigura c sistemele sunt adresate nevoilor lor. Procesul trebuie s includ o documentaie de genul lista de dorine despre cum noul sistem ar trebui s le mbunteasc munca. Dac 43
utilizatorilor i dorinelor lor nu li se acord atenia cuvenit, exist posibilitatea ca acetia s se revolte mpotriva sistemului. Totui, trebuie meninut scopul iniial, aa c uneori e necesar negocierea cu utilizatorii finali. Asigur un training adecvat utilizatorilor ngeri Dac utilizatorii sunt n imposibilitate de a nelege i folosi sistemul, proiectul e un eec chiar dac restul a fost executat perfect. Tocmai de aceea o importan deosebit se acord timpului de training al utilizatorilor, al utilizatorilor ngeri. i cea mai adecvat tactic este pregtirea trainerului, astfel c utilizatorii finali vor fi pregtii de ctre cineva de-al lor, cineva din interiorul aceluiai departament. De obicei trainerul este pus fa n fa cu sistemul pe parcursul ntregului ciclu de implementare. Utilizatorii trebuie s aib acces la documentaia bon-tehnic i trebuie s li se arate cum s acceseze i s foloseasc sistemul. De asemenea, este foarte bine s se asigure suport telefonic n primele luni de la introducerea sistemului. Dac nu se iau n vedere toate aceste probleme ca la carte implementarea are un grad foarte ridicat de a eua. Din experiena dr. Paul Dorsey, par s existe trei factori pe care toate proiectele reuite le au n comun56. Fiecare din aceti factori este cheie a succesului oricrui proiect. Fiecare proiect poate fi vzut ca un tripod. Toate cele trei picioare ale tripodului trebuie s fie bine aezate pentru ca tripodul s fie stabil. ntr-un proiect informaional, aceste "picioare" sau factori critici de succes consist din urmtoarele: - Sprijin din partea managementului - O metodologie de dezvoltare solid - Conducere tehnic solid de ctre cineva care a reuit cu succes un proiect similar Fr ca aceti factori s fie bine plasai, tripodul se va rsturna i proiectul va eua. n implementarea unui proiect trebuie s se in cont de faptul c exist un numr de patru factori interdependeni n succesul oricrui astfel de proces: 1. Cost 2. Calitate 3. Timp 4. Risc Nu este posibil s avem maxim pe toi cei patru factori. Adic nu se poate avea un sistem construit cu puini bani, cu calitate ridicat, construit repede i cu risc mic de eec. Cele mai multe discuii ale acestor factori i cuprind numai pe primii trei. Este posibil s se construiasc un sistem de calitate rapid, cu costuri relativ mici, tind colurile i fcnd testri puine sau deloc. Oricum riscul ca un astfel de sistem sa eueze crete dramatic. Din aceti patru
56
Dorsey, P., opcit.
44
factori, n orice proiect, doi pot fi obinui cu succes, lsnd ca ceilali doi s trebuiasc s fie gestionai. Din aceti patru factori, cei mai importani sunt riscul i calitatea. Sistemul trebuie s lucreze i s ndeplineasc cu succes cerinele utilizatorilor. Aceasta face ca timpul i costul s fie ajustai n mod corespunztor. Doi factori adiionali n determinarea succesului sau eecului unui proiect care sunt adeseori uitai, sunt migrarea datelor i implementarea sistemului. Migrarea datelor trebuie s fie planificat foarte devreme n orice proiect. Migrarea datelor aproape c trebuie s fie considerat ca proiect separat. Similar, chiar un sistem proiectat cu grij i bine documentat poate totui s eueze n 10-20 % din cazuri din cauz c implementarea nu este gestionat corect. Aceasta se poate datora instruirii necorespunztoare a utilizatorilor, tranziia defectuoas de la vechiul la noul sistem i lipsei de suport pentru noul sistem. Compania PeopleSoft abordnd problematica riscurilor prezint Paii cheie pentru a-i reduce riscurile57: la nivel strategic o aliniaz strategiile de afaceri i obiectivele cu planurile de afaceri o identific procesele de afaceri i directivele critice pentru organizaia ta o identific un conductor care s monitorizeze proiectul i care s elimine blocajele care ar putea pune n pericol proiectul la nivel operaional o identific criteriile pentru succesul proiectului o identific restriciile proiectului, prezumiile i riscurile o identific posibilele proiecte concurente o definete misiunea proiectului, scopul, obiectivele i sistemul de msurare a performanelor o formeaz echipa de proiect, incluznd managerul de proiect, conducerea tehnic, conducerea funcional, echipa de training, consultani ter-parte o determin cerinele de resurse i de competene ale echipei de proiect o definete planurile de management al riscului i de management al schimbrii o condu analize pre- i post-implementare a soluiilor metrice i compar-le cu evalurile ROI (Return Of Investment) iniiale la nivel tehnic o revizuiete dotarea hardware i software i identific posibilele probleme de compatibilitate o dezvolt un plan de integrare care s-i permit scoaterea din funciune a unor componente a terelor-pri
57
PeopleSoft Risk Mitigation Strategies, la http://www.peoplesoft.ro, accesat n 20.12.2003
45
o evalueaz infrastructura i topologia curent a reelei de calculatoare pentru a determina orice nevoie de schimbare pentru a asigura performana unei aplicaii de internet o dezvolt arhitectura tehnic i testeaz strategiile o revizuiete design-ul de securitate curent i mbuntete strategia de securitate o planific pentru reglarea i testarea performanelor - la nivel funcional o evalueaz cerinele funcionale ale afacerii i determin zonele de mbuntire o condu analize de criz / lipsuri o identific produsele terelor-parte i mbuntirile ce necesit eliminarea o finalizeaz target-uri pentru noi ieiri pe pia Infosys propune chiar o list a celor mai ntlnite zece riscuri n proiectele IT&C derulate de ctre ei de-a lungul timpului58. Ba mai mult, pentru fiecare risc identificat, vin i cu o propunere de pai de atenuare a efectelor negative. Anticipnd aceast parte de plan de rspuns la risc, prezentm mai jos aceast list, sugestiv intitulat de ctre reprezentanii Infosys, Top Ten Risks and Their Mitigation Steps:
Tabel 2 Top 10 riscuri dup Infosys Pai de Atenuare a Efectelor
Nr. crt. 1
Categorie Risc
n Prea multe schimbri ale cerinelor Cerine neclare Lipsa specialitilor domeniul tehnic Uzura (rutina) specialitilor Constrngeri din afar
Neatingerea performanei
cerinelor
Program calendaristic nereal
- realizarea estimrilor inndu-se cont i de o perioad iniial de nvare - existena de extra-resurse - conducerea de programe de training - obinerea unei hotrri definitive asupra cerinelor iniiale din partea clientului - convingerea clientului c schimbrile de cerine vor afecta planul - definirea unei proceduri de administrare a schimbrilor de cerine - negocierea plii conform efortului actual - folosete experiena i logica pentru a face prezumii, dar informeaz clientul; obinerea unei hotrri definitive - dezvolt un prototip i las-l pe client s revizuiasc cerinele - asigurarea mai multor resurse n punctele cheie ale proiectului - organizarea de sesiuni de team-building - deruleaz un program de rotaie a atribuiunilor echipei proiectului - pstrarea de extra-resurse - existena documentaiei pentru fiecare loc de munc - urmrirea cu strictee a liniilor directoare precum i a configuraiei procesului de management - schiarea dezavantajelor i negocierea cu personalul responsabil pentru a se fora o decizie - n caz de inevitabilitate, identificarea riscurilor actuale i urmrirea planurilor de rspuns specifice - definirea clar a criteriilor performanei i revizuirea lor de ctre client - definirea standardelor de urmat n vederea atin gerii criteriilor de performan - stimularea performanelor tranzaciilor critice - realizarea de teste cu un volum de date reprezentativ - realizarea de teste de stres - negocierea unui program mai bun
58
Jalote, P., opcit., p.102
46
Lucrul cu tehnologii hard/soft noi Cunotine insuficiente sau
10
Eecuri conexe performane sczute
- identificarea activitilor paralele - disponibilitatea din timp a resurselor - identificarea domeniilor ce pot fi automatizate - negocierea plii conform efortului actual - planificarea unei livrri n faze - nceperea cu livrarea modulelor critice - includerea n plan a timpului pentru nvare - asigurarea de training pentru noua tehnologie - dezvoltarea unei aplicaii de exemplificare a conceptului - creterea interaciunilor cu clientul i asigurarea unui transfer adecvat de cunotine - asigurarea de training - fixarea ateptrilor adecvate mpreun cu clientul - planificarea din timp a sarcinilor conexe - planificarea din timp a folosirii optime a legturilo r
De un Top 10 al riscurilor vorbete i Constantin Opran59 citnd la rndul su reprezentanii firmei Standish Group, acetia elabornd n anul 1995 un studiu asupra a mai mult de 1000 de manageri, asupra motivelor i n special a principalelor riscuri ce pot conduce la eecul unui proiect. Aceste top prezint urmtoarele riscuri: 1. Cerine incomplete asupra proiectului 2. Insuficienta implicare a partenerilor n cadrul derulrii proiectului 3. Resurse insuficiente 4. Estimri nerealiste asupra rezultatelor proiectului 5. Insuficiena suportului executiv 6. Schimbarea cerinelor i specificaiilor n timpul derulrii proiectului 7. Insuficienta planificare a activitilor 8. Eliminarea elementelor eseniale pentru proiect 9. Management defectuos 10. Suport tehnologic precar, pentru optima desfurare a proiectului n Quality Software Project Management, se prezint de asemenea un top 10 al riscurilor n proiectele software60: (Obs. e vorba de un top pe caz concret, cu prezentarea tuturor informaiilor identificate la o anumit dat; acest top ten se revizuiete sptmnal)
Tabel 3 Top 10 riscuri dup Quality Software Project Management
ID 1
Element de risc Prea puini ingineri experi Proiectarea are un termen strmt Slaba organizare a
Probabilitate de apariie 70
Pierdere potenial 9
Expunere la risc 630
Abordare aplicat Contractarea de ali experi Aplicarea de estimri Delphi Revizuiri cu clienii
Cine aplic? Project Manager
Data 1/15 n derul are 2/15
50
450
Project Manager Conductorul de proiect
20
180
59 60
Opran, C., .a., opcit. p.85 Futrell, R.T., .a., opcit., pp.605-606
47
ID
4 5
Element de risc funciei de raportare Interfee diferite Cerine noi Ameninarea placrii cu aur Calitate necunoscut Zid instabil
(Wall unstable)
Probabilitate de apariie
Pierdere potenial
Expunere la risc
Abordare aplicat
Cine aplic?
Data
25 30
6 5
150 150
30
120
10
60
8 9
10 5
6 6
60 30
10
Probleme de ncadrare n timp Noi riscuri tehnologice
Revizuiri cu clienii Revizuirea costurile de fiecare dat Respectarea cerinelor documentului Identificarea unui al doilea furnizor Investigarea legturilor Simulare i testare Revizuiri cu conductorul tiinific
Conductorul de proiect Project Manager Conductorul de proiect Project Manager
2/15 n derul are n derul are 2/1
Inginer Inginer Conductorul de proiect
2/15 n derul are Pe stagiu
10
Iat cum ar arta un raport sptmnal cu privire la modificarea topului:

Tabel 4 Top 10 riscuri raport sptmnal
Element de risc Prea puini ingineri experi Proiectarea are un termen strmt Slaba organizare a funciei de raportare Interfee diferite Cerine noi Ameninarea placrii cu aur Calitate necunoscut Zid instabil (Wall
unstable)
Loc ocupat n aceast sptmn 1 2 3
Ultimul loc deinut 1 2 5
Numr de sptmni n list 2 2 3
Abordare aplicat Contractate aflate n discuie Forarea estimrilor Delphi La curent cu reprezentanii clientului La curent cu reprezentanii clientului Revizuirea costurilor Revizuirea fiecrei faze nc nu se identific un al doilea furnizor Contractarea de legturi Planificarea de simulri Cerine revizuite
4 5 6 7 8 9 10
4 3 6 8 Nou Nou 10
3 4 4 3 4
Probleme de ncadrare n timp Noi riscuri tehnologice
48
The Information Technology Advisory Board, departament al Missouri State Government prezint n broura Missouri IT Risk Management Manual un top 5 al riscurilor identificate61:
Categorie Probabilitate de apariie Ridicat Tabel 5 Top 5 riscuri dup The Information Technology Advisory Board Impact Risc Abordarea de reducere a efectelor MANAGEMENT Mediu Personalul implicat n Asigurarea c specificaiile dezvoltarea sistemului nu a conin informaii suficiente participat la efortul de pentru a permite proiectare , rezultnd astfel personalului nou s neleag o nelegere proast a sistemul funcionalitii sistemului Ridicat Personalul atribuit Anticiparea atingerii proiectului nu va avea nivelului de abiliti cerut abilitile de a ndeplini activitatea Ridicat Sistemul complet nu va fi Ruperea proiectului n disponibil n timpul de 18 segmente mai mici pentru a luni planificat asigura pstrarea planului calendaristic Ridicat Bugetul propus nu reflect Revizuirea costului pentru a toate activitile solicitate asigura c toate activitile organizaiei sunt reflectate Ridicat Cerinele sistemului se vor Asigurarea c un proces de schimba de-a lungul control al schimbrii este perioadei de implementare implementat care s limiteze schimbrile eseniale ale afacerii
Disponibilitatea personalului
Abilitile personalului
Sczut
Planificare calendaristic
Mediu
Costuri
Mediu
Controlul schimbrii
Mediu
Riscurile din proiectele de dezvoltarea sistemelor (fie ele informatice, informaionale sau de alt natur) pot fi mprite n dou categorii: - riscuri externe (asupra crora managerul de proiect nu are control) - riscuri interner (care pot fi monitorizate i controlate de managerul de proiecte) ntre aceste dou categorii se afl i o a treia categorie intermediar de riscuri asupra crora managerul de proiect are un control parial, limitat. n opinia celor de la Net Com riscurile provin din cauza incertitudinilor sau a diferitelor restricii. Iat o list de exemple de zone generatoare de incertitudini62: - eec n nelegerea pentru cine este proiectul; - eec n numirea unui responsabil pentru sponsorizarea proiectului; - eec n numirea unui manager de proiect calificat i susinut; - eec n definirea obiectivelor proiectului; eec n obinerea consimmntului din partea persoanelor cheie pentru proiect; eec n estimarea corect a costurilor; eec n specificarea precis a cerinelor utilizatorului final; eec n asigurarea unui climat de lucru corespunztor;
61 62
http://oit.mo.gov/business%20solutions/ Word%202000/risk_manual.doc Net Com, The elements of project risk management, la http://www.netcomuk.co.uk/~rtusler/project/riskprin.html, accesat n 01.10.2006
49
eec n concordarea personalului implicat n realizarea proiectului cu contracte sau documente.
Riscurile apar n cadrul tuturor activitilor socio-economice, pentru fiecare dintre acestea mbrcnd forme particulare, n funcie de tipul, modul de manifestare i mrimea acestora
Plecnd de la aceast premis, riscurile suport o larg arie de clasificare.
50
III.1 Clasificarea riscurilor

Astfel, putem vorbi despre urmtoarele tipuri de riscuri ce pot periclita evoluia normal a unui proiect63: - defeciuni tehnice; - insucces de pia; - dificulti de realizare; - imposibilitatea finalizrii la timp; - nerealizri pe planul cercetrii; - o evoluie neateptat a proiectului; - eecuri n proiectare; - eecuri n fabricaie; - evenimente imprevizibile; - obstacole tehnice de nedepit; - rezultate imprevizibile; - un know-how inadecvat; - incertitudini normative i legislative. Dup Marsh SRL, riscurile cu care companiile se confrunt pot fi clasificate dup cum urmeaz64: - De hazard: evenimentele accidentale i imprevizibile (ex. catastrofele naturale, incendiile, furturile etc.) care pot provoca daune bunurilor companiei, pot vtma sntatea i sigurana personalului angajat sau pot atrage rspunderea civil a companiei n faa unor tere pri; Strategice: riscuri ce sunt direct legate de structura i diversitatea activitii companiei, de presiunea exercitat de competiie, de capitalul intelectual al firmei i de schimbrile ce au loc la nivel macroeconomic. Aceste riscuri au legtur direct cu strategia stabilit de firm pentru a-i asigura succesul ntr-un mediu din ce n ce mai competitiv; Operaionale: riscuri ce afecteaz activitatea curent a companiei i pot include frauda, evaluarea incorect a pieei, cderea sistemului informatic, ineficiena programelor de management al resurselor umane i chiar inabilitatea companiilor de a se adapta cerinelor autoritilor ce reglementeaz piaa; Financiare: riscuri ce au legtur direct cu fluxurile financiare ale firmei, i pot perturba grav activitatea acesteia - lipsa de lichiditi, neachitarea obligaiilor contractuale ale partenerilor de afaceri, volatilitatea preului bunurilor vndute (influenat de cursul valutar, inflaie sau rata dobnzii).
63 64
Oprea, D. Managementul Proiectelor-teorie i cazuri practice, Sedcom Libris, Iai, 2001, pp.88 -89 Consultana n domeniul gestionrii riscurilor -Revista Risc Consult, nr. 4, 2001, la http://www.riskmanagement.ro, accesat n 02.09.2003
51
Am vzut c definiia dat de acordul Basel II riscului operaional este riscul de nregistrare a unor pierderi rezultate n urma inadecvanei sau inoperativitii unor procese, membri ai personalului sau tehnologii interne sau ca urmare a aciunii unor factori externi Astfel, riscul operaional suport la rndul su o clasificare65, componentele care intr n componena riscului operaional fiind: - Riscuri de proces: acestea cuprind ineficienele diferitelor procese de afaceri n cadrul organizaiei procese care au ca reper valoarea produselor (vnzri, marketing, proiectare), precum i procese ce sprijin valoarea (IT, resurse umane). - Riscuri de personal: n aceast categorie intr erorile angajailor, indisponibilit atea acestora, recrutarea i evoluia inadecvat. - Riscuri de tehnologie: cuprind disfuncionaliti ale sistemelor tehnologice operative sau managementul deficitar al acestora. - Riscuri externe: aici sunt incluse riscurile de pierderi cauzate de aciunea unor factori externi precum aciunea competitorilor, frauda extern, schimbarea cadrului de reglementri, evenimentele macro- i socio-economice. n funcie de modul de producere al riscurilor66, se poate vorbi despre: - riscuri pure (consecine ale unor evenimente accidentale ce nu pot fi prevzute - uragane, cutremure, incendii, inundaii, rzboaie, atentate etc.) - riscuri speculative, ce sunt legate de deciziile ce se iau n cadrul unei companii, sau n cadrul unui proiect de investiii, fiind evenimente cu o mare probabilitate de apariie, depinznd n mare msur i de o serie de factori externi ce influeneaz aceste procese Jason Sullivan propune o clasificare a riscurilor67 n: - riscuri la nivel de corporaie: riscuri importante ce solicit monitorizare i control din partea consiliului director (ex. Riscuri evaluate ca avnd un impact mare asupra afacerii organizaiei i cu un grad ridicat de producere); - riscuri operaionale: riscuri de nivel sczut ce se administreaz la un alt nivel al organizaiei (ex. Riscuri cu impact sau probabilitate de apariie mediu sau sczut, administrate de departamente ale organizaiei) Banca Reglementelor Internaionale68, vorbind despre electronic banking69 i despre electronic money70 identific urmtoarele categorii de riscuri71: - riscuri operaionale apar din pierderile poteniale datorate unor deficiene semnificative n sigurana sau integritatea sistemului sau din cauza abuzurilor venite din
65 66
Riscul operaional, Revista Risc Consult, nr. 4, 2003, la http://www.riskmanagement.ro, accesat n 10.12.2003 Opran, C., .a., opcit., p.14 67 http://www.auditnet.org/docs/ Draft%20Risk%20Management%20Policy%20-%20Example.doc 68 Bank of International Settlements, la www.bis.org 69 Electronic banking se refer la furnizarea cu amnuntul de servicii i produse bancare de mic valoare prin intermediul canalelor electronice 70 Electronic money se refer la valori nmagazinate sau mecanisme de plat pre-pltit folosite n efectuarea de pli via POS-uri, transfer direct ntre dou dispozitive sau prin intermediul unei reele de calculatoare cum ar fi Internetul 71 Risk management for electronic banking and electronic money activities , la http://www.bis.org/publ/bcbsc215.pdf, accesat n 13.12.2003
52
partea unor clieni, precum i dintr-un design sau implementare inadecvat a sistemelor de e-banking sau de e-money o riscuri de securitate o riscuri din design-ul, implementarea sau ntreinerea sistemului o abuzuri / ntrebuinarea greit a sistemelor din partea unor clieni riscul reputaional reprezint riscul unei opinii publice negative semnificative, ce poate cauza o pierdere critic a clienilor sau a fondurilor. Poate fi cauzat i de ctre pierderea ncrederii publicului n abilitatea bncii de a-i realiza aciunile critice n scopul continurii operaiunilor. Poate fi cauzat i de funcionarea neconform cu ateptrile publicului a sistemului sau a produselor bancare. Poate fi cauzat i de ctre succesul unui hacker n atacul asupra sistemului respectivei instituii (acesta modificnd, de ex., informaiile postate pe site-ul oficial al instituiei bancare) riscul legal - apare din nclcrile sau neconformrile cu legislaia, regulile, practicile prescrise, sau atunci cnd drepturi legale sau obligaii ale parilor unei tranzacii nu sunt bine stabilite alte riscuri riscuri bancare tradiionale o riscul de credit este riscul ca o contrapartid s nu stabileasc o obligaie pentru ntreaga valoare, fie n prezent, fie la un moment viitor Ex. bncile implicate n programe de plat electronic de facturi pot ntmpina riscuri de credit dac o ter parte intermediar nu i ndeplinete propriile obligaii referitoare la plat o riscul de lichiditate este riscul ce apare din cauza incapacitii bncii de a-i atinge obligaiile atunci cnd acestea se cer, fr a se expune la pierderi inacceptabile, chiar dac n cele din urm banca este n stare s i ating obligaiile Ex. riscul de lichiditate este semnificativ pentru bncile care sunt specializate n activiti cu e-money dac nu sunt n msur a asigura acele fonduri care sunt adecvate pentru a acoperi cererile de rscumprare i de plat la vedere n orice moment Obs. Acest fapt poate duce la aciuni legale mpotriva bncii, fapt care ar genera n risc reputaional o riscul ratei de profit se refer la expunerea condiiilor financiare ale bncii la micri contrare n rata profitului Ex. bncile specializate n furnizarea de e-money pot ntlni riscuri ale ratei de profit n ntinderea micrilor adverse ale ratei de profit, descrescnd valoarea bunurilor ce privesc tranzaciile cu e-money o riscul de pia este riscul de pierdere n poziiile bilanului ce apar din micrile de preuri de pe pia, incluznd ratele se schimb valutar. 53
Ex. acceptarea plilor prin e-money n monede strine reprezint un astfel de risc pentru banc O alt prezentare a riscurilor ar putea fi n funcie de originea riscurilor72: 1. riscuri interne (ex. riscuri legate de ambiguitatea obiectivelor sau a prioritilor, riscuri n gestionarea resurselor umane, riscul documentaiei, riscul tehnologic etc); 2. riscuri externe (ex. riscuri politice, riscuri comerciale, riscuri sociale, riscuri juridice, riscul n utilizarea noilor tehnologii informaionale etc) Detalierea ctorva tipuri de riscuri prezentate n lucrarea Managementul Riscului - Suport de curs, SNSPA, Facultatea de Comunicare i Relaii Publice David Oglvy73: 1. Riscul financiar este definit ca fiind expunerea la o anumit schimbare sau ca posibilitatea unei deviaii adverse de le ceea ce este prevzut (este vorba de un risc ntlnit n domeniul financiar-bancar sau n probleme financiare). o Tipuri de riscuri financiare: Riscul de credit (contrapartid) - este riscul provenit din incertitudinea capacitii sau dorinei partenerilor de afaceri de a-i ndeplini obligaiile contractuale. Exemplu - O banc d un mprumut unei societi comerciale. Deoarece este posibil ca societatea comercial s nu i plteasc datoria, banca este supus riscului de contrapartid. Riscul de lichiditate - intervine atunci cnd o firm nu poate s deruleze o tranzacie mare la un anumit moment de timp sau atunci cnd firma respectiv nu este capabil s obin fonduri pentru a-i achita obligaiile impuse de cashflow. Riscul operaional - poate fi reprezentat de deficienele aprute in sistemul informatic sau n activitatea de control intern al firmei. Poate fi asociat cu eroarea uman, cderea unui sistem sau aplicarea incorect a unor proceduri. (Obs. Vezi definiia dat de Acordul Basel II) Exemplu - Activitatea de back office a unei bnci nu observ o discrepan ntre o raportare a unei tranzacii i confirmarea ei de ctre partener. In acest caz, tranzacia poate face obiectul unei dispute, ceea ce poate cauza chiar o pierdere financiar. Riscul de pia - este riscul rezultat din evoluia advers a preului sau volatilitii activelor care fac parte din portofoliul unei firmei. Riscul de pia reprezint ceea ce poate firma s piard dac preurile sau volatilitatea activelor se modific. Riscul de pia include in abordarea de fa riscul ratei dobnzii i riscul valutar.
72 73
Opran, C., .a, opcit., p.17 Idem, pp.141-148
54
o Riscul ratei dobnzii este expunerea ce decurge din scderea veniturilor din cauza evoluiei ratei dobnzii. o Riscul valutar este cuantificat prin pierderile suferite de societile comerciale ca urmare a evoluiei nefavorabile a schimburilor valutare. o Expunerile datorate acestui risc sunt: Expunerea contractual se refer la o ncasare / plat n valut menionat ntr-un contract ferm viitor sau care se afl in curs de desfurare Expunerea contabil (sau de tranzlaie) se refer la modificarea poziiei unui produs / firme pe pia datorit modificrilor la nivelul ratelor de schimb intre valute. Expunerea economic este dat de influena nregistrrii operaiunilor valutare n evidenele contabile ale unei firme sau de plile sau ncasrile n valut ealonate pe o perioad de timp. Riscul de pia poate fi msurat ca fiind ctigul sau pierderea potenial aferent unei poziii sau ntregului portofoliu asociat cu o modificare de pre sau o probabilitate dat ntr-un anumit orizont de timp. Aceast abordare se numete VAR (value at risk)
Obs. Riscurile menionate mai sus pot fi parial sau total acoperite i gestionate prin utilizarea instrumentelor financiare derivate: contracte forward - un acord de voin dintre dou pri, un vnztor i un cumprtor, de a livra o anumit cantitate dintr-o marf, valut sau activ financiar, la un anumit pre i la o anumit dat, specificate n contract o Participaii pe piaa forward folosesc aceste instrumente financiare pentru: operaiuni de hedging operaiuni de arbitraj iniierea unor poziii pe pia funcie de anticiparea trendului viitor al pieei obinerea unor profituri de pe poziia de market maker. contracte futures - un contract forward standardizat, tranzacionat n cadrul unei piee organizate, respectiv o burs de mrfuri i care urmeaz o procedur zilnic de regularizare prin care ctigurile uneia dintre pri sunt transferate de ctre cealalt parte 55
contracte cu opiuni o n termeni bursieri contractele cu opiuni sunt denumite opiuni o opiunile sunt contracte standardizate, ncheiate n urma unei tranzacii bursiere ntre vnztorul opiunii (option seller, writer) i cumprtorul opiunii (option buyer, holder) prin care primul vinde celui de-al doilea dreptul de a cumpra sau de a vinde pn la o anumit dat un activ determinat.
swapuri
etc Alte riscuri - riscul juridic, riscul de ar, riscul de reglementare, riscul de tranzlaie contabil, riscul de model, riscul sistemic, etc
Obs. Unele din acestea vor fi prezentate mai jos 2. Riscul de basis reprezint pierderea potenial rezultat din variaiile preului sau din diferenele de rentabilitate ale instrumentelor tranzacionate pe dou piee diferite. o Diferena dintre preul sau rentabilitatea forward i rentabilitatea sau preul spot (preul curent) pentru un instrument financiar cum ar fi contractul futures sau componenta implicit forward dintr-un contract cu opiuni poart denumirea de basis. 3. Riscul tehnologic apare ca urmare a nendeplinirii modernizrilor, inovaiilor scontate n domeniul produciei. 4. Riscul de producie are drept componente riscurile asociate utilizrii sau dezvoltrii de noi tehnologii. 5. Riscul de inovaie-modernizare poate aprea n urma transferului de tehnologii, prin inovaii brevetate, sau aplicaii astfel nct consoriul s nu reueasc s ofere serviciile i produsele realizate sub licen, programele web, la parametri proiectai, la nivelul rilor dezvoltate. 6. Riscul tehnic este foarte pregnant n domeniul tehnologiei informaiei unde reeaua internet poate da semne de risc tehnic: mpuinarea adreselor disponibile, ci de rulare cutare saturate, dificulti de instalare i de configuraie. 7. Riscul de pre apare datorit neconcordanei preului n timp, ntre momentul ncheierii contractului i momentul ncasrii sau al plii. 8. Riscul valutar const n posibilitatea nregistrrii unei pierderi n cadrul unei tranzacii financiare ca urmare a modificrii cursului valutar (apreciere, depreciere) a valutei de contract, n intervalul dintre momentul ncheierii contractului i data efecturii plii n valut. 9. Riscul de transfer valutar apare datorit unor condiii cu caracter economic, financiar, valutar sau politic care ar putea mpiedica transferul valutei de ctre partenerii consoriului. 56
10. Riscul conjunctural apare n condiiile pieei utiliznd n special tehnologia informaiei i proceduri juridice, n afara sferei de control a partenerilor consoriului. 11. Riscul de firm/companie - riscul operaional + concurenial + de implantare + risc conjunctural. 12. Riscul penal (criminal risk) cuprinde: o daunele penale, cum ar fi de exemplu incendierea cu intenie, o furtul de piese, de secrete de serviciu, o cheltuirea peste bugetul planificat, o spionajul industrial; de exemplu un angajat ce este demis poate copia informaii de serviciu pe un sistem electronic i le poate utiliza la noul loc de munc, o nerespectarea aspectului confidenial al negocierilor, al actelor, o ascultarea convorbirilor fr mandatul procuraturii, o mesaje potale mincinoase referitoare la numele domeniului n internet, o corupia angajailor, a poliitilor, a judectorilor, o controlul penal al afacerilor, fraudele, inclusiv cele rezultate n urma aciunii angajailor o consoriului, o falsificarea semnturii, actelor, planurilor, facturilor fiscale. 13. Riscul de ar riscurile adiionale inerente n tranzaciile cu un stat; o riscul de suveranitate al statului sau alte afaceri n strintate; o risc dat de instabilitatea legislaiei; o regimul neclar al investiiilor, modificri frecvente ale structurilor statale i condiiilor social politice n care se desfoar activitile unui proiect. 14. Riscuri asociate cu instrumentele derivate o categoria riscurilor explicite conine expunerile la riscurile normale ale pieei, att ale pieei derivatelor ct i ale pieei activului de baz (activului suport). o categoria riscurilor implicite include riscurile referitoare la folosirea derivativelor intr-un anume mediu economic i intr-o situaie definit a pieei. o riscuri de percepere acele riscuri datorate nenelegerii sau nelegerii greite a noiunilor privitoare la instrumentele financiare derivate, la imperfeciunile pieei n ceea ce privete cadrul legislativ i cel al autoreglementrii. Se mai poate vorbi de asemenea, despre riscuri mai mult sau mai puin grave, mai mult sau mai puin cunoscute, mai uor sau mai greu de evitat. Sau despre riscuri gestionabile i strategice), - Riscurile gestionabile sunt acele riscuri pe care organizaia le poate aborda fcnd uz de propriile mijloace. In aceast categorie poate fi inclus planificarea deficitar a accesibilitii mijloacelor critice de funcionare. - Factorii de risc strategic, pe de alt parte, sunt aceia care trebuie tratai prin efectuarea de cheltuieli substaniale i/sau schimbare n direcia strategic.
57
ncheiem aceast seciune, i afirmm c riscul este un eveniment probabilistic este posibil ca el s apar, este posibil ca el s nu apar. Din acest motiv, exist tendina optimist de a nu vedea riscurile pe care un proiect le implic sau de a dori ca aceste riscuri s nu apar. Astfel de atitudini pot duce la probleme mari n cazul n care riscurile se materializeaz, iar n cadrul proiectelor mari riscurile sunt practic inevitabile. Se nelege astfel de ce managementul riscului i managerul de risc sunt absolut obligatorii pentru o activitate de succes n afaceri i mai ales n cadrul structurilor organizatorice prin proiecte, respectiv a managementului prin proiecte.
58
III.2 Procesul de identificare a riscurilor

nelegem deci c procesul de identificare a riscului, const n determinarea riscurilor capabile de a afecta proiectul, precum i realizarea unei documentaii cu caracteristicile tuturor riscurilor identificate. Activitatea de identificare a riscului nu trebuie neleas ca o activitate de sine-stttoare i unic, realizat n faza de proiectare, ci aceast operaiune ar trebui desfurat de-a lungul tuturor fazelor proiectului, acordndu-se atenie att riscurilor ce provin din interior (precum personalul i atribuiunile acestuia, diferite tipuri de costuri etc), ct i a celor ce provin din exterior (atacuri la adresa sistemului informaional, schimbri ale politicii de guvernmnt, cauze naturale ce au ca efect ntreruperea activitilor etc).
III.2.1 Metode de identificare a riscului

Identificarea riscurilor este procesul prin care organizaia / echipa de proiect detecteaz sistematic i continuu riscurile i incertitudinea. Dup unii autori74, elementele acestui proces sunt: 1. identificarea expunerilor la risc, (ex.: expunerea la risc a resurselor umane, expunerea la risc a proprietilor-activele tangibile i intangibile ale instituiei, expunerea la riscul de rspundere civil legal etc) 2. identificarea surselor de risc pentru organizaie (ex. mediul fizic-natural, mediul sociocultural, mediul politico-legislativ, mediul intern al firmei, mediul economic, mediul cognitiv etc); 3. identificarea consecinelor posibile ale riscurilor (ex. consecine fizice, consecine funcionale, consecine financiare etc). Metodologia de management al riscului Riskit75 consider c scopul procesului de identificare a riscurilor este acela de a identifica potenialele ameninri la adresa proiectului i a susintorilor acestuia. Scopul procesului de identificare a riscurilor este acele de a produce o list comprehensiv a tuturor riscurilor rezonabile ce amenin proiectul. Tehnicile ce se folosesc la acest nivel n vederea facilitrii identificrii elementelor efective ce poart o doz de risc la adresa proiectului sunt brainstorming-ul, listele de verificri, simulrile, testele. Robert T. Futrell propune identificarea riscurilor prin analiza surselor de risc.76 Se pleac astfel, prin realizarea de sesiuni de brainstorming att cu echipa, ct i cu clienii, pentru a
74 75
Anastasie, B., Managementul Riscului, suport curs, Facultatea de Economie i Administrarea Afacerilor, Iai http://www.rdware.com/Riskit/ 76 Futrell, R,T., .a., opcit., p.598
59
dezvolta o list a riscurilor din categoria known unknowns (vezi prezentarea claselor generale generatoare de riscuri dup Robert T. Futrell, n seciunea clasificarea riscurilor). Se folosesc de asemenea: - listele de verificare rezultate din proiecte anterioare; - se examineaz toate prezumiile din cadrul proiectului actual; - se analizeaz structura descompunerii pe lucrri (WBS) din planul de management al proiectului; Iat un grafic menit s prezinte sursele de risc:
Fig. 8 Sursele de risc
Obs. -
Graficul exprim faptul c exist trei zone de risc de baz susinere, tehnic i pragmatism ce genereaz riscuri de cost i planificare calendaristic - Costul i planificarea sunt riscuri intrinseci - Costul i planificarea nu sunt doar rezultat al celorlalte surse de risc ci au i impact reciproc - Riscurile de cost pot fi gsite i n erorile de estimare a diferitelor categorii de costuri (administrative, generale etc) - Planificarea adaug risc prin numrul de drumuri critice, prin gradul de concuren al activitilor din proiect etc n vederea identificrii riscurilor din clasa Unknown Unknowns, se demareaz un proces de reprezentare a acestora n clase i tipuri. Pe baz de scop, calitate, program calendaristic i costuri, precum i pe departamente de afaceri, tehnologie, mediu, se trece apoi la o grupare a riscurilor. Prin aceast mapare i categorisire a riscurilor deja identificate, echipa de proiect poate schia zonele unde mai pot exista riscuri dar nu au fost nc identificate. Mai jos este prezentat figura grafic a unei astfel de metode:
60
Fig. 9 Zone cu potenial de risc
Riscul poate fi identificat folosind diferite metode. Utilizarea sau menionarea lor, depind de orientarea profesional a persoanei care abordeaz domeniul. n lucrarea Management de la teorie la practic, capitolul referitor la managementul riscului, autorii menioneaz77: 1. ntocmirea unor liste de control care cuprind surse poteniale de risc, cum ar fi: condiii de mediu, rezultatele ateptate, personalul, modificri ale obiectivelor, erorile i omisiunile de proiectare i execuie, estimrile costurilor i a termenelor de execuie etc.; 2. analiza documentelor disponibile n arhiva firmei, pentru identificarea problemelor care au aprut n situaii similare celor curente; 3. utilizarea experienei personalului direct productiv (efi de secii i de echipe) prin invitarea acestora la o edin formala de identificare a riscurilor. De multe ori oamenii de pe teren sunt contieni de riscuri i probleme pe care cei din birouri nu le sesizeaz. O comunicare eficient teren - birouri este una dintre cele mai bune surse de identificare i diminuare a riscurilor; 4. identificarea riscurilor impuse din exterior (prin legislaie, schimbri n economie, tehnologie, relaii cu sindicatele) prin desemnarea unei persoane care s participe la ntrunirile asociaiilor profesionale, la conferine i care s parcurg publicaiile de specialitate. Dup cum vom vedea n urmtoarele seciuni ale lucrrii, faza de analiz a riscului ia n considerare riscurile identificate la acest nivel i realizeaz o cuantificare aprofundat a acestora, pe baza unui proces de evaluare. Project Management Institute propune metoda de identificare a riscurilor prin analize cauz-efect (ce se poate ntmpla i care vor fi rezultatele) sau prin analize efect-cauz (ce rezultate ar trebui s fie evitate sau ncurajate i cum e posibil ca aceste rezultate s apar). Drumul care trebuie s se parcurg n acest sens este: INPUTS (intrri) tehnici i mijloace OUTPUTS (ieiri, rezultate) A. Vorbind despre intrri se au n vedere:
77
Cornescu, V., Marinescu, P. Curteanu, D., Toma, S. Management - de la teorie la practic, cap. Managementul riscului, la http://www.unibuc.ro/eBooks/StiinteADM/cornescu/index.htm, accesat n 01.10.2006
61
descrierea produsului / sistemului: natura produsului / sistemului ce se urmrete a fi implementat prin proiect are o nsemntate mare asupra activitii de identificare a riscurilor. Sistemele ce implic tehnologii cunoscute vor avea o rat a apariiei riscurilor mai sczut fa de sistemele ce aduc inovaii sau chiar invenii. De cele mai multe ori riscurile asociate produsului sunt legate de costuri sau planificare calendaristic. alte rezultate planificate - exemple din diverse medii: o structura descompunerii lucrrilor (WBS work breakdown structure): abordrile netradiionale de detaliere ale bunurilor de livrat pot oferi oportuniti ce nu erau vizibile iniial; o estimarea costurilor i a duratei: estimrile agresive sau estimrile realizate fr informaii suficiente pot genera riscuri mai mari; o planificarea personalului: identificarea membrilor echipei ce au competene unice i a cror schimbare ar fi greu de fcut sau a cror prezen e imperios necesar datorit anumitor caliti de care acetia dispun; o planul de management al achiziiilor: condiii ale pieei, precum economia local
mai lene, pot oferi oportuniti de reducere a costurilor contractelor. - informaii istorice: informaiile ce provin din experiena anterioar, din timpul executrilor a altor proiecte sau activiti similare, pot fi surs bun de identificare a riscurilor poteniale. Sursele acestor informaii ar putea fi: o fiiere ale proiectului o baze de date comerciale o cunotinele echipei de proiect B. Tehnici i mijloace de identificare a riscurilor Orice manager de risc trebuie s dezvolte un anume tip de procedur formal pentru detectarea riscurilor: - construirea unei liste de control (checklists) cu riscurile cu care se poate confrunta orice organizaie o se organizeaz de obicei dup sursa de risc o nu conin dect riscurile pure, cele speculative neputnd fi surprinse o nu conin riscurile specifice unei organizaii anume - diagrame a fluxurilor de date a organizaiei: ajut la o mai bun nelegerea a cauzelor i efectelor riscurilor - interviul: interviuri orientate ctre identificarea riscurilor adresate susintorilor (financiari) ai proiectului sau diferitelor persoane din interiorul organizaiei / experi din afara organizaiei - chestionarul: elaborarea sa are la baz lista de control - inspecia /auditul de risc - analiza diverselor documente din cadrul organizaiei (ex. documente financiar-contabile) - studiul statistic al daunelor anterioare C. Cnd de referim la analiza ieirilor, se iau n calcul: 62
sursele de risc: reprezint categorii de evenimente generatoare de risc ce pot afecta proiectul (ex. aciuni ale susintorilor proiectului, estimri neveridice, diverse rsturnri de situaii etc); - evenimente potenial riscante: se au n vedere n acest caz cauzele naturale sau dependena de un anumit membru al echipei a crei plecare afecteaz ntreaga desfurare a activitilor; - simptome ale riscului: reprezint manifestri indirecte ale evenimentelor potenial riscante din prezent; o ex. moralul sczut al membrilor echipei poate fi un semn al eecului n atingerea bugetului sau a calendarului propus; - intrri ale altor procese: prin procesul de identificare a riscurilor se pot identifica i nevoi ale viitoarelor activiti din arii diferite. Procesul de management al riscului n abordare profesorului Jean-Paul Louisot se prezenta astfel78: 1. Diagnosticarea expunerii 2.1 Investigarea tehnicilor de management al riscului 2. Tratamentul 2.2 Pregtirea i aprobarea programului 2.3 Implementarea programului de management al riscului 3. Auditarea rezultatelor procesului de management al riscului i adoptarea aciunilor corective
Fig. 10 Procesul de management al riscurilor
Prima faz a acestui proces, diagnosticarea expunerii, cuprinde etapele de identificare i analiz a riscurilor. Identificarea expunerii la risc reprezint partea cea mai vital din procesul de management al riscurilor. Odat recunoscut o situaie de expunere, incertitudinea este redus la o problem cunoscut, care va duce n cele din urm la gsirea unei soluii. Expunerile ascunse este din totdeauna mult mai amenintoare, deoarece n cazul producerilor acestora, nu exist un plan de a le face fa, nu exist la acel moment o tehnic de management al riscului care s le reduc efectul sau s le finaneze. Personalul de management al riscurilor pot utiliza o serie de instrumente n timpul procesului de investigare. E de asemeni foarte important ca aceste instrumente s se foloseasc pe baza unor metode, deoarece altfel se va nregistra un nou eec. O astfel de metod este i centrul de risc, metod ce va fii prezentat mai jos, dup o listare a instrumentelor de identificare a riscurilor.
78
Louisot, J.P., opcit.
63
Identificarea expunerii la risc solicit o bun cunoatere i nelegere a organizaiei (pentru identificarea pericolelor interne) i a mediului din care face parte (pentru identificarea pericolelor externe). Termenul de mediu extern este aici neles nu doar ca partenerii de afaceri ai organizaiei, ci are n vedere i componentele legale, culturale, sociale. Astfel, instrumente i tehnici de identificare a riscurilor sunt instrumente ce descriu i analizeaz organizaia i mediul in care face parte: A. nregistrri financiare i contabile - reprezint cheia prin care se neleg caracteristicile principale ale organizaiei - se au n vedere documentele: o bilanul furnizeaz o prim abordare a valorilor i bunurilor fizice a organizaiei furnizeaz o prim impresie asupra situaiei curente a organizaiei, situaia capitalului o declaraia de venit furnizeaz informaii despre profitabilitatea organizaiei, centrele principale de profit, contribuia acestor centre la profit (factor cheie n determinarea pierderilor de venit) o declaraia surselor i modului de folosin a fondurilor identific fluxul principal a fondurilor pe termen lung i concordana dintre surse i folosin o raportul anual conine alte informaii de valoare, precum rapoarte de audit, informaii despre nchirierile de echipamente, statutul resurselor umane i a contractelor B. Documente de marketing, de achiziii i altele - documentele predate ctre clieni ajut la nelegerea garaniei produselor - manualele procedurale pot ilustra poteniale defecte n procesele administrative, ducnd astfel la probleme de calitate etc - citirea panourilor cu opinia personalului poate atrage atenia asupra unor ntrebri legate de sigurana muncii sau probleme morale ridicate de ctre acetia - e necesar a se acorda atenie prevederilor contractuale C. Producia i diagrama fluxurilor identific fluxurile bunurilor i serviciilor n cadrul organizaiei i cele cu principalii parteneri de afaceri - ajut la identificarea punctelor slabe n logistic i n reeaua de distribuie D. Chestionare standard - sunt denumite i liste de verificri - ajut la formarea rapid a unei priviri de ansamblu asupra organizaiei - limitare: 64
o fiind standard, nu sunt bine adaptate la specificul organizaiei o dac ncearc s fie cat mai cuprinztoare n identificarea scopurilor, resurselor i pericolelor, devin prea lungi i dificile o de cele mai multe ori se refer la riscurile asigurabile (deoarece de cele mai multe ori de aceste chestionare se ocup companiile de asigurri) - astfel c uneori nu toate problemele organizaiei sunt scoase la suprafa E. Date istorice i studii de caz - ncercarea de a stabili modul de derulare a viitorului plecnd de la experiena acumulat n trecut a fost primul pas ctre managementul modern - folosirea datelor istorice (experiene despre pierderile din trecut) reprezint prima surs de stabilire a previziunilor - limitri n folosirea probabilitilor: o nevoia de un numr mare de date o ipoteze fundamentale pentru un mediu stabil (probabilitate) sau o evoluia stabil a mediului (analiza tendinelor) datele istorice sunt utile n cadrul unei organizaii mari i cu o frecven ridicat a pierderilor, unde se pot aplica astfel reguli ale probabilitilor o nu sunt utile n cazul severitilor mari sau n cazul frecvenelor reduse ale pierderilor o n aceste cazuri este posibil a se nva din experiena altora, prin analiza datelor statistice colectate de ctre companiile de asigurare - este de asemenea important a se analiza lanul de evenimente care conduce la pierderi sau la poteniale pierderi, folosindu-se tehnici precum analiza ramificrii defectelor F. Experi interni i externi - managerii de risc sunt specialiti ce au cunotine din toate domeniile de activitate n care este implicat organizaia - unde nu se poate, managerul de risc trebuie s se bazeze pe opiniile unor experi: o din domeniul financiar: bancheri sau consultani financiari o din domeniul asigurrilor: brokeri, ageni de asigurare, reasiguratori o din domeniul juridic: avocai o ocazional: psihologi, sociologi pentru a nelege comportamente umane specifice sau reacii la stres G. Inspecii n diverse zone ale instituiei contactul cu managerii operaionali managerii de risc pot descoperii astfel expuneri specifice care ar putea trece neobservate
Obs. Exist i o metod de identificate a riscurilor plecnd de la balana contabil simplificat - diagnosticarea pleac de la elementele constitutive ale balanei contabile simplificate - este considerat de adepii metodelor moderne de analiz, ca fiind o metod static, bazat pe analiza hrtiilor 65
poate fii mbuntit prin studierea declaraiilor de venit
III.2.2 Metoda centrelor de risc

Aceast metod este construit dup un model ce vizualizeaz fiecare entitate ca o combinaie dinamic a cinci mari categorii de resurse implicate n atingerea unui scop sau a unui set de scopuri. Cele cinci categorii de resurse sunt urmtoarele: - H (human) Umane: atenie ns c nu toate resursele umane intr n categoria angajai - T (technical) Tehnice: e vorba de echipamentele aflate sub controlul organizaiei, fie ele aflate n proprietate, mprumutate sau aflate n custodie - I (information) Informaionale: toate fluxurile informaionale din cadrul organizaiei, precum i cele schimbate cu partenerii socio-economici, fie ele depozitate sau procesate, computerizate sau nu - M (markets) Piaa comercial: toate bunurile i serviciile tranzacionate cu partenerii, n ambele sensuri n sus (furnizori i sub-contractori) i n jos (clieni) o dar i tranzaciile cu administraiile - F (finacial) Financiar: toate fluxurile financiare din organizaie. Metoda centrelor de risc va utiliza n continuare managementul dup participarea la obiective, pentru a diviza entitatea sau sistemul n pri mai mici. - Obiectivul durabil al managerului este divizat n attea obiective critice cte persoane i raporteaz. o Ideea e c dac unul din aceste obiective critice nu este atins, nu este atins nici obiectivul managerului. La fel, obiectivul managerului este unul din obiectivele critice ale superiorului su (deci obiectivele critice ale unei persoane reprezint obiective definitive pentru subordonai). Se descompune astfel pn la cel mai jos nivel posibil. Nivelul cel mai de jos reprezint centrele de risc. Ct de jos se merge? o Trebuie ca fiecare centru de risc s fie o entitate vie care s prezinte toate clasele de resurse prezentate mai sus, precum i un obiectiv clar definit, necesar obiectivelor totale ale firmei.
o Aceast entitate este comparabil cu o micro-firm n care managerul reuete s cuprind frontierele domeniul su, avnd o viziune clar a expunerilor la risc. - Este o metod utilizat frecvent n fizic i matematic: o problem care este mare i nerezolvabil la acest nivel, este descompus n probleme mici, rezolvabile. Pentru fiecare centru de risc identificat se vor utiliza instrumentele i tehnicile de identificare a riscurilor prezentate mai sus pentru a realiza o diagnosticare a expunerii. La acest nivel, un rol important n succesul proiectului l are intervievarea fiecrui manager al centrelor de risc. 66
Acest interviu trebuie s surprind urmtoarele aspecte: ntrebarea 1 Scopuri i Obiective - Care sunt scopurile, obiectivele, misiunea serviciului sau departamentului? ntrebarea 2 Resurse - Date despre organizaie. o Care este personalul tu, spaiul birourilor, echipamentele i instrumentele de lucru? o De unde vin produsele tale, materiile prime, informaiile? o Unde trimii produsele, informaiile? o Ce tip de comunicare foloseti? ntrebarea 3 Scenarii - Presupunem c ntreaga locaie arde la noapte, fr a rnii nici un angajat. o Cum administrezi startul produciei mine diminea cnd angajaii se prezint la munc? Presupunem c mine diminea nici un angajat nu se prezint la munc (ex. grev), instituia fiind intact. o Cum administrezi startul produciei mine diminea? Obs. Scopul acestor ntrebri este identificarea resurselor vitale i a celor adiionale pentru organizaie, atunci cnd problema este supravieuirea companiei
ntrebarea 4 Cum propui s elimini aceste expuneri? - Acum o nainte de eveniment: prevenie / reducere - Mai trziu o Dup eveniment: supravieuirea planului de contingen o Management al crizei OBS. Explicaii: - ntrebrile 1 i 2 au ca scop identificarea gradului de nelegere al managerului referitor la ateptrile superiorilor, la poziia lui n organizaie i fa de resursele pe care le folosete n atingerea misiunii. - ntrebrile 3 i 4 ncearc s dezvolte o planificare de contingen specific centrului. ntrebarea 3 pune managerul ntr-o situaie imposibil, un dezastru din care el trebuie s i revin. Se foreaz astfel ieirea la suprafa a unor soluii creative care vor fii trecute n manualul de management al crizei. ntrebarea 4 are n vedere proiectarea unei armonii noi ntre obiective i resursele ce au fost temporar distruse de scenariul nefericit. Ideea central n acest caz nu este pericolul, ci lipsa resurselor. Asigurarea i clasicul control al riscului nu sunt eseniale.
67
Urmtorul pas presupune analiza dificultilor n implementarea diferitelor msuri de control a riscurilor, dificulti pe care nu le tie nimeni mai bine dect managerul centrului de risc. - managerul trebuie s determine nivelul de toleran pentru incertitudine - managerul trebuie s determine nivelul de neans acceptabil pentru constituentele sale - cu o bun mapare a riscurilor, managerul poate fii in stare s realoce resursele nainte de producerea unei experiene traumatice. o Poate evita astfel consecinele catastrofale reducerea pierderilor o Poate furniza planurile de contingen planurile de supravieuire Aceast abordare doar la nivel de centru de risc nu este suficient. Este esenial a se avea o privire larg, o abordare a sistemului care s includ relaiile dintre toate centrele de risc, interaciunile dintre acestea i dintre acestea i mediu din care fac parte. Procesul acesta este ierarhic, de jos n sus. Cnd se ajunge la limita autonomiei n cadrul unui centru de risc, mingea este transmis la urmtorul nivel al managementului, pn la CEO sau consiliul executiv. Managerul de risc trebuie s uureze acest proces i este nsrcinat cu prezentarea imaginii finale ctre consiliu, prezentnd i opiunile ctre decizie. OBS. Procesul nu trebuie s fie complet exhaustiv. Este necesar a se efectua periodic o serie de revizuiri, iar atunci cnd este posibil aceste revizuiri s fie efectuate de experi externi (consultani, audit intern). Am vzut n modelul propus de Constantin Opran c identificarea riscurilor este abordat ca etap n cadrul procesului de evaluare a riscurilor. Referindu-se la identificarea factorilor de risc specifici ce se regsesc n structura proiectului actual, plecnd de la experiena acumulat n cadrul unor proiecte precedente, autorul vorbete de elaborarea profilului de risc. Exist dou posibile strategii de a nchide procesul de identificare a riscurilor. 1. Abordarea recomandat este aceea de a nchide procesul atunci cnd nu sunt identificate noi riscuri dei sunt folosite tehnici alternative de identificare. o Se sugereaz astfel c nu mai exist riscuri rezonabile de luat n calcul. o Este totui o strategie costisitoare 2. O alt tehnic de abordare este aceea a timpului prestabilit alocat procesului de identificare a riscurilor o Justificare: riscurile importante sunt identificate nc de la nceput, celelalte riscuri eventuale rmase nu sunt critice. S-a vorbit mai nainte de faptul c orice metodologie adoptat n vederea analizei riscurilor i ameninrilor la adresa unui sistem informaional va include printre altele i urmtoarea activitate: definirea sistemului informaional pe cel puin trei domenii: componenta uman, componenta fizic i componenta informatic.
68
Vom ncerca n cele ce urmeaz s prezentm cum pot aceste componente afecta cursul implementrii sau administrrii unui sistem informaional.
69
Cap.IV Riscurile asociate componentei umane

Obiective Prezentarea particularitilor riscurilor generate de factorul uman Prezentarea situaiilor n care factorul uman reprezint sursa principal de atac asupra sistemului Prezentarea riscurilor care pot s apar pe motiv de dependen de personal
Atunci cnd vorbim de riscul pe care componenta uman l prezint, analiza trebuie fcut pe dou planuri: 1. riscul generat de atacurile la sistemul informaional (ex. atacuri din exteriorul companiei, atacuri din interiorul companiei personal ru intenionat, personal nepregtit etc) 2. riscul generat de statutul de poziie cheie a unei resurse umane n cadrul procesului de implementare / administrare a sistemului informaional (boala, decesul, prsirea echipei etc)
IV.1 Riscul generat de atacurile la sistemul informaional

nainte de a ncepe analiza acestui subiect vom cita cteva articole din legea privind prevenirea i combaterea criminalitii informatice79 pentru a evidenia clar ce se nelege din prisma sistemul juridic din Romnia prin sistem informatic sau atac la sistemul informatic. Art.2 - (1) n prezenta lege, termenii i expresiile de mai jos au urmtorul neles: a) prin sistem informatic se nelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate n relaie funcional, dintre care unul sau mai multe asigur prelucrarea automat a datelor, cu ajutorul unui program informatic; b) prin prelucrare automat a datelor se nelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic; c) prin program informatic se nelege un ansamblu de instruciuni care pot fi executate de un sistem informatic n vederea obinerii unui rezultat determinat; d) prin date informatice se nelege orice reprezentare a unor fapte, informaii sau concepte ntr-o form care poate fi prelucrat printr-un sistem informatic. n aceast categorie se include i orice program informatic care poate determina realizarea unei funcii de ctre un sistem informatic ; [] f) prin date referitoare la traficul informaional se nelege orice date informatice referitoare la o comunicare realizat printr-un sistem informatic i produse de acesta, care reprezint o parte din lanul de comunicare, indicnd originea, destinaia, ruta, ora, data,
79
Legea 161 din 19 aprilie 2003 privind msurile mpotriva corupiei, Titlul III -prevenirea i combaterea criminalitii informatice
70
mrimea, volumul i durata comunicrii, precum i tipul serviciului utilizat pentru comunicare; g) prin date referitoare la utilizatori se nelege orice informaie care poate conduce la identificarea unui utilizator, incluznd tipul de comunicaie i serviciul folosit, adresa potal, adresa geografic, numere de telefon sau alte numere de acces i modalitatea de plat a serviciului respectiv, precum i orice alte date care pot conduce la identificarea utilizatorului; h) prin msuri de securitate se nelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul crora accesul la un sistem informatic este restricionat sau interzis pentru anumite categorii de utilizatori; [...] (2) n sensul prezentei legi, acioneaz fr drept persoana care nu este autorizat, n temeiul legii sau al unui contract, depete limitele autorizrii ori nu are permisiunea, din partea persoanei abilitate, de a folosi, administra sau controla un sistem informatic ori de a desfura cercetri tiinifice sau de a efectua orice alt operaiune ntr-un sistem informatic. n aceeai lege pot fi gsite i informaii cu privire la modurile de sancionare a infraciunilor contra confidenialitii i integritii datelor i sistemelor informatice, a infraciunilor informatice, a pornografiei infantil prin sisteme informatice, sau a contraveniilor. Doar cu titlu de exemplu: Art.9 (1) Accesul, fr drept, la un sistem informatic constituie infraciune i se pedepsete cu nchisoare de la 6 luni la 5 ani. (2) Dac fapta prevzut n alin.(1) este svrit prin nclcarea msurilor de securitate, pedeapsa este nchisoarea de la 3 la 12 ani. Art.10 (1) Interceptarea, fr drept, a unei transmisii de date informatice care nu este public i care este destinat unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaz n cadrul unui sistem informatic constituie infraciune i se pedepsete cu nchisoare de la unu la 7 ani. Art.11 (1) Fapta de a modifica, terge sau deteriora date informatice ori de a restriciona accesul la aceste date, fr drept, constituie infraciune i se pedepsete cu nchisoare de la unu la 7 ani. (2) Transferul neautorizat de date dintr-un sistem informatic se pedepsete cu nchisoare de la 3 la 12 ani. [] Referindu-se la atacurile umane asupra sistemelor informaionale, Eugene Spafford, expert n securitatea Internetului i profesor la Universitatea Purdue, afirm80: ...percepia publicului asupra persoanelor ce acceseaz fraudulos un sistem informaional este, din pcate ,una prin care acestea sunt considerate fie genii, fie copii ndrumai greit i care se dau n specatcol. Dar acest fapt este departe de adevr. Aceste persoane sunt pur i simplu nite infractori.
80
A Crime By Any Other Name, la http://www.theta.com, accesat n 08.03.2004
71
Atunci cnd se vorbete despre criminalitate informatic, se amintete i de faptul c aceast autostrad a informaiei are i partea sa de nelegiuii81. i chiar dac prin criminalitate informaional se nelege cel mai des aciunile fr efecte negative grave ale unor tineri colari hackeri, n realitate spaiul virtual este plin de activiti ilegale, de la infraciuni informatice la prostituie, de la pornografie cu copii la spionaj industrial. Dar nu totdeauna atacul la un sistem informaional se produce prin intermediul spaiului virtual. Exemplificm n acest sens cazul renumitului hacker Kevin Mitnick (cunoscut sub pseudonimul de Condorul), o autoritate n domeniu, autor al unor atacuri asupra companiilor Sun Microsystems, Motorola, Nokia, Nec, Fujitsu i Novell (se presupune c a avut de-a face i cu Pentagon-ul), surs de inspiraie chiar i pentru unii regizori de film (ex. Takedown- tradus pe piaa romnesc drept Hacker II i Three Days of the Condor). ncepndu-i cariera la nceputul anilor 80 ca phone-phreak (atac asupra serviciilor de telefonie prin spargerea codurilor de acces), trecnd apoi spre hacking prin ptrunderea n sistemul informatic al liceului Monroe, acuzat n 1981 (i lsat doar sub probaiune datorit vrstei sale de 17 ani) pentru ptrunderea n sistemul informatic al companiei Pacific Bell i Microport System, condamnat la sfritul anilor 80 pentru spargerea sistemului companiei de telefonie MCI (i accesarea de la distan a codurilor) precum i pentru pagubele de milioane de dolari cauzate companiei Digital Equipment Corporation (fapte pentru care a fcut doar un an de nchisoare), dar datorit obiceiurilor sale de care nu s-a debalasat, prins n cele din urm i incrimnat n 15 februarie 1995, de ctre FBI ajutai la vremea respectiv n capturarea sa de ctre (!) un alt mare hacker al timpurilor, trecut ns de cealalt parte a baricadei,Tsutomu Shimomura, Kevin Mitnick i-a dus aproape toate aceste acte criminale la bun sfrit profitnd de naivitatea i proasta pregtire a personalului companiilor mai sus menionate, fa de care posta drept o cu totul alt persoan, de regul un tehnician de la ntreinerea echipamentelor tehnice sau chiar om al legii, obinnd astfel diverse coduri de acces n reea sau numere de telefon confideniale. Dar Kevin Mitnick82 (care la momentul de fa este consultant n probleme de securitate informaional) nu este singurul care a reuit s ptrund n reelele unor mari companii prin astfel de metode. La fel ca el sunt i alii, printre care Kevin Poulsen (zis i Dark Dante), de asemenea inspiraie pentru unii regizori de film (War Games, 1983), care datorit taletului su a fost angajat n industria de aprare n calitate de consultant pe probleme de secu ritate (asta dup ce a reuit s sparg sistemele de securitate unor instituii militare i de guvernmnt); dar dac pe timp de zi era consultantul loial locului de munc, pe timp de noapte aciona mpotriva sistemului, furnd diverse informaii militare clasificate sau dezvluind diverse informaii clasificate ale FBI. Mai amintim: Gene Edward Howland (Poo Bear) i Daniel Glynn Van Deusen (Wild One) sau Justin Tanner Peterson (Agent Steal).
81 82
Ibidem Obs. informaii despre Kevin Mitnick printre care i Actul de Incriminare pot fi gsite pe site -ul http://www.kevinmitnick.com
72
Continund n acelai spirit, iat un alt mod prin care personalul nepregtit poate s-i atace involuntar propriul sistem informaional i implicit mersul afacerii companiei pentru care lucreaz, mod prezentat (cu titlu de exemplu) n unul din articolele sale din seria Thought for the day de ctre Paul Williams83: - o cafenea care punea la dispoziia clienilor si (n principal fiind vorba de personalul marilor companii din vecintate) posibilitatea de a nu-i ntrerupe activitatea pe timpul pauzelor de cafea, prin faptul c se instalase o reea wireless de conectare la Internet. Astfel, se putea veni la cafenea cu laptop-ul de la servici i n timpul savurrii cafelei se puteau continua discuiile de afaceri, trimiterea de e-mailuri confideniale, download de documente din reeaua companiei sau alte operaiuni care ar fi necesitat un grad ridicat de securitate. Cu ocazia unei cafele servite n acea cafenea, pe lng aspectele prezentate mai sus, Paul Williams s-a mai ntlnit cu nc o situaie, de-a dreptul stupid: unul din clienii cafenelei la rugat s aib grij de laptop-ul su n timp ce el ar fi mers s i ia o nou cafea, n condiiile n care cei doi nu se cunoteau. Se pare c acea persoan era mult mai ngrijorat de a nu i se fura laptop-ul dect de protejarea datelor importante pe care sigur le avea stocate. Exemplele continu... Furtul de identitate este o alt problem din ce n ce mai mare. Conform Federal Trade Commission a U.S.A. furtul de identitate a cauzat n anul 2002 pierderi n afaceri de aproximativ 50 miliarde USD iar clienilor de 5 miliarde USD. Atunci cnd singuri dm pe mna persoanelor neavizate informaii secrete despre propria persoan...actul e pur i simplu fr de comentarii. Problema e atunci cnd cei nsrcinai cu administrarea datelor noastre cu caracter personal fac astfel de gesturi, voluntar sau involuntar. Astfel, n februarie 2005, Chioce Point, o agenie de colectare a datelor din U.S.A. a trimis 145.000 de ntiinri anunndu-i destinatarii c n mod eronat au furnizat ctre persoane necorespunztoare, detalii personale ale acestora, inclusiv numrul de asigurri sociale. Pe 25 februarie, Bank of America anuna c a pierdut nregistrrile coninnd informaii cu caracter personal despre 1 milion de angajai ai guvernului, inclusiv a unor senatori. Iar lecia e evident: nici o politic de securitate sau de management al riscului informaional nu va compensa niciodat stupiditatea uman.84 Inventivitatea omului este greu de anticipat, deci pe zi ce trece vom asista la dezvoltarea de noi metode de atac al sistemului informaional. Unindu-i forele, FBI i National White Collar Crime Center au format Internet Fraud Complaint Center (IFCC)85 avnd ca obiect de activitate tocmai identificarea diverselor metode de atac asupra sistemelor informatice i prevenirea populaiei cu privire la aceste metode. Acelai site are deschis i un canal de raportare a incidentelor ntlnite de diverse victime. Metodele de fraud prezentate aici sunt din cele mai diverse: fraude prin intermediul licitaiilor electronice, e-shopping asociat cu nelivrarea bunurilor cumprate, fraude asupra
83
Williams P., Thought for the day-the IT dangers of coffe, la http://www.computerweekly.com, accesat n 06.06.2004 84 Ibidem 85 http://www.ifccfbi.gov
73
cardurilor de credit, fraude investiionale, fraude guvernamentale, fraude de comunicaie, scrisoarea nigerian etc, dar i avertisment mpotriva romnilor ( Fraud Tips/ 11403RomanianWarning.pdf), fiind inclui n categoria fraudelor de licitaii electronice sau a sistemelor de work-from-home. Tot factorul uman, personalul propriu a ocupat primul loc la categoria cea mai mare ameninare asupra securitii reelei n studiul realizat de ctre Computer Business Magazine, Cyberguard i Infosecurity.86 Astfel, la ntrebarea Care sunt cele mai mari ameninri la este supus reeaua dumneavoastr de calculatoare? aproximativ 35% din cei intervievai au rspuns personalul intern. (30% au identificat c problema o reprezint viruii). Subiectul este i va rmne deschis mult vreme, toate informaiile prezentate mai sus fiind doar cteva exemple care vor s evidenieze faptul c riscul la care este expus un sistem informaional nu trebuie neaprat s vin pe cale virtual, ci i pe ci clasice, beneficiindu-se de poziia de salariat al unei companii / instituii militare / etc sau bazndu-se pe naivitatea unor angajai naivi, nepregtii pentru aceast lupt. Tot la aceast categorie putem vorbi i de un risc legat de comportamentul managerilor i al personalului n faa modificrilor aduse de un nou sistem informaional. resursele informaionale pot avea de suferit din cauza unor manageri care administreaz prost sistemul : managerii sper c noul sistem va rezolva problemele fundamentale ale proceselor economice; nu se acord suficient timp pentru analiza planificrii procesului de implementare; uneori, conducerea ignor educarea personalului n spiritul noii resurse informaionale; pentru a asigura succesul unei implementri, top managerii au fost forai s preia controlul direct al procesului de implementare. sistemul nou implementat va avea succes doar dac salariaii companiei i vor schimba modul de lucru, n sensul utilizrii ct mai eficiente a aplicaiei: oamenilor nu le place schimbarea, iar un sistem informaional modific modul n care ei i ndeplinesc sarcinile; odat cu implementarea unui nou sistem informaional, cresc responsabilitile angajailor; dac personalul nu accept noul sistem, orict de bun ar fi soluia oferit, s-ar putea ca firma s sufere din cauza nlocuirii unui sistem informaional vechi, cu care toi erau familiarizai, cu unul nou, pe care nimeni nu tie s-l utilizeze eficient.
86
Viral Infection, Computer Business Magazine review, june 2004, p.55
74
IV.2 Riscul generat de statutul de poziie cheie a unei resurse umane n cadrul procesului de implementare / administrare a proiectului
E vorba aici de riscurile care i amenin pe angajaii unei companii, lucru care e oarecum neglijat de ctre unii manageri / manageri de proiect / manageri de risc, sub acoperirea c problemele angajailor nu ar trebui s fac subiectul preocuprilor companiei. Dar i aceast problem este una deloc de neglijat, n realitate decesul sau reducerea capacitii de munc a unui angajat cheie n companie sau n proiect putnd duce la reducerea productivitii, diverse consecine legale, poate chiar eecul implementrii proiectului sau imposibilitatea de a continua activitatea. i principalele surse de pericol n ceea ce privete resursa uman din acest punct de vedere sunt: 1. moartea; 2. mbolnvirea; 3. prsirea locului de munc / echipei de proiect; Toate acestea, dar i alte aspecte precum omajul involuntar sau mbtrnirea i pensionarea sunt probleme crora companiile respectabile le acord o atenie corespunztoare. Astfel, n ceea ce privete rata mortalitii, se fac estimri cu privire la frecvena probabil a deceselor angajailor instituiei. Referitor la mbolnvire, se folosesc i aici diverse date statistice87: 1. date privitoare la numrul mediu de zile de incapacitate de munc; 2. date privitoare la frecvena accidentelor de munc; 3. date privitoare la frecvena apelrii la serviciile medicale. Aceste date statistice sunt publicate periodic de ctre autoritile din domeniu, ns nu trebuie neglijat c att n cazul decesului ct i n cazul problemelor de sntate, este vorba de a face fa unor riscuri complexe i total imprevizibile. Din acest motiv e imperios necesar a se pstra o concordan ntre complexitatea sistemului de administrat, dependena de specialiti i riscul asociat documentaiei sistemului. Astfel, dac e vorba de un sistem complex i dificil de administrat dependena de specialiti este de asemenea mare. n acest caz dac e vorba de un singur specialist ce administreaz sistemul atunci este evident c riscul este foarte mare. Cu ct numrul persoanelor ce au cunotine de administrarea respectivului sistem crete, riscul asociat scade. La fel, dac e v orba de un sistem complex ce nu dispune de o documentaie adecvat, riscul este ridicat. Prin combinarea acestor tipuri de riscuri se va obine o matrice a riscului asociat dependenei de specialiti88:
87 88
Anastasie, B., opcit. cap.6, p.2 Munteanu, A., Auditul sistemelor informaionale contabile, Polirom, Iai, 2001, p.56
75
Tabel 6 Matricea riscului asociat dependenei de specialiti vs. nivelul documentaiei
Dependena de Specialiti Mare Mediu Sczut Mare Mare Mare Mediu
Nivelul Documentaiei Mediu Mare Mediu Sczut
Sczut Mediu Sczut Sczut
Tot de dependena de specialiti se leag i evaluarea riscului tehnologic. Acest risc e identificat pe baza matricei de control ce combin dependena de specialiti cu tehnologia n sine89.
Tabel 7 Matricea riscului asociat dependenei de specialiti vs. risc tehnologic
Riscul Asociat Tehnologiei Mare Mediu Sczut
Dependena de Specialiti Mare Mediu Sczut Mare Mare Mediu Mare Mediu Sczut Mediu Sczut Sczut
Toate aceste aspecte se iau n seam i n cazul prsirii locului de munc / echipei de proiect de ctre un angajat. Iar aceast problem se pare ca este destul de acut n domeniul IT. Un studiu cercetnd satisfacia la locul de munca, condus de Mercer Human Resource Consulting, i care se bazeaz pe rspunsurile a 1200 de angajai din toate sectoarele industrial e, a evideniat c media schimbrilor de locuri de munca este 23%. Totui n industria IT procentajul a atins 31%. Au fost gsite mai multe motive care sunt cauza insatisfaciei legat de poziia ocupat 90. Acestea includ conducere slab n cadrul organizaiei, sau lipsa obiectivelor clare ale companiilor. Muli manageri din IT provin din domeniul tehnic. Nu dein cunotine generale legate de comunicare sau management. Asta poate conduce la probleme ntre conducere i personal. Cheia este nelegerea modului de gndire a angajailor. Nu trebuie ateptat retragerea angajailor. Prin sondaje i studii se poate crea un management care nelege angajaii. Oricum, diferena este c n acest caz se pot aplica diverse strategii de meninere a personalului cheie n interiorul companiei. Sunt aspecte de management de resurse umane (aspecte importante ale managementului de risc informaional pe component uman, ca i politicile de selecionare i pregtire a personalului) precum i de management al calitii, aspecte din care menionm: 1. politici de salarizare (salariu, bonusuri, comisioane, alocaii) funcie de nivelul de responsabilitate al locului de munc, performana n munc a persoanei, piaa extern a muncii);
89 90
Munteanu, A., opcit., p.57 Angajaii n IT predispui la schimbri, http://www.smartnews.ro , 3.02.2005, citnd www.bignewsnetwork.com
76
2. politici de armonizare a condiiilor de salarizare (salarii egale pentru slujbe similare); 3. politici de instruire (training), nvare (learning) i cunoatere (knowledge)91; o training: mijloc de dobndire a cunotinelor; o learning: construirea la nivelul organizaiei a capacitii de a identifica i corecta acele procese care i restrng creterea i flexibilitatea; o knowledge: face referire la fundamentul culturii unei organizaii i reprezint sinteza pe termen lung a tuturor abilitilor intelectuale, a cunotinelor angajailor, dar i a inteligenei cptate pe parcursul derulrii proceselor interne i a exerciiului de pia. 4. politici de reorganizare a modului de desfurare a activitilor (de la modelul clasic la modelul de lucru pe proiecte); 5. politici de egalizare ntre personal i conducere statutul persoanei (...respectul vine din ceea ce ai n cap i nu din faptul c utilizezi un anumit grup social..., Ian Sloss-director de producie i de personal al firmei SP Tyres, proprietarul japonez al Dunlop Rubber Company, i un practician al modelului japonez de management al calitii, Kaisen); 6. stil deschis de management, comunicare liber de sus n jos, dar i de jos n sus, introducerea brainstorming-ului i a studiilor de grup pentru identificarea problemelor i nevoilor fiecrui membru al echipei;
91
Cojocaru, A., Oamenii i gestiunea resurselor umane, suport de curs, Universitatea Virtual de Afaceri, SNSPA, Facultatea de Comunicare i Relaii Publice David Oglvy, p.96
77
Cap.V Riscurile asociate componentei fizice

Obiective Cunoaterea i nelegerea conceptului de risc natural Prezentarea situaiilor n care este necesar s se analizeze riscurile fizice
Esenial n administrarea oricrei resurse informaionale, fie c vorbim despre securitatea unui computer personal sau consistena unei baze de date, fie c vorbim despre complexitatea unui sistem de tip Enterprise Resource Planning (ERP), e-Business sau mai noile sisteme de Guvernare Electronic (e-Government) i Democraie Electronic (e-Democracy) este partea de implementare a proiectului asistat de un ireproabil management al riscului. Iar n cazul administrrii riscurilor asociate componentei fizice partea de proiectare este vital. Acest aspect a fost important din totdeauna, dar poate nu att de mediatizat ca dup evenimentele de la 11 septembrie 2001. Dintre efectele economice imediate92: 1. la scurt timp au nceput s se nregistreze pierderi pe pieele financiare internaionale; 2. companiile aeriene din ntreaga lume au fost drastic afectate de o scdere dramatic a numrului de pasageri; 3. industria asigurrilor a nregistrat cea mai mare pagub din istorie; 4. industria comunicaiilor a suferit o brusc ntrerupere; 5. pierderi de documente i fiiere eseniale derulrii unor afaceri; 6. etc Efectul imediat al unui factor fizic care ar putea tulbura desfurarea normal a unui sistem informaional ar fi, n absena planurilor de recuperarea afacerii (business recovery), sau de continuitatea afacerilor (business continuity), ntreruperea activitii, iar riscul producerii acestui fenomen este unul complex i foarte greu de gestionat n industria IT&C. Pierderea total este de cele mai multe ori mult mai mare dect daunele materiale survenite, iar scderea veniturilor greu de calculat. Problemele ce apar sunt multiple iar rezolvarea lor const n nelegerea naturii acestor probleme i n pregtirea rspunsului la acestea, avnd n vedere informaiile limitate disponibile i dificultile inerente ce se vor ivi n analizarea pierderii produse de un astfel de incident. Alte efecte ale acestui fenomen cu implicaii directe n veniturile, costurile i performanele companiei: 1. venituri pierdute (directe, din pli compensatorii, investiii); 2. cheltuieli suplimentare (costuri de restaurare, plata orelor suplimentare, costuri de deplasare, risc de fraud crescut, rat mare a erorilor);
92
Industria asigurrilor grav afectat de loviturile teroriste, Revista Risc Consult, nr.3/2001, la http://www.riskmanagement.ro, accesat la 03.05.2004
78
3. scderea productivitii (suprasolicitarea angajailor, colectare ntrziat, pierderi de facturare, pierderi din discounturi); 4. penaliti (contractuale, legale); 5. reputaie afectat (clieni, furnizori, parteneri, bnci). Analizele statistice de profil arat c93: 1. 80% din companiile care au suferit un dezastru major au ieit din afaceri n urmtorii 5 ani. 2. 50% din companiile care au suferit un dezastru i nu au avut un astfel de plan au ieit din afaceri n urmtorii 2 ani. 3. 29% din companiile care au suferit un dezastru major i-au oprit operaiunile n 2 ani; 43 % nu le-au mai redeschis niciodat. Prezentm n continuare cteva tipuri de ameninri fizice / naturale, sub rezerva c mai pot fi i altele, dar i faptul c acestea pot avea forme de manifestare i rate de apariie specifice, n raport cu obiectul de activitate al companiei respective: - cutremure, inundaii, alunecri de teren, variaii brute de temperatur, incendii, explozii, fenomene astro-fizice, fenomene biologice. Din datele statistice94 nregistrate n ultimii 15 ani, mai multe furtuni catastrofale au afectat diverse regiuni ale Europei de Vest cauznd daune importante, n acelai timp, mai multor reele aparinnd unor companii de transport i distribuie a energiei electrice. n urma acestora s-au efectuat o serie de cercetri efectuate de companii independente de evaluare a riscurilor precum i de departamente specializate din cadrul companiilor internaionale de reasigurri care au scos n eviden o serie de particulariti ale acestui tip de risc i au generat noi forme de contracarare a pagubelor. ns cu toate eforturile de prevenire i contracarare a pagubelor, potenialul de risc al acestor factori rmne oricnd foarte ridicat, imprevizibil i aproape imposibil de cuantificat dinainte. Acest fapt justific necesitatea planurilor de asigurare a continuitii afacerii i de asigurare a recuperrii afacerii (business disaster recovery plan, business continuity plan). Dup IT Expert definiiile acestor concepte sunt95: Business Continuity (Continuitatea afacerii): Abilitatea de a menine disponibilitatea proceselor i informaiilor de afaceri n cadrul companiei. Disaster Recovery (Restaurarea dup dezastru): Restaurarea sistemului de calcul i de comunicaie dup un dezastru natural sau creat de om, ntr-un interval de timp definit. Cnd are nevoie o companie de un plan de asigurare a continuitii afacerii i recuperare n urma dezastrelor? Tot n opinia specialitilor de la IT Expert:
93
Strategii pentru continuitatea afacerii , IT Expert-soluii informatice, la http://www.it-expert.ro, accesat n 15.04.2004 94 Riscuri ale reelelor de transport i distribuie a energiei electrice, Revista Risc Consult, nr.2-3/2002, la http://www.riskmanagement.ro, accesat n 34.03.2003 95 Ibidem
79
1. clienii companiei se ateapt ca furnizarea de produse i/sau servicii s fie continu, indiferent de situaie - aceasta nseamn c personalul companiei trebuie s aib acces permanent att la datele curente ct i la istoricul unui client; 2. acionarii companiei se ateapt ca managementul companiei s pstreze sub control orice situaie de criz - aceasta nseamn ca managementul trebuie s aib acces la toate documentele companiei, incluznd i faxuri, note de serviciu, e-mail-uri, fiiere PC, date financiare sau bugetare, contracte de afaceri i multe altele; 3. furnizorii companiei ateapt o relaie de afaceri fr ntreruperi e necesar accesul permanent la facturile lor, ordinele de cumprare ale companiei, ofertele alternative de la ali furnizori i date de inventar; 4. un organ de control fiscal se ateapt ca o companie s-i respecte obligaiile fa de stat, indiferent de circumstane, incluznd completarea raportrilor lunare, fr omisiuni i la timp n urma atentatelor din 11 septembrie 2001, o cercetare publicat de Business Continuity Institute i McKinsey, care a analizat eficiena planurilor existente, a tras urmtoarele concluzii96: 1. Numeroase planuri de continuitate nu erau actualizate; 2. Majoritatea planurilor nu au luat n considerare pierderea angajailor-cheie din cadrul companiei; 3. Timpul necesar pentru reluarea activitii n condiii normale a fost subestimat; 4. Consilierea post-traumatic a angajailor nu a fost luat n considerare n majoritatea planurilor; 5. Dependena de mijloacele de comunicare i de echipamentele electronice a fost subestimat; Locaiile unde era planificat relocarea i echipamentele de rezerv disponibile s -au dovedit insuficiente. Una dintre principalele lecii nvate n urma acestor teribile evenimente a fost c nimeni nu poate anticipa toate cauzele posibile ale unui dezastru. De aceea n planurile de continuitate a afacerii accentul trebuie pus att pe modul n care un eveniment neprevzut poate afecta afacerea n sine i mediul/comunitatea n care aceasta opereaz, ct i pe diminuarea acestui impact negativ. Nu exist ns o soluie ideal aplicabil tuturor domeniilor de afaceri. Cea mai buna soluie trebuie s ia n considerare att problemele existente ct i cele viitoare. Pentru unele companii e util crearea unui departament de analiz a acestor riscuri, care furnizeaz proprii soluii de business continuity, alte companii apeleaz la serviciile unor firme de consultan specializate, furnizori de servicii de stocare (Storage Service Providers), lansndu-se astfel conceptul de outsourcing.
96
Planificarea continuitii afacerii, Revista Risc Consult, nr.1/2002, la http://www.riskmanagement.ro, accesat n 18.03.2004
80
Cap.VI Riscurile asociate componentei informatice i rolul proteciei i securitii sistemelor informaionale
Obiective Cunoaterea i nelegerea principalelor tipuri de atacuri informatice nelegerea domeniului securitii informaionale Prezentarea principalelor metode de securizare a informaiei
Calculatorul este utilizat n cele mai diverse domenii de activitate, fcndu-ne munca mai eficient i poate mai plcut. Oricare ar fi acest domeniu, de-a lungul timpului, culegem date, le prelucrm, le stocm, le sintetizm i le folosim n munca noastr. n timp, deinem mai mult informaie care ne ajut s avem o activitate mai eficient, nct putem ajunge ca desfurarea ei s depind de accesul, n timp util, la informaii. Cunoaterea, ca atare, va deveni o arm de aprare mpotriva riscurilor, ale noilor vulnerabiliti ce vor apare cu siguran n societatea deceniilor viitoare. Prin vulnerabilitate se nelege identificarea unui ansamblu de evenimente externe sistemelor tehnice care pun n pericol existena infrastructurilor tehnice, ale sistemelor informatice, cu precdere, i reprezint elemente de iniiere n cadrul analizelor de risc specializate, cu luarea n considerare a probabilitilor apariiei elementelor de hazard i consecinele negative ale propagrii dezastrelor97. La sfritul anilor 80, un diplomat romn n una din rile nordice declara cu mndrie patriotic: scoate din priz calculatoarele din societatea occidental i aceasta va fi pierdut. Noi (romnii) nu avem nevoie de o societate informatic, pentru a fi aadar vulnerabili . n etapa nou politic, economic i cultural n care se afl Romnia, este evident c lucrurile s-au inversat. Un diplomat romn astzi va afirma cu siguran c fr a fi cuplat la Internet, fr o cultur informatic minim, societatea romneasc, ntreaga ei structur economico-politic i cultural nu va mai fi nicidecum i nicicnd compatibil cu noile structuri euro-atlantice98. Devenim din ce n ce mai dependeni de accesul i procesarea rapid a informaiei. Pe msur ce aceasta solicitarea crete, tot mai mult informaie este stocat i transmis electronic, ceea ce cauzeaz schimbarea modului n care companiile abordeaz afacerile. Spre deosebire de informaia imprimat pe hrtie, informaia n format electronic poate fi furat de la distan, este mult mai uor s fie interceptat i modificat sau alterat de virui.
97
Gheorghe, A.V., Analiza de risc i vulnerabilitate a infrastructurilor critice ale Societii Informatice - Societate a cunoaterii, Universitatea Politehnic Bucureti, la http://media.ici.ro/academia/pro_pri/pag_com01socinf_tem.htm, accesat n 12.03.2004, p.1 98 Idem, p.2
81
Furtul, tergerea, alterarea informaiei...aceste riscuri sunt reale i vor exista ntotdeauna; iar pe msur ce Internetul va crete, aceste riscuri vor crete i ele99... Comunicarea are o importan primordial n evoluia societii umane; ea s-a dezvoltat mai ales n paralel cu evoluia unui suport tehnologic adecvat. Comunicarea cu ajutorul Internetului a dus la reorientarea modului de administrare a afacerilor-sistemul e-Business sau soluii de achiziii / licitaii electronice; a dus la regndirea politicilor de guvernare i a conceptelor de democraie-sistemele e-Government i e-Democracy. S-a mrit astfel eficiena cu care firmele opereaz i rezultatele lor financiare. Dar ele au mrit i riscul de securitate informatic. nelegem deci c n societatea contemporan reelele de calculatoare, i n particular Internet-ul, au un rol esenial n globalizarea proceselor de comunicare i informare. n acest sens, sistemul informatic trebuie s asigure comunicaii securizate att n interiorul companiei, ct i n exterior, s ofere soluii hardware i software adecvate de la desktop pn la serverele centrale. Importana aspectelor de securitate n reelele de calculatoare a crescut odat cu extinderea prelucrrilor electronice de date i a transmiterii acestora prin intermediul reelelor. n cazul operrii asupra unor informaii confideniale, este important ca avantajele de partajare i comunicare aduse de reelele de calculatoare s fie susinute de faciliti de securitate substaniale. Acest aspect este esenial n condiiile n care reelele de calculatoare au ajuns s fie folosite inclusiv pentru realizarea de operaiuni bancare, cumprturi sau plata unor taxe100. Dar care ar fi problemele / riscurile pe care un sistem informaional le poate ntmpina din acest punct de vedere? - bombardarea cu mesaje (spam-ul) - trimiterea de mesaje nedorite, de obicei cu un coninut comercial; - rularea unui cod (program) duntor, adesea de tip virus (program Java sau ActiveX, respectiv un script JavaScript, VBScript etc); - infectarea cu virui specifici anumitor aplicaii; - accesarea prin reea a calculatorului unui anumit utilizator i atacul asupra acestuia; - interceptarea datelor n tranzit i eventual modificarea acestora snooping; - expedierea de mesaje cu o identitate fals spoofing. Se adaug la acestea, ameninrile specifice care vizeaz serverele web printre care101: - persoane ruvoitoare pot exploata bug-uri ale serverelor, sistemelor de operare sau coninutului pentru a obine acces neautorizat la serverele web (acces neautorizat la fiiere i date care nu sunt accesibile publicului, executarea unor comenzi sau instalarea de software pe serverele web);
99
Vasiu, L. Despre importana tehnologiilor de securitate a informaiei, la http://media.ici.ro/academia/pro_pri/pag_com01socinf_tem.htm, accsat n 12.03.2004, p.4 100 Aspecte de securitate n reelele de calculatoare, la http://www.euro.ubbcluj.ro/~alina/cursuri/, accesat n 01.02.2005 101 Centrul de Expertiz i Rspuns pentru Incidente de Securitate (CERIS), la http://www.ceris.ro
82
atacuri de tip denial of service care pot fi direcionate spre servere web i care refuz utilizatorilor valizi dreptul de a folosi serverele web n timpul atacului; - informaia confidenial de pe serverele web poate fi distribuit unor persoane neautorizate; - informaia cu caracter secret, care nu este criptat cnd este transmis ntre serverele web, poate fi interceptat de ctre browsere; - informaia de pe serverele web poate fi modificat cu rea intenie; - datorit unui atac reuit asupra unui server web, se poate obine prin acest mod acces neautorizat la resurse, oriunde n reeaua organizaiei atacate; - de pe un server web compromis se pot ataca alte organizai sau poate fi folosit ca punct de distribuie pentru copii ilegale de software, instrumente de atac, materiale pornografice, astfel nct s fie fcut rspunztoare organizaia atacat iniial, ntruct adresa de la care provine atacul va fi a serverului compromis. Din ce se compune de fapt securitatea informatic? n opinia specialitilor de la GeCAD Software102: securitatea organizaional (politici generale i norme); securitatea comunicaiilor (politici, proceduri, tehnologie); securitatea logic (politici, proceduri, tehnologie); securitate fizic (camere securizate, lacte, coduri acces etc). Securitatea n tehnologia informaiei nseamn protecia sistemelor, informaiei (datelor) i serviciilor de ameninri accidentale sau deliberate ale confidenialitii, integritii i disponibilitii. n spiritul acestei afirmaii, specialitii Centrului de Expertiz i Rspuns pentru Incidente de Securitate, merg pe ideea c securitatea IT presupune urmtoarele ap te componente: - securitatea administrativ i organizaional; - securitatea personalului; - securitatea fizic; - securitatea hardware; - securitatea comunicaiilor; - securitatea software; - securitatea operaiunilor. Securitatea nseamn managementul riscurilor, afirm specialitii Microsoft. n opinia acestora, pentru a reduce riscurile de securitate n utilizarea i administrarea sistemelor TI, cea mai bun strategie este cea pe ansamblu (Security in depth), fiind necesar abordarea urmtoarelor arii de securitate103: - securitatea serverelor i a staiilor de lucru; - securitatea perimetrului;
102 103
GeCAD, la http://www.gecad.ro Recomandri privind securitatea sistemelor TI pentru companii, Revista Start-Microsoft TechNet, Nr.7, Aprilie 2004
83
securitatea comunicaiilor n reea: securitatea aplicaiilor: securitatea datelor; soluii pentru managementul patch-urilor. Tehnologiile de securitate a informaiei au mai multe componente i atribute care necesit a fi luate n considerare atunci cnd se analizeaz riscul potenial: - confidenialitatea: protecia informaiilor mpotriva persoanelor neautorizate; - integritatea: asigurarea consistenei informaiilor; se refer la protecia mpotriva unor tentative de falsificare a mesajului; - disponibilitatea: asigurarea c sistemele de calcul sunt accesibile utilizatorilor autorizai cnd i unde acetia au nevoie i n forma necesar; - autentificarea: asigur determinarea identitii persoanei cu care se comunic; - ne-repudierea: asumarea responsabilitii unor mesaje sau comenzi, la autenticitatea lor. Securitatea sistemelor informaionale presupune i o serie de principii, conform NIST National Institute of Standards and Technology U.S acestea fiind104: simplitatea mecanismelor de securitate; acceptarea psihologic a necesitii securitii din partea utilizatorilor; proiectarea n adncime: insuficiena unui singur sistem de securitate; privilegii minime acordate proceselor sau utilizatorilor; separarea privilegiilor n cazul proceselor sau utilizatorilor; atribuirea separat ntre procese / servicii; asigurarea n caz de defeciune; intermedierea, evitarea accesului direct la informaie (prin servere proxy, firewall sau gateway); - meninerea de nregistrri i log-uri Computer Science sugereaz urmtorii pai pentru ntrirea i eficientizarea politicilor de securitate ale companiei105: - crearea unei echipe care s rspund de funcionarea unui program de politici de securitate; - stabilirea unei agende de securitate clar i concis; - realizarea regulat de verificri i investigaii; - dispersarea informaiilor din organizaie n funcie de necesitile reale. Rolul programului de securitate informatic al companiei este s reduc i s in sub control nivelul de risc la care compania este expus. Politica de securitate reprezint optimizarea raportului dintre funcionalitatea sistemului informatic, nivelul de securitate realizat i valoarea investiiilor pentru securizare i reprezint un proces continuu la tehnologii noi, noi politici de securitate informaional. -
104 105
Idem 172 Oprea, D., Munteanu, A., Rusu, D., Probleme actuale ale securitii n sistemele informaionale, n Sisteme Informaionale pentru Afaceri, Polirom, Iai 2002, p.163
84
Pentru asigurarea securitii reelei este important implementarea unor mecanisme specifice pornind de la nivelul fizic (protecia fizic a liniilor de transmisie ), continund cu proceduri de blocare a accesului la nivelul reelei (firewall), pn la aplicarea unor tehnici de codificare a datelor (criptare), metod specific pentru protecia comunicrii ntre procesele de tip aplicaie care ruleaz pe diverse calculatoare din reea. mpiedicarea interceptrii fizice este n general costisitoare i dificil; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptrilor pe fibre optice este mai simpl dect pentru cablurile cu fire de cupru). De aceea, se prefer implementarea unor mecanisme de asigurare a securitii la nivel logic, prin tehnici de codificare / criptare a datelor transmise care urmresc transformarea mesajelor astfel nct s fie nelese numai de destinatar; aceste tehnici devin mijlocul principal de protecie a reelelor106. Securizarea tranzaciilor reprezint un aspect cheie n cazul comerului electronic. Cele mai utilizate sisteme de plat n comerul electronic sunt107: Micro pli. Sistem ce se aplic n cazul tranzaciilor cu sume mici (ex. achiziionarea unui CD). Mod de funcionare: clientul comunic bncii s transfere o sum de bani din contul curent ntr-un cont e-wallet108 administrat de o ter entitate (furnizorul de servicii), aici verificndu-se disponibilitatea actual a fondurilor i posibilitatea s fie folosit de client. Sistemul permite apoi efectuarea de pli. Verificri digitale. Metoda presupune folosirea unui sistem de verificare instalat pe calculatoarele comerciantului i al utilizatorului. Clientul completeaz formularul de verificare electronic, l semneaz folosind semntura electronic criptat i l trimite ctre vnztor care l trimite mai departe n camera de plat a cecului(clearance room) unde se valideaz formularul i se transfer fondurile. Smart card. Card-urile inteligente pot memora (memory cards) sau procesa (process cards). Al doilea poate fii rencrcat i de asemenea conine diverse informaii. Poate fii dedicat autentificrii i criptrii de mesaje. Furnizeaz un nivel mare de securitate. n viitor vor nlocui sau vor aciona ca un substituent pentru banii cash, cecuri, carduri de credit Pli electronice. Sistem prin care se trimit i se fac pli de facturi prin internet. Sistemul prezint un control att a siguranei cardului de credit a cumprtorului, ct i a plii efectuate cu acest card i retragerea de numerar din contul curent al cumprtorului. Credit carduri. Sistemul este o form de mprumut primit de client care se oblig s plteasc aceeai sum ntr-o anumit perioad de timp. Procedural, sistemul funcioneaz prin intermediul autorizrii (aprobarea tranzaciei) i lichiditate (operat de banc ce primete plata).
106 107
Oprea, D., Munteanu, A., Rusu, D., opcit., p.171 Borghesi, A., opcit., p.15, apud De Sanctis Pinna (2000), p. 102 108 Wallet-ul este o aplicaie ajuttoare pentru un browser Web utilizat pentru a pasa un numr criptat de credit card de la un cumprtor, prin intermediul vnztorului, ctre serverul ntreinut de o companie de credit (CyberCash sau Verifone, de exemplu) pentru autentificare i aprobare.
85
Debit carduri. Sistem similar celui de mai sus doar c funcioneaz pe principiul plii imediate la momentul tranzaciei.
Pentru a se asigura securitatea tranzaciilor n comerul electronic s -au implementat o serie de protocoale, printre care: - Secure Electronic Transaction (SET) mpreun cu cadrul de credit tradiional clientul primete un card de credit digital sub forma unui fiier ce va fi folosit n achiziiile digitale. Comercianii primesc de asemeni un certificat electronic, astfel c ambii parteneri de afaceri pot fi verificai nainte ca tranzacia s aib loc. Avantajul este c doar deintorul i banca pot vedea numrul cardului. - Secure Sockets Layer (SSL) Sistemul funcioneaz astfel nct s garanteze transferul securizat de date referitoare la tranzacia dintre browserul clientului deintor de card i serverul companiei ce comercializeaz. Datele sunt criptate. o Secure Sockets Layer este un sistem dezvoltat de firma Netscape Communications109 care asigur criptarea pentru comunicrile realizate ntre dou orice calculatoare din Internet prin intermediul protocolului universal folosit TCP/IP. o SSL se bazeaz pe criptarea cu cheie public si funcioneaz n dou etape: ntr-o prim etap se stabilete o cheie special de sesiune (transmis ntr-o form criptat folosind cheia public); aceast cheie va fi utilizat n cea de a doua faz pentru o criptare rapid a datelor. o SSL asigur: autentificarea serverului pe baza certificatelor digitale (care descurajeaz impostorii); confidenialitatea transmisiilor (prin criptare); integritatea datelor transmise (prin coduri de verificare). - Secure Payment Application (SPA) Sistemul este similar cu SET, ns mai uor de folosit. Se descarc wallet-ul; comerciantul comunic propriei bnci un cod transmis de banca cumprtorului; comerciantul este creditat cu preul bunului vndut. Ex. SSL este folosit de i de VeriSign, care a lansat un serviciu de verificare a ID -urilor online, cu ajutorul cruia comercianii on-line pot stabili identitatea real a clienilor lor. Consumer Authentication Service (CAS) furnizeaz instantaneu comercianilor on-line informaii precise despre clieni, extrase din 50 de baze de date publice si particulare. Informaiile provin de la guvern, ageniile de credit si bazele de date cu numere telefonice110. Viruii...numrul lor este estimat undeva cu mult peste 50.000 i sunt n continu cretere. Doar o scurt privire pe site-urile companiilor de profil, i vedem c aproape zilnic apare un alt virus sau un mutant al unui virus mai vechi. De fapt, nici nu e necesar accesarea de site-uri specializate, deoarece periculozitatea noilor virui a ajuns s fie i subiectul tirilor de
109
Suport de curs Internet-teorie, Facultatea de Studii Europene, Universitatea Babe-Bolyai, la http://www.euro.ubbcluj.ro/~alina/cursuri/internet-teorie/5-3-1.htm, accesat n 15.04.2004 110 VeriSign anun serviciul de verificare a identitii online, la http://www.internet-magazin.ro/articol.php?id=333, accesat n 17.06.2006
86
radio sau TV. Fie c este vorba de un virus clasic, de un vierme, un cal troian sau de combinaii ale caracteristicilor acestora, avem de-a face cu tot attea ameninri, care devin cu att mai frecvente cu ct utilizarea curent a Internetului se rspndete n mediul de lucru al fiecruia dintre noi. Infectarea unui sistem produce efecte serioase, dac nu e rezolvat la timp, pentru c poate cauza pierderea informaiilor de pe computerul afectat sau compromiterea acestora, producnd astfel pierderi financiare (n timp de lucru sau pentru achiziionarea de noi echipamente i programe) i poate duce chiar la diminuarea ncrederii n instrumentele de lucru. Ar fi inutil de a prezenta un clasament al celor mai distructivi virui n contextul n care mine situaia ar putea fi alta. O list a celor mai noi ameninri poate fi totui vizitat on-line la adresa: http://securityresponse.symantec.com/avcenter/vinfodb.html#threat_list Lupta mpotriva acestora ine ns de responsabilitatea fiecrui utilizator de a lucra cu diskete sau alte dispozitive de stocare (ne)cunoscute, de administrare a propriei csue de e-mail, de a realiza back-up fiierelor importante, de a fi n contact permanent cu ultimele nouti n materie de virui, de a avea n permanen un antivirus, la zi. O modalitate inedit de a lupta cu viruii este cea propus de Matthew Williamson cercetator la laboratoarele Hewlett-Packard din Bristol, n cadrul programului "Go Digital", difuzat de canalul britanic de televiziune BBC111: - Rata de rspndire a viruilor de calculator poate fi redus prin limitarea numrului de conexiuni de pe calculatorul infectat la un anumit interval de timp. Aceasta aciune are ca efect scderea vitezei de rspndire a virusului, tehnicienii avnd astfel la dispoziie mai mult timp pentru depistarea i nlturarea virusului. Noutatea abordrii lui Williamson const n aceea c, n loc s identifice o cale de a distruge virusul, cercettorul britanic a ncercat s gseasc o modalitate de a preveni infectarea celorlalte calculatoare. Atunci cnd calculatorul este infectat cu un virus e-mail, acesta ncepe s trimit o mulime de mesaje e-mail cu o vitez mult mai mare dect cea normal. Prin urmare, dac limitez rata mesajelor e-mail pe care le trimit la fiecare 10 minute, viteza cu care virusul va ncerca s trimit cele 100 sau 200 de mesaje infectate, va fi imediat ncetinit". Dac sistemele IT ar fi suficient de inteligente pentru a detecta automat i opri atacurile nainte ca acestea s se extind, administratorii ar cheltui mai puin timp i bani ncercnd s le surprind, spune Tony Redmond, vicepreedinte i director tehnic al HP Security Office i HP Services112. Astfel, HP introduce HP Virus Throttle. Spre deosebire de antiviruii clasici, Virus Throttle detecteaz comportamente anormale, similare viruilor i limiteaz numrul de conexiuni ale unui computer infestat astfel nct administratorul de reea s poat identifica problema, s o diagnosticheze i dac este de natur viral s acioneze n consecin.
111
O abordare inedit pentru nlturarea viruilor de calculator, la http://www.internetmagazin.ro/articol.php?id=293, accesat n 23.05.2004 112 HP "blocheaz" accesul viruilor din reea la desktop prin noi produse software i promite continuarea cercetrilor n domeniul securitii, la http://www.comunicatedepresa.ro, accesta n 16.02.2005
87
Virus Throttle monitorizeaz conexiunile solicitate la reea i detecteaz activitatea anormala de tipul celei pe care o fac de obicei viruii sau viermii, care ncearc s se propage n cadrul unei reele. Cu ct un virus ncearc s se rspndeasc mai repede, cu att mai rapid reacioneaz Virus Throttle i reacioneaz automat n cteva milisecunde, fr s atepte atenia i reacia umana. Dar ce ne facem cu noul val de virui care afecteaz telefoanele mobile ce au sistem de operare (ex. Symbian) sau mai nou, computerele de bord a automobilelor moderne. Btile de cap zilnice prin care trece un utilizator de PC, ca viruii electronici i mesajele spam, risc s se rspndeasc la o gama mult mai larga de sisteme electronice, de la telefoane celulare la motoarele automobilelor, se arat ntr-un studiu al IBM113. Un studiu al IBM Security Intelligence Services care a luat n calcul analizarea unui numr de aproximativ 500.000 de aparate electronice a evideniat c viruii informatici activi noi sunt n numr de 28.327, ducnd totalul la 112.438. Din scanarea unui numr de 147 de miliarde de e-mailuri, IBM a descoperit n 2004 un virus la 16 curiere electronice, mai precis 6% din total. Pentru automobile situaia ncepe s nu mai arate la fel de roz. Dac pn acum se considera c vehiculele sunt scutite de efectele viruilor informatici, n prezent situai a s-a schimbat. n medie, un autovehicul modern are incorporate circa 20 de computere, cu software de 60 de megabii, iar riscul apariiei unor disfuncionaliti s-a multiplicat. Creatorii au lansat un virus, cunoscut ca Lasco.A, care se rspndete att prin conexiuni Wireless ct i ca ataament la fiiere, a avertizat compania F-Secure luni, 10 ianuarie 2005. Pn acum programele maliioase pentru telefoane mobile s-au rspndit utiliznd doar unul dintre aceste dou mecanisme de diseminare. "Am primit un nou malware Symbian care combin dou tehnici de rspndire, lucru comun la programele malware pentru PC-uri, dar o premier pentru sistemele mobile", a precizat FSecure pe site-ul su Web114. Virusul Lasco.A se va ataa oricrui fiier aplicaie a unui telefon care utilizeaz sistemul de operare Symbian. Virusul este activat n momentul n care utilizatorul telefonului mobil face clic pe fiier i l instaleaz pe dispozitiv. Astfel orice fiier aplicaie care este copiat de pe un dispozitiv infectat pe altul, cum se ntmpl frecvent n cazul schimbului de fiiere, va conine i o copie a Lasco.A. Programul de fapt, se comport la fel ca un computer virus, ncercnd s se auto-copieze direct pe orice telefon care utilizeaz tehnologia wireless Bluetooth. Aceast capacitate a sa este similar cu cea a ctorva virui receni - variante ale virusului Cabir - care au reuit s se rspndeasc la un numr limitat de dispozitive. Asemenea programe nu au avut foarte mare succes, ns. Doar cele mai recente sisteme de operare pentru telefoane mobile sunt programabile la o asemenea extindere nct viruii s se
113 114
Viruii atac telefoanele mobile i automobilele, la http://www.wall-street.ro, accesat n 10.02.2005 Un nou virus pentru telefoanele mobile, la http://www.smartnews.ro, accesat n 12.01.2005
88
poat rspndi eficient. Mai mult, numrul mare de sisteme de operare proprietate care sunt utilizate n telefoanele mobile fac mult mai dificil dezvoltarea unor ameninri mai largi. Evoluia viruilor care atac dispozitivele mobile i face pe specialiti s considere c acetia sunt n dezvoltare115. Deocamdat sunt puine cazurile n care se terg date din telefonul afectat. n afara faptului c acum se rspndesc mult mai repede, unele dintre programele de acest gen blocheaz anumite aplicaii antivirus sau chiar aparatul. Fata de primele produse de acest gen se constat ns o evoluie rapid, fapt care i face pe specialiti s considere c vor fi lansate i variante mai periculoase. Deoarece virusul se poate rspndi doar pe telefoanele care au Bluetooth n modul discoverable, la acest moment cea mai bun metod de a proteja sistemele handset este de a le seta n modul hidden Bluetooth, a precizat F-Secure. Cu titlu de exemplu, iat alte forme (neconvenionale) de manifestare a viruilor informatici: - Mass mailer-ul, Win32Tzar.A@mm116, care se rspndete prin mesaje e-mail de dimensiuni relativ reduse - aproximativ 20k - i care ncearc s profite de bunvoina celor care doresc s ajute victimele tsunami-ului devastator care a lovit Asia. El ajunge la potenialele victime prin intermediul unui e-mail cu subiectul Tsunami Donation!Please Help! [Donaie pentru Tsunami! V rugm, oferii ajutor!]. Textul mesajului ndeamn destinatarul s ajute victimele tsunami-ului prin donaii i prin vizualizarea ataamentului tsunami.exe: Please help us with your donation and view the attachement below! We need you! (V rugm ajutai-ne cu donaia dumneavoastr i deschidei ataamentul de mai jos! Avem nevoie de dumneavoastr!) Ataamentul este un fiier executabil, care, odat rulat, copiaz virusul n directorul Windows, caut adrese de e-mail n agenda de Outlook a victimei i se trimite mai departe tuturor contactelor. Virusul Sticy.A117, virus care se rspndete prin intermediul unui mesaj e-mail, ale crui cmpuri sunt falsificate. Astfel, adresa expeditorului pare s fie support@bitdefender.com iar subiectul mesajului BitDefender Company. E-mailul i ncurajeaz pe cei care l primesc s descarce dou programe executabile -film.exe i poze.exe de pe un site romnesc: http://playb.........a.go.ro. Virusul Sophos "Crowt.A"118 e-mailurile ce conin acest virus nu dein subiecte obinuite sau alte caracteristici. Virusul trimite mesaje cu subiect, coninut i ataament preluate de pe site-ul web CNN cu cele mai recente tiri. Dac un utilizator interesat de cele mai noi tiri deschide ataamentul infectat, virusul instaleaz un program care permite intruilor s acceseze informaii de pe PC-ul victimei. Un program care nregistreaz informaiile introduse n calculatorul infectat, cunoscut sub numele de keylogger, poate "fura" informaiile de logare a victimei, afirma Sophos119 n descrierea acestui vierme.
115 116
Viruii atac dispozitivele mobile, la http://www.wall-street.ro , accesat n 22.02.2005 A aprut primul virus informatic legat de tsunami, la http://www.smartnews.ro, accesat n 19.01.2005, citnd SOFTWIN 117 Un virus se d drept mesaj de la BitDefender, la http://www.smartnews.ro, accesat n 24.01.2005 118 Virus deghizat n newsletter CNN, la http://www.smartnews.ro, accesat n 24.02.2005 119 http://www.sophos.com
89
Noiunea de SPAM e deja cunoscut de toat lumea, fie ei informaticieni sau nu, deoarece nu e zi n care sa nu ne enervm tergnd sutele de mesaje nedorite din Inbox -ul csuei noastre de e-mail. i vznd cu ciud cum traficul pe luna respectiv a fost depit (vorbesc aici de conturile de e-mail free) ne ntrebm mirai cum de i aceast adres ne-a fost depistat... ns am uitat de e-mailul forward primit de la prietenul nostru cel mai bun (ctre tot address book-ul su) care coninea diverse imagini mai mult sau mai puin amuzante, mesajele de sprijinire a unui copil ce are nevoie de o donaie de snge de grup foarte rar sau diversele mesaje de tip Karma. Pe care evident i noi l-am trimis mai departe ctre toi prietenii notri. Dac ns am ncerca s mergem contra apei vedem de unde pleac acest mesaj, am gsi poate o adres de e-mail necunoscut de niciunul dintre destinatarii succesivi sau una fals. n realitate ns, acesta este un procedeu prin care spammerii colecioneaz (fur, de fapt) adrese de e-mail. Aa c, tot mai muli specialiti n IT vorbesc de buletinul electronic, o carte de identitate care ne va nsoi pretutindeni n clatoriile pe Internet. n curnd deci, e foarte posibil s trebuiasc s ne obonuim cu poliia electronic ce ne va cere buletinul virtual la control120. Ca o concluzie general la cele menionate pn acum, se recomand instalarea programelor antivirus, a programelor de monitorizare a traficului n reea i aplicaii tip Intrusion Detection sau a programelor de testare i evaluare a integritii i vulnerabilitii reelei, crearea de VPN-uri (Virtual Private Network reele virtuale private), utilitare Network Intelligence, Smart Card-uri i soluii PKI (infrastructura cheilor publice) etc. VPN-ul (Virtual Private Network) este una din cele mai populare abordri n stabilirea unu mediu securizat de lucru n reea121. O reea VPN reprezint un grup de dou sau mai multe sisteme de calculatoare conectate ntr-o arhitectur privat de comunicaii, cu acces restrictiv i desfurat prin intermediul unei reele publice. Caracterul privat al unei reele VPN (termenul privat subliniaz accesul restrictiv la un set definit de entiti, o ter parte nu are acces la coninutul privat al comunicaiei) depinde n principal de riscul pe care i-l asum organizaia respectiv: cerinele de secretizare i de securizare pot fi minime sau extrem de ridicate. Generarea informaiei private prin aceste reele nu difer prea mult de trimiterea unei corespondene interne prin intermediul potei sau de expedierea unui fax prin reeaua public122. VPN-urile permit organizaiilor s foloseasc Internetul pentru conectarea de la distan ntre personalul mobil i birourile de care fac parte. Se elimin astfel cheltuielile mari cauzate de implementarea de WAN-uri (Wide Area Network). Mai mult, avnd avantajul costurilor reduse sau a tehnologiilor de band larg precum DSL (Digital Subscriber Lines), organizaiile pot folosi VPN-urile pentru a reduce costurile de conectivitate simultan cu creterea dimensiunii benzii de conexiune de la distan.
120 121
Brzoi, V., V rog, buletinul virtual la control, n Business Magazine, nr. 22 (9/2005), p.42 Action steps for improving information security, Cisco Systems, Inc., la http://www.cisco.com 122 Cantaragiu, ., e-Defence i societatea informaional, societatea cunoaterii, Agenia de Cercetare pentru Tehnic i Tehnologii Militare, la http://www.acttm.ro, accesat n 14.04.2004
90
Securitatea reelelor VPN urmrete trei obiective123: furnizarea gradului de securitate adecvat: sistemul de securitate ar trebui s valideze utilizatorii prin parole, iar criptarea s protejeze traficul n tranzit; uurin n administrare: este util ca iniializarea i meninerea ulterioar a instrumentelor de implementare a securitii s fie facile; n plus, trebuie securizate i funciile administrative ale sistemului de securitate;
trasparen pentru utilizator: chiar i utilizatorii legitimi ar putea ncerca evitarea procedurilor complicate de securizare a traficului; prin urmare, sistemul de securitate trebuie s permit conectarea la reeaua VPN la fel de uor ca start-area unei sesiuni de lucru pe o staie ataat la reeaua local. Criptarea reprezint o component critic n pstrarea confidenialitii datelor transmise printr -o reea VPN. Pachetele pot fi criptate, autentificate i expediate printr-un tunel generat de participanii la trafic. Un rol important n asigurarea securitii informaiilor transmise via Internet l au procedurile de criptare. Criptografierea este procesul de criptare (translatare) a informaiei ntr-un mesaj aparent aleator la emitor, i apoi de descifrare a mesajului aleator prin decriptare la receptor. Tehnologiile electronice actuale permit desfurarea automat a procesului de criptare / decriptare. Procesul implic folosirea unui algoritm matematic i a unei chei, pentru translatarea informaiei din clar n stare criptat. Domeniul care se ocup de spargerea (decodificarea) cifrurilor se numete criptanaliz ("cryptanalysis") iar conceperea cifrurilor (criptografia) si spargerea lor (criptanaliza) sunt cunoscute global sub numele de criptologie ("cryptology"). Pentru a se mpiedica retransmiterea de mesaje vechi ca fiind actuale, metodele de criptare folosesc marcaje numite amprente de timp. Modelul clasic de criptare presupune transformarea unui text surs ("plain text") printr-o funcie dependent de o cheie ("key"), transformare n urma creia rezult textul cifrat ("cyphertext")124. nainte de apariia reelelor de calculatoare, acesta era transmis printr-un curier sau prin radio. n cazul interceptrii mesajelor cifrate, ele nu puteau fi decodificate prea uor n absenta cheii de criptare. Uneori, "intruii" puteau nu numai s asculte canalele de comunicaie (intrui pasivi), ci si s nregistreze mesajele si s le retransmit mai trziu, s introduc propriile mesaje sau s modifice mesajele legitime nainte ca ele s ajung la receptor (intrus activ). Exist dou metode tradiionale de criptare: cifruri cu substituie si cifruri cu transpoziie Aceste tehnici de baz sunt folosite, n forme evoluate, si n sistemele moderne de criptare.
123 124
Ibidem Suport de curs Criptografie, Facultatea de Studii Europene, Universitatea Babe-Bolyai , la http://www.euro.ubbcluj.ro/~alina/cursuri/internet-teorie/5-1.htm, accesat n 12.05.2005
91
O soluie aplicabil reelelor radio folosete reprogramarea prin legtur radio (OTAR Over The Air Rekeying)125. Aceast tehnic aproape elimin necesitatea ncrcrii manuale a cheilor i realizeaz un management sigur al cheilor. OTAR este un sistem de distribuire a cheilor i include o cheie de criptare a cheii (KEK Key Encryption Key), folosit pentru criptarea cheii de criptare a traficului i oricror altor chei operaionale COMSEC sau TRANSEC, elemente ce fac parte din componenta securitatea comunicaiilor a INFOSEC (Obs. cealalt component este COMPUSEC ). Acest proces mai este denumit i "mpachetare" pentru a fi difereniat de criptarea traficului. Singura cheie care trebuie ncrcat iniial att n unitile emitoare ct i n cele receptoare este cheia KEK. Dup "mpachetare", distribuirea, procesul care urmeaz, poate folosi orice mijloace fizice sau electronice. ntr-un sistem OTAR, cheile "mpachetate" sunt introduse ntr-un mesaj i trimise prin legtur radio staiei dorite, folosind protocoale de transmisie fr erori (deoarece orice eroare ar face cheile de nefolosit). Legtura folosit pentru transmisie este n general secretizat cu ajutorul cheii de criptare a traficului (TEK) utilizat. Astfel, coninutul cheii este dublu protejat la transmisia prin legtur radio, eliminndu-se practic orice posibilitate de compromitere. Pentru un grad de securitate mai ridicat, se obinuiete s se digitizeze prin intermediul unui vocoder, semnalul digital rezultant fiind apoi tratat ca orice flux de date. Pentru utilizatorii obinuii ai Internetului, cei mai convenabili algoritmi de criptare sunt cei cu cheie public deoarece folosirea lor nu implic schimbul preliminar de chei pe canale de transmisie protejate, ca n cazul algoritmilor cu cheie secret. Cheia public poate fi distribuit fr restricii pe intranet (reeaua local) sau Internet, iar mesajele criptate cu aceast cheie de un emitor vor putea fi decriptate numai utiliznd cheia privat, care este deinut exclusiv de ctre destinatar. Din motive strategice lesne de neles, dezvoltarea tehnicilor criptografice este o problem delicat i n general politicile guvernamentale ncearc s tin sub control acest domeniu. Evident c aceast abordare nu este pe placul cercettorilor care urmresc evoluia algoritmilor n primul rnd din raiuni tiinifice i nici al publicului larg, n msura n care s -ar leza libertile individuale. Un caz renumit de reacie guvernamental negativ la distribuirea unui soft criptografic, dezbtut n cele din urm de instana juridic, este cel al sistemului de post electronic criptat Pretty Good Privacy, creat de Phil Zimmerman si distribuit pe Internet. Din ce n ce mai mult ncepem s auzim despre Smart cards, cartele inteligente. Spre deosebire de cartelele magnetice obinuite, cartelele inteligente sunt astzi capabile sa execute programe complexe, de tipul algoritmilor criptografici, ce dau posibilitatea folosirii acestora cu un grad de risc mult diminuat n aplicaii ce necesit o complexitate i securitate ridicate. Un astfel de smart card este practic un card de plastic care are integrat in cip de circuite integrate i are urmtoarele componente126:
125
Cantaragiu, ., opcit.
92
CPU (Central Processing Unit) ce realizeaz calculele ROM (Read-Only Memory) ce depoziteaz sistemul de operare i aplicaiile EEPROM (Electronically Erasable and Programmable ROM) ce depoziteaz datele variabile, precum date despre deintorul cardului - RAM (Random Access Memory) ce este folosit ca spaiu de lucru atunci cnd cadrul proceseaz - I/O (Input/Output) ce are loc prin intermediul cmpurilor de contact Dezvoltarea i producia de carduri cu circuite integrate este un proces foarte complex, ce cuprinde n mare urmtoarele faze: - proiectare - fabricare i iniializarea modulului cip - ncorporarea modului cip n card - personalizare Pe un astfel de card se gsesc, de obicei, diverse informaii, cum ar fi127: - informaii, de cele mai multe ori publicitare, legate de aplicaia n care este folosit cartela respectiv sau despre compania emitoare - informaii lizibile despre posesorul cartelei (eventual o fotografie de identificare) i despre perioada de valabilitate a cartelei inteligente respective - eventual o band magnetic sau o etichet cu cod de bare. Exist dou tipuri de cartele inteligente: - cartelele inteligente cu contact - care necesit introducerea ntr-un cititor de cartele inteligente (smart card reader) - cartelele inteligente fr contact - care necesit doar vecintatea unei antene. Avantajele folosirii sistemelor smart card128: - Securizarea la cel mai nalt nivel posibil; - Funcionabilitate mult extins; - Fiabilitate sporit; - Comunicare facil prin intermediul Internet; - Eliminarea neconcordanelor i redundanelor n sistemul actual de funcionare. Totui i aceste sisteme sunt supuse atacurilor i deci necesit aciuni de protejare. Iat un caz care evideniaz riscul la care este supus persoana care folosete n condiii nesigure un astfel de card: Un student al Universitii Princeton a adus lumina n ceea ce privete exploatarea scprilor sistemelor de securitate n mainile virtuale Java i .Net, folosind o lamp, cteva proprieti cunoscute ale memoriei i un pic de noroc.
126 127
Security of Electronic Money, Bank of International Settlements, la http://www.bis.org, accesat n 12.12.2003 Ene-Pietroanu, M., Un ntreg calculator ntr-un minuscul cip sau ... Cartelele inteligente criptografice , la http://www.byte.ro/byte98-01/cart.htm, accesat n 11.12.2004 128 Autentificarea utilizatorului folosind smartcard-ul, la http://www.ici.ro/ici/revista/ria2003_4/art4.html, accesat n 17.03.2004
93
Pentru un atac este nevoie de accesul fizic la computer, deci tehnica nu constituie o ameninare prea mare pentru mainile virtuale ce ruleaz pe PC-uri sau servere. Dar ar putea fi folosit pentru a fura date de pe cardurile inteligente, a afirmat Sudhakar Govindavajhala, student al Universitii Princeton, care a demonstrat procedura. Tehnica const n capacitatea energiei de a schimba biii n memorie. Se tie c razele solare pot cauza uneori o schimbare aleatoare a valorilor n memorie, de la 0 la 1 sau de la 1 la 0. Astfel, Govindavajhala a folosit o lamp pentru a nclzi chip-ul din interiorul computerului i a produs una sau mai multe schimbri n memorie. Fcnd acest lucru, studentul a reuit s sparg modelul de securitate pe care se baza maina virtual. Mainile virtuale sunt programe care permit unui software s ruleze pe multiple platforme. De exemplu, applet-urile Java pot fi executate pe o maina virtual care ruleaz pe Windows, Linux si MacOS. Govindavajhala a atacat sistemul adugndu-i propriul cod n memorie umplnd apoi memoria liber rmas cu adresa noului cod. El a descoperit c, dac ar umple 60% din memorie cu adrese, o schimbare n memorie ar face s ruleze codul su de atac mai mult de 70% din timp. Tehnica ar putea fi folosit n furtul de date de pe cardurile inteligente, care arat ca i credit cardurile, dar au o memorie i un procesor implantat n card.129 Securizarea cartelelor inteligente devine astfel un obiectiv vital, n msura n care utilizatorii devin pe zi ce trece mai circumspeci cu privire la folosirea Internetului de teama unor atacuri ale hackerilor, viruilor sau chiar fraudarea acestor cartele i pierderea confidenialitii i autentificrii. O soluie n acest sens este asigurarea securitii tranzaciilor on-line prin dezvoltarea de servicii de certificare i soluii de securizare pe Internet, alturi de crearea de standarde comune pentru cartelele inteligente. Iat un set de astfel de msuri de securizare a smart cardurilor, grupate pe tipuri de atacuri: 1. Msuri de prevenire a analizei optice i fizice - Codul din ROM este invizibil codul cipului este acoperit pentru a se preveni scannarea optic - Proiectul de realizare a cipului este risipit componentele cipului sunt greu de separat, nu se pot identifica individual - nveli de metal dublu al conexiunilor astfel analiza conexiunilor este mai dificil; se practic i implementarea de conexiuni false tocmai pentru a induce n eroare potenialii atacatori 2. Msuri de prevenire a analizei electrice - Detectoare de frecvene joase cipul este astfel proiectat nct nu va mai lucra la frecvene joase o Obs. Analiza electric a cipurilor se realizeaz prin msurarea voltajului i a curentului conexiunilor atunci cnd acesta lucreaz la frecvene joase
129
Exploatarea scprilor sistemelor de securitate, la http://www.internet-magazin.ro/articol.php?id=661, accesat n 09.02.2006
94
Date ROM/EEPROM mprtiate datele stocate n ROM i EEPROM din cip sunt distribuite n diverse locaii fizice pe cip, astfel c un eventual atacator care citete coninutul ROM sau EEPROM va trebui s determine ce bii aparin de aceeai entitate - Invalidarea PIN-ului de test acestea nu vor mai putea fii folosite pentru a se putea accesa coninutul cipului - Folosirea de conexiuni sensibile conexiunile sunt astfel proiectate nct s lucreze doar la un voltaj fix. Dac se folosete un voltaj superior celui prescris pentru a se ncerca citirea coninutului cipului, conexiunile se ard i informaiile de pe cip nu mai pot fii recuperate 3. Msuri de prevenire a fabricrii de cipuri false - Tehnologii de dimensiuni mici e nevoie de un echipament foarte costisitor i de personal cu experien pentru a se lucra la aceste cipuri - Sisteme de operare proprietate a firmei productoare de cipuri codul surs al acestor SO nu este fcut public; fiecare companie productoare de cipuri are propriul SO; SO accept doar un set limitat de comenzi Mti fcute la comand fabricanii de cipuri i eliberatorii de carduri lucreaz mpreun pentru a stabili codul surs care va executa aplicaiile specifice; codul este integrat n masc, care este folosit pentru a produce fizic cipurile; codul este tiut doar de ctre fabricant i de dezvoltator - Planul general i cheile se folosesc n timpul instalrii planul general al datelor i cheile criptografice sunt stabilite i nregistrate n timpul fazei de iniializare i sunt cunoscute doar de ctre eliberatorul cardului sau de ali proprietari ai aplicaii lor de pe cip - Personalizare criptat personalizarea se realizeaz criptnd datele despre utilizator cu o cheie de criptare cunoscut doar de proprietarul aplicaiei; cheia este instalat pe cip n timpul iniializrii - Controale administrative i procedurale - se asigur astfel ca nici o persoan s nu obin informaiile necesare pentru a reui s creeze un card fals 4. Msuri de prevenire alterarea coninutului unui cip - Protecie electric a EEPROM-ului un strat special protejeaz coninutul EEPROMului de raze UV (ultraviolete), raze X sau modificri electromagnetice - Comenzi de schimbare a coninutului EEPROM schimbarea coninutului EEPROM solicit cteva comenzi consecutive; coninutul EEPROM nu poate fi alterat dect dac atacatorul poate furniza toate comenzile n ordinea corect - Regitrii de control pentru anumite date nregistrate n EEPROM, diverse valori criptate sunt calculate i nregistrate n regitrii de control ai cardului; accesarea datelor nregistrate poate fi aprobat doar dac valoarea criptat recompus este identic cu valoarea din regitrii de control. Dei la acest moment sunt destul de puine (sau chiar zero) plngerile de spargeri n securitatea smart cardurilor, (se nregistreaz totui atingeri la cardurile de memorie) e clar c msurile 95
actuale de securitate nu vor fii suficiente n viitor odat ce noi tehnici de atac asupra cipului se vor dezvolta. Se va dori deci dezvoltarea de carduri care s permit upgrade-uri, de exemplu prin implementarea de noi algoritmi de criptare. Amprentele degetelor sunt pe bun dreptate identificatori individuali unici, i astfel, instrumentul perfect pentru identificarea, autentificarea i autorizarea persoanelor. Atunci cnd se vorbete de controlul accesului n reea, este obligatoriu a se avea n vedere: - identificarea securizat i autorizarea personalului - creterea gradului de folosin pentru personalul autorizat - reducerea costurilor cu administrarea reelei Sistemul de biometrie este soluia necesar, care ndeplinete toate aceste trei criterii. Conform The Biometric Consortium, biometria presupune utilizarea unor metode automate de recunoatere a unei persoane bazate pe caracteristicile fizice i comportamentale 130. Printre trsturile msurate se numr: faa, amprentele, geometria minii, semntura (scrisul de mn), irisul, retina, vasele de snge i vocea. Cu titlu de exemplu, soluia Touch Pass de la NEC aduce urmtoarele beneficii131: 1. Acuratee total; securitate maxim - sistemul realizeaz verificri multiple ale amprentelor n mai puin de o secund 2. Integrare perfect - nu exist dou organizaii care s aib aceleai cerine de securitate - sistemul este total flexibil i complet independent - sistemul poate fi adaptat cerinelor de securitate ale companiei (securizare pe nivele, pe persoane, fiiere etc) 3. Flexibilitatea maxim - este un serviciu de sine-stttor furniznd astfel soluii de logare pentru accesul n reea ultra-securizate - sistemul poate fi la rndul su integrat ntr-o soluie de securitate mult mai cuprinztoare o ex. NEC furnizeaz i soluia Advanced Digital Identity care incorporeaz i smart card-uri i certificate digitale 4. Avantaj total - avantaj n raport cu soluiile cu parole (uitate frecvent, de care se poate abuza, care se schimb frecvente etc) 5. Economisire de timp i bani se reduce securitatea administrat de om ntreaga procedur de logare este preluat de sistem, astfel personalul IT i managerii de securitate se pot concentra asupra altor probleme Dar iat ce spun cercettorii: uitai de parole i sisteme de biometrie! A aprut tehnologia behaviometric!132. 130 131
The Biometric Consortium, la http://www.biometrics.org NEC Touch Pass - Network Access Control with Biometrics, Biometric Datasheet, la http://www.nec.co.uk, accesat n 17.12.2003
96
Cercettorii de la Technion Israel Institute of Technology au dezvoltat un software care este capabil de a identifica utilizatorul calculatorului dup stilul individual de a scrie la tastatur. Es te vorba de o tehnologie care poate fi extins i la alte aplicaii care implic interaciuni complexe ntre oameni i maini. (astfel de aplicaii ar fi de exemplu identificarea oferilor sau piloilor neautorizai). Acest software are la baz un algoritm universal de predicie i utilizeaz date statistice strnse n timp ce o persoan lucreaz liber la tastatur i nva modelul specific de comportament care va identifica ulterior pe cel de la tastatur. O alt procedur utilizat n protejarea informaiilor i a originalitii acestora este utilizarea certificatelor digitale, acestea asigurnd semnarea electronica a mesajelor, permind astfel autentificarea expeditorilor. Semntura digital a unui mesaj este o configuraie de digii (cifre) depinznd de o anumit cheie secret deinut numai de semnatar (cheia privat) i de coninutul mesajului semnat. Semntura trebuie s poat fi supus unui mecanism de verificare sigur, astfel nct nici una din pri s nu poat nega aciunile efectuate n timpul tranzaciei, iar orice litigiu s poat fi rezolvat echitabil de ctre o ter parte, fr ca aceasta s cunoasc cheia privat a semnatarului133. Obinerea unor certificate digitale se realizeaz n general dup verificarea identitii celui care dorete un astfel de certificat i este n general destul de costisitoare. Exista autoriti de certificare care asigur ns servicii gratuite de acest tip. Printre ele se numr firma Thawte (http://www.thawte.com), care asigur crearea unui cont ce permite obinerea de certificate digitale n scopuri exclusiv personale gratuit (celelalte servicii fiind cu plat), i firma GlobalSign Network of Trust (http://www.globalsign.net) care asigur obinerea de certificate digitale demonstrative pentru scopuri personale (aceste certificate sunt valide pentru o luna). Pe lng toate cele menionate mai sus s-ar mai putea aduga modaliti de securizarea a aplicaiilor i a sistemului de operare, securizarea staiilor de lucru, a serverelor de e-mail, a serverelor de web cu acces public, administrarea soluiilor pentru managementul patch-urilor de securitate, politici de identificare i autentificare a utilizatorilor, analiza cookies i problema proteciei datelor cu caracter personal134 i poate multe altele. Nu trebuie uitat ns faptul c pentru a avea un sistem sigur nu este suficient o tehnologie corespunztoare, atta timp ct studiile arat c n medie 90% din breele de securitate identificate nu sunt datorate problemelor tehnologice, ci instalrii i configurrii necorespunztoare sau datorit nerespectrii unor proceduri de utilizare i administrare a sistemului. Securitatea este recunoscut ca fiind un concept multidimensional aa nct, toate domeniile de activitate (politic, diplomaie, economie, aprare, cultur, tiin etc.) i iau msuri care s asigure promovarea intereselor specifice fiecreia. Aceste sectoare de activitate nu exist independent unul de celalalt, legturile dintre ele fiind vitale pentru funcionarea optim.
132 133
Here comes behaviometric, la http://www.sap.info, accesat n 12.12.2005 Cantaragiu, ., opcit. 134 Legea nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor.
97
n aceste condiii, subiectul Protecia i Securitatea Sistemelor Informaionale este practic inepuizabil, mecanismele de aprare folosite depinznd de importana i gradul de confidenialitate a informaiei protejate, mecanisme ce ar trebui s aib n vedere135: - securitatea fizic controlul accesului fizic; - securitatea personalului selecia, urmrirea, autorizarea, supravegherea angajailor; - criptarea informaiilor importante protejarea datelor transmise la distan; - studierea tehnicilor specializate ale intruilor combaterea spargerii sistemelor informaionale; - suprimarea radiaiilor compromitoare stoparea radiaiilor acustice sau electomagnetice; - securitatea liniilor de comunicaie garantarea comunicrii corecte pe liniile care interconecteaz componentele sistemului; - securitatea sistemelor de prelucrare automat a datelor protejarea datelor din sistem mpotriva accesului neautorizat.
n ingineria software nu se d masa gratis. Dac insistai s meninei costuri mici i s grbii proiectul, calitatea va fi sczut sau riscul de eec va fi mare, indiferent ct de bine este condus proiectul. (Paul Dorsey)
135
Oprea, D., Protecia i securitatea informaiilor, Polirom, Iai, 2003, p.49
98
Cap.VII Evaluare, ierarhizare

Obiective Cunoaterea i nelegerea metodelor de evaluare a riscului Prezentarea metodei Monte Carlo nelegerea importanei ierarhizrii riscului n conceperea registrului riscului
Riscurile la care este expus un proiect informaional sau o organizaie nu ar putea fi gestionate corespunztor dac procesul de management al riscurilor s-ar oprii imediat dup faza identificrii acestora. Am vzut ca modelul de management al riscului dezvoltat de Project Management Institute este136: identificarea riscurilor cuantificarea riscurilor planul de rspuns la risc controlul rspunsului la risc. Am vzut de asemenea c procesele managementului riscului sunt privite diferit de diverse organisme ce se ocup cu analiza acestei practici, n realitate doar denumirea fazelor fiind alta: - identificarea riscului i cuantificarea riscului sunt uneori tratate mpreun i poart denumirea de evaluarea riscului sau de analiz a riscului; planul de rspuns la risc este uneori ntlnit i sub denumirea de plan de atenuare a riscului; planul de rspuns la risc i planul de control al riscului sunt uneori tratate mpreun sub numele de plan de management al riscului.
Preiau punctul de vedere n care urmtorul pas n procesul de management al riscului este analiza riscurilor i voi prezenta aspecte referitoare la procesel e de evaluare, cuantificare a riscurilor i la prioritizarea acestora n ordinea efectului rezultat n urma apariiei riscului identificat. Analiza riscurilor reprezint conversia datelor despre riscuri n informaii decizionale cu privire la acele riscuri. Prin procesul de analiz a riscurilor, se asigur c echipa este contient de adevratele riscuri poteniale.
136
Duncan, W.R., opcit., p.115
99
VII.1 Evaluarea riscului element esenial n procesul de management al riscurilor

Toate elementele ciclului de management al riscului sunt importante. ns dup United States General Accounting Office, evaluarea riscului furnizeaz piatra de temelie pentru toate celelalte elemente. n particular, evaluarea riscului furnizeaz baza pentru stabilirea politicilor potrivite i pentru selectarea tehnicilor celor mai eficiente din punct de vedere al costurilor de implementare a acestor politici. Att timp ct riscurile i ameninrile se schimb de-a lungul timpului este important pentru organizaie s realizeze periodic o reevaluare a riscurilor i o reconsiderare a eficienei politicilor i modalitilor de control stabilite137. n opinia instituiei mai sus menionate procesul de evaluare a riscurilor include urmtoarele elemente138: - identificarea ameninrilor care ar putea s rneasc i astfel s afecteze n mod negativ operaiile critice i bunurile. Ameninrile includ aspecte precum: intrui, criminali, angajai ruvoitori, teroriti, dezastre naturale - estimarea probabilitii ca astfel de ameninri s se materializeze, bazndu-se pe informaii de natur istoric i pe cunotinele individuale - identificarea i prioritizarea valorii, sensibilitii i a naturii critice a operaiilor i a bunurilor ce pot fi afectate n cazul n care o astfel de ameninare se materializeaz n ideea determinrii operaiilor i a bunurilor cele mai importante - estimarea, pentru cele mai critice i sensibile operaii i bunuri, a pierderilor poteniale sau a pagubelor ce pot avea loc dac se materializeaz o astfel de ameninare, incluznd i costurile de reparare - identificarea aciunilor eficiente din punct de vedere al costurilor de natur a reduce efectele riscurilor. Aceste aciuni pot include implementarea de noi politici i proceduri organizaionale, precum i controale tehnice sau fizice - documentarea rezultatelor i dezvoltarea de planuri de aciune United States General Accounting Office prezint n broura Information Security Risk Assessment- Practices of Leading Organizations, dou studii de caz: - analiza riscurilor n cazul unei companii petroliere multinaionale i - analiza riscurilor n cadrul unei companii de servicii financiare. Diagramele procesului de evaluare a riscului arat n felul urmtor:
137
GAO/AIMD-99-139 Information Security Risk Assessment - Practices of Leading Organizations, la http://www.itgi.org/template_ITGI.cfm?Section=Risk_Management1&Template=/TaggedPage/TaggedPageDisplay. cfm&TPLID=60&ContentID=10652, accesat n 19.12.2003 138 Ibidem
100
Caz 1 Diagrama procesului de evaluare a riscului Pai Entiti implicate Planificare i Pregtire Dezvoltarea planului proiectului i selectarea echipei de evaluare Coordonatorul de management al riscului Manager general
Activitile echipei de evaluare a riscurilor Strngere de informaii Membrii echipei i ali indivizi ce dein cunotine
Identificarea riscurilor Departamentul de evaluare a ameninrilor
Evaluarea riscurilor Membrii echipei
Dezvoltarea de scenarii Membrii echipei
Clasificarea riscurilor
Membrii echipei
Identificarea de contramsuri pentru a reduce efectul riscurilor Membrii echipei Departamente ale unitii
Raportare i urmrire Informarea managementului Membrii echipei Dezvoltarea raportului Coordonatorul de management al riscului Dezvoltarea planului de aciune Managerul general
Fig. 11 Diagrama procesului de evaluare a riscului (caz 1)
101
Caz 2 Diagrama procesului de evaluare a riscului Pai Entiti implicate
Selctarea sistemului i pregtirea pentru evaluare
Manageri departamente
Baze de date cu informaii
Management general
Manageri Persoan cheie
Derularea edinelor pentru a clasifica informaiile critice i a identifica controlul existent
Documente i rezultate diseminate Persoan cheie (Focal Point) NU
Dezvoltarea declaraiei de acceptare a riscului

Coordonatorul organizaiei pe parte de risc informaional Comitetul Focal Point
Manageri Personal IT Persoan cheie Exist lipsuri?

Compararea controalelor existente cu cerinele de control obligatorii i opionale
Declaraia de acceptare a riscului
DA Dezvoltarea declaraiei de acceptare a riscului NU

Manageri de departamente
Manageri Personal IT Persoan cheie
Exist lipsuri?
Persoan cheie
Comitetul Focal Point
DA
Manageri generali
Recomandare de soluii de corectare a lipsurilor
Manageri generali Persoan cheie
Legend:
Procese Entiti implicate Cui se raporteaz rezultatele Bloc decizional Fig. 12 Diagrama procesului de evaluare a riscului (caz 2) Document
102
n opinia lui Constantin Opran evaluarea riscurilor reprezint prima etap n cadrul managementului riscului n proiecte, fiind elementul de baz al ntregului proces139. Evaluarea riscurilor reprezint rezultatul unui complex de factori funcie de experiena relevant n domeniul evenimentelor de analizat i utilizarea cu succes a tehnicilor specifice de management. n cadrul evalurii riscurilor n proiecte se folosesc urmtoarele categorii distincte: 1. Planificarea preliminar a procedurilor de identificarea a riscurilor i a activitilor de management al riscurilor pentru evenimentele proiectului. 2. Identificarea riscurilor posibile care pot apare n desfurarea proiectului i care afecteaz rezultatele proiectului. Realizarea unei liste a riscurilor identificate cu elaborarea profilului de risc care s pun n eviden caracteristicile acestora. 3. Evidenierea riscurilor pe baza experienelor precedente. 4. Compararea riscurilor selectate cu cele survenite n cadrul evenimentelor similare. 5. Analiza calitativ a riscurilor prin evidenierea preliminar a unei analize calitative a riscurilor i a condiiilor care conduc la o stabilire a prioritilor efectelor riscurilor asupra obiectivelor proiectului. 6. Analiza cantitativ a riscurilor prin msurarea probabilitii apariiei riscurilor i consecinelor riscurilor cu estimarea implicaiei riscurilor asupra obiectivelor proiectului. 7. Stabilirea riscurilor ce pot surveni n proiect ca urmare a desfurarea activitilor i a bugetului evenimentelor componente proiectului. Activitate de analiz a riscurilor implic aciuni de evaluare, cuantificare a riscului i a interaciunii dintre riscuri, n scopul anticiprii rezultatelor proiectului. Este o faz dificil, multe evenimente putnd influena procesul n moduri neateptate140: - oportunitile i ameninrile pot interaciona ntr-un mod neateptat (ex. ntrzierea unei activiti poate fora considerarea unei noi strategii care pe total ar duce la reducerea perioadei de realizare a proiectului); - un singur risc poate cauza efecte multiple (ex. ntrzierea n livrarea unei componente poate duce la creterea costurilor, ntrziere calendaristic, penaliti, produs mai slab calitativ); - oportunitile pentru unul din acionari / susintori financiari pot reprezenta ameninri pentru altul (ex. reducerea costurilor versus reducerea profitului) - tehnicile matematice folosite pot crea o fals impresie a preciziei i ncrederii. La acest nivel se fac uz de tehnici de analiz a riscurilor identificate n scopul evalurii, cuantificrii i prioritizrii acestora. n funcie de rezultatele obinute se va decide ordinea alocrii resurselor pentru controlul i finanarea riscurilor. Legtura dintre activitile companiei (cele selectate spre analiz) i riscuri este foarte complex, putnd fi realizat pe mai multe niveluri de detaliere. Ea trebuie s fie cuantificat cantitativ, pe lng caracterizarea calitativ.
139 140
Opran, C., .a. , opcit., pp.87-88 Duncan, W.R., opcit., p.115
103
Se propune, deci, o abordare de detaliu, utiliznd o matrice realizat pe mai multe planuri141: planul activitilor; planul riscurilor / expunerilor / hazardurilor; planul impactului riscurilor asupra fiecrei activiti, exprimat calitativ;
planul evalurii cantitative a impactului. Matricea permite o detaliere mai mare a riscurilor prin considerarea expunerilor specifice la care sunt supuse diferitele activiti. Evident, att expunerile ct i impactul riscurilor trebuie detaliate n cadrul unui proces de analiz iterativ. Matricea de evaluare a riscurilor propus de ctre United States General Accounting Office n Information Security Risk Assessment- Practices of Leading Organizations, n studiul de caz privitor la analiza riscurilor n cazul unei companii petroliere multinaionale se prezint astfel: Nivel de severitate I (Mare) II III IV (Mic)
Fig. 13 Matricea riscului
(A) Frecvent
(B) Probabil
Probabilitate de apariie (C) Ocazional (D) Vag
(E) Improbabil
Risc 1 Nedorit; Solicit aciuni corective imediate Risc 2 Nedorit; Solicit aciuni corective; Se permite puin libertate de aciune Risc 3 Acceptabil; Solicit revizii, inspecii din partea managerului. Risc 4 Acceptabil; Fr revizie
Folosind o astfel de matrice, orientarea prioritilor de decizie se va face cu precdere asupra situaiilor de risc cu gravitate i frecven de producere foarte mari, adic a celor catastrofale. O matrice similar propune i profesorul Jean-Paul Louisot, denumit maparea riscului (risk mapping) 142: Frecven Severitate Ridicat Joas Joas D A
Fig. 14 Maparea riscului
Ridicat B C
141 142
Brbulescu, C. .a., opcit. Louisot, J.P., opcit.
104
OBS. Fiecare organizaie trebuie s decid pentru sine ce va considera c are un nivel ridicat i ce va accepta ca fiind de un nivel sczut, lundu-se n considerare consideraii precum puterea financiar, stabilitatea fluxului de numerar, nivelul profitului i stabilitatea acestuia, precum i alte elemente subiective. Descrierea cadranelor din matrice: A Frecven i Severitate joas - nu au impact important asupra profiturilor - pot fi administrate la momentul apariiei (dac apar) - pot fi practic ignorate - nu solicit monitorizare B Frecven i Severitate ridicat - orice organizaie nu trebuie s permit astfel de expuneri - sunt tratate cu tehnici de evitare sau suprimare a riscurilor - trebuie evitat implicarea n astfel de proiecte - se evit ns atingerea acestui nivel prin atragerea unui manager de risc competent nc din primele faze ale derulrii unui proiect OBS. Datorit caracteristicilor intime i din raiuni practice ale situaiilor prezentate mai sus, domeniile managerului de risc sunt limitate la cele care urmeaz. C Frecven ridicat, Severitate joas - este zona n care se aplic regulile statisticii - previziunile pentru anul ce va veni se fac pe baza acumulate din trecut trecute i pe evoluia probabil - aceste previziuni pot fi meninute n limite care nu interfereaz serios cu procesul de bugetare - presupune c organizaia a colectat i nregistrat destul de multe date statistice referitoare la pierderile trecute - trebuie inut cont c msurile de prevenire a pierderilor genereaz costuri pentru organizaie, att pe termen lung ct i pe termen scurt - toate scenariile trebuie analizate i luate n calcul inclusiv diverse schimbri care ar duce la un an mult mai prost D Frecven joas, Severitate ridicat - este zona n care experiena managerului de risc este esenial - este situaia n care, n cazul n care evenimentul se produce, consecinele asupra organizaiei sunt att de negative nct activitile firmei nu pot reporni fr o puternic injecie de fonduri externe este una din funciile principale ale comunitii de asigurri
OBS. - Maparea riscurilor este un instrument ce permite clasificarea, compararea i ierarhizarea expunerilor astfel nct planuri de aciune eficiente s poat fi dezvoltate imediat pentru a le media sau trata. 105
Altfel spus, este vorba de un reprezentare grafic dinamic a evoluiei profilului riscului organizaional. - Maparea riscului este de altfel un excelent instrument de audit i comunicare intern i extern pentru managerii de risc i consiliul executiv al organizaiei. Deciziile de tratare a acestor riscuri pe baza ierarhizrilor fcute se vor lua utiliznd metode (brainstorming, Frisco, Delphi, metoda grupurilor nominale, metode probabiliste: sperana matematic a rezultatelor, arborii de decizie) i criterii (regula lui Wald, criteriul optimist, regula lui Hurwicz, regula lui Savage, criteriul Laplace) specifice143. Nivelul critic al situaiei este evaluat n funcie de relaia: Altfel spus: (probabilitate / frecven de apariie) x (gravitatea / severitatea impactului) RE = P x L unde, - RE (risk exposure) = expunerea la risc P (risk probability) = probabilitatea de apariie a riscului L (loss) = pierderea (suma implicat n joc)
n aceste analize trebuie avut n vedere i faptul c uneori este destul de greu a se estima exact valoarea acestei relaii. Recomandarea n astfel de situaii este de a se utiliza toate metodele matematice cunoscute i care ar putea fi utile n situaia dat, ns fr a rmne blocat pe analize de acest tip, ci a se ine cont i de judecata personal. O remarc umoristic144 ar suna astfel:.nu te mai chinui s dezlegi Nodul Gordian...TAIEL!!!145 La acest nivel INPUT-urile sunt reprezentate de tolerana la risc a acionarilor / sponsorilor, de ctre sursele de risc, de evenimentele riscante poteniale, de estimri ale costurilor, de estimri ale duratei totale de realizare a proiectului. Metodele i tehnicile de evaluare pot fi direcionate pe dou ci: evaluare cantitativ i evaluare calitativ. Analiza calitativ a riscurilor este un proces de evaluare a impactului factorilor de risc identificai. Prin acest proces se determin prioritile n soluionarea poteni alilor factori de risc, n funcie de impactul pe care l pot avea. Analiza calitativ a riscurilor implic utilizarea unor instrumente specifice care s permit eliminarea factorilor subiectivi i revizuirea rezultatelor pe parcursul ciclului de via al proiectului, astfel nct s poat fi considerate eventualele modificri din proiect.
143 144
Louisot, J.P., opcit. http://home.btconnect.com/managingstandard/risk_1.htm#INTRO 145 ...avoid trying to untie a Gordian Knot, just cut the thing...
106
Prin analiza cantitativ a riscurilor se urmrete obinerea unor rezultate numerice care s exprime probabilitatea fiecrui factor de risc i consecinele asupra obiectivelor proiectului, dar i riscul la nivelul ntregului proiect. Procesul utilizeaz tehnici ca metoda Monte Carlo pentru: - determinarea probabilitii de a atinge un obiectiv; - cuantificarea riscurilor la nivelul ntregului proiect i determinarea costurilor suplimentare care ar putea fi necesare; - identificarea factorilor de risc prioritari prin cuantificarea contribuiei lor la indicatorul riscului la nivelul ntregului proiect; - identificarea unor modificri realiste ale costurilor i planului de activiti. De obicei, analiza cantitativ urmeaz analizei calitative, dar cele dou procese pot fi realizate simultan. Tendinele cresctoare sau descresctoare indic necesitatea creterii sau scderii aciunilor de management al riscului. Una din metodele de evaluare propune analiza riscurilor prin prisma a patru elemente146: impact financiar, vulnerabilitate, complexitate, ncredere, unde: - impactul financiar: o estimare a valorii monetare pe care organizaia o poate pierde n condiiile apariiei unui eveniment negativ; - vulnerabilitatea: analiza accesului utilizatorilor (ne)cunoscui la sistem, i la activele informaionale; - complexitatea: analiza tehnologiei informaionale versus dependena de specialiti versus funciile sistemului; - ncrederea: analiza comportamentului uman. Un alt punct de vedere clasific metodele i tehnicile de evaluare i cuantificare astfel147: - valoarea monetar ateptat, i reprezint produsul dintre probabilitatea de apariie a evenimentului riscant i valoarea (ctig / pierdere) pe care o va implica producerea evenimentului riscant; o ajut la stabilirea bugetului; o folosete la prognozarea pierderilor viitoare. - sume statistice: se calculeaz costurile totale ale proiectului plecnd de la costul unei activiti; - simulri (ex. simulri Monte Carlo): se analizeaz comportamentul sau performana sistemului; - arbori decizionali: o diagram ce prezint interaciunile dintre decizii i evenimente; - opinii ale experilor. Alt tehnic de evaluare a riscurilor const n realizarea unei liste a riscurilor identificate. Aceast tehnic are la baz principiu consultrii tuturor persoanelor implicate n derularea unui proiect respectiv a evenimentului de analizat i influena asupra factorilor care ar putea contribui ntr-un mod direct sau indirect la direcionarea negativ a activitilor sau rezultatelor.
146 147
Munteanu, A., opcit., p.55 Oprea, D., opcit., 2003, p.49
107
Modalitile principale prin care se pun n eviden posibilele riscuri ce pot aprea sunt: sesiunile de brainstorming i interviurile. Sesiunile de brainstorming (reuniuni de lucru generatoare de idei noi) sunt prin structura lor cele mai agreate metode de a genera idei de identificare a potenialelor riscuri ce pot interveni pentru un proiect, utiliznd n acest scop dou tehnici distincte complementare. Prima tehnic se refer la generarea de ctre membrii consoriului de analiz a unei liste care s conin idei ct mai semnificative referitoare la riscurile ce pot surveni n proiect. A doua tehnic abordeaz combinarea riscurilor similare i ordonarea lor dup magnitudine cu probabilitatea de apariie. Urmeaz apoi eliminarea riscurilor ce implic o ans mic de apariie i influeneaz n mod nesemnificativ derularea proiectului. o Sesiunea de brainstorming: Ofer idei de analiz a riscurilor fr evaluare sau judeci Ofer posibilitatea construirii de metode pe baza ideilor oferite Se vor repeta pn ce toate ideile despre analiza riscului sunt epuizate Interviurile individuale cu persoanele implicate n cadrul proiectului, necesit o structur mult mai elaborat dect sesiunile de brainstorming, deoarece n cadrul unei astfel de tehnici sunt n general utilizate seturi de ntrebri speciale menite s vin n ajutorul cristalizrii unei opinii a persoanei intervievate.
VII.1.1 Metoda Monte Carlo

O modalitate de a realiza evaluarea riscurilor n cadrul unui proiect sau situaie practic, este cea a simulrii. Simularea reprezint un proces de stabilire a deciziilor cu ajutorul unor modele care constituie reprezentri simplificate ale unor sisteme reale. Etapele simulrii decizionale sunt148: 1. determinarea domeniului care va fi simulat; 2. stabilirea factorilor economici, tehnici si juridici care acioneaz n domeniul respectiv si a legaturilor elementele domeniului si factorii respectivi; 3. elaborarea modelelor economice si matematice care prezint mai bine procesele simulate; 4. elaborarea programelor pe calculator; 5. simularea si adaptarea deciziilor. Simularea deciziilor economice poate fi aplicat tuturor claselor de probleme care cuprind reguli de funcionare, politici si proceduri cum ar fi cele privind adaptarea deciziilor, controlul deciziilor si politica de preuri. Aciunea tehnica de simulare nu este de fapt un procedeu de optimizare a deciziei. Rezolvarea problemelor cu ajutorul tehnicilor de simulare presupune utilizarea unor algoritmi interactivi si existenta unor pai bine determinai n vederea atingerii obiectivului presupus. Datele de intrare sunt, de obicei, variabile aleatoare obinute n urma generrii lor de ctre un generator de numere aleatoare.
148
Puiu, C., Economia ntreprinderii, suport de curs, Colegiul Universitar Drobeta Turnu Severin, la http://cis01.central.ucv.ro/csv/idd.html, accesat n 21.03.2005
108
Metoda "Monte Carlo" se bazeaz pe utilizarea unor astfel de variabile aleatoare, deoarece pentru modelele ce implica existenta unui numr mare de variabile decizionale, metoda folosete n mod necesar tehnica de calcul, iar algoritmul metodei este prezentat n succesiunea etapelor sale interactive. Paii metodei "Monte Carlo" sunt urmtorii149: 1. Se determina variabilele sau componentele cele mai semnificative ale modelului. 2. Se determina o msura a eficacitii pe care o au variabilele modelului studiat. 3. Se schieaz distribuiile de probabilitate cumulata ale modelului. 4. Se stabilesc irurile de numere aleatoare care sunt ntr-o corespondenta directa cu distribuiile de probabilitate cumulata ale fiecrei variabile. 5. Pe baza examinrii rezultatelor obinute se determina soluiile posibile ale problemei. 6. Se genereaz un set de numere aleatoare folosind tabelele de numere aleatoare. 7. Utiliznd fiecare numr aleator si distribuia de probabilitate, se determina valorile fiecrei variabile. 8. Se calculeaz valoarea variabila funcional de performanta. 9. Se reiau ncercrile de la pasul 6 si 8 pentru fiecare soluie posibila. 10. Pe baza rezultatelor obinute se ia o decizie cu privire la soluia optima. Modelarea Monte Carlo seamn puin cu tehnica de estimare PERT150. n loc de a da o singur estimare pentru durata unei activiti, se furnizeaz o serie de estimri care reprezint cazul cel mai favorabil, cazul cel mai probabil si cazul cel mai defavorabil. Pentru fiecare dintre aceste cazuri, se aloc de asemeni o probabilitate. Simularea arat cum va progresa proiectul i cum va ndeplini o dat estimat de ncheiere. Proiectul este apoi descompus din nou, de data aceasta utiliznd probabiliti diferite, rezultnd o dat diferit de ncheiere. Motivul pentru care modelul este rulat de mai multe ori este de a da posibilitatea procentului de risc s se reflecte n rezultat. Avantajul simulrii Monte Carlo este c, dac estimrile sunt date ntr-o marj, majoritatea uneltelor software fac automat toate calculele statistice. Trebuie doar s ne asigurm c am furnizat estimri valide i rezonabile pentru toate activitile. Simularea Monte Carlo este folosit de diverse programe software de analiz a riscurilor. Un astfel de produs este i @Risk soluie operaional de management al riscurilor n proiecte. Mai precis, este vorba de o suit de aplicaii - Decision Tools Suite, de la Palisade Europe - care transform Excel-ul sau Microsoft Project ntr-un puternic instrument de analiz a riscurilor i de asisten n luarea deciziilor strategice sau operaionale. Soluia se preteaz la orice industrie, indiferent de obiectul de activitate sau de dimensiunea afacerii. Instrumentul de baz al suitei, @RISK, ofer o mare putere de calcul folosind simularea Monte Carlo, tehnic matematic pentru rezolvarea numeric a ecuaiilor difereniale. Folosind tehnica simulrii @Risk combin toate incertitudinile identificate n proiecte pentru a rula o analiz de tipul what if n vederea identificrii tuturor rezultatelor posibile ale proiectului.
149 150
Ibidem Construirea planului de lucru / Estimarea, TenStep Project Management Process (TM), TenStep Romnia, la http://www.tenstep.ro/2.2.1ConstruiestePlanul.htm, accesat n 04.08.2006
109
Paii de analiz a riscurilor cu utilitarul @Risk151
1) Dezvoltarea unui model - dezvoltarea unui model care s defineasc problema sau situaia real cu care se confrunt compania cu scopul de a putea analiza respectiva problem din toate punctele de vedere posibile. - acurateea modelului (input-ul) ce urmeaz a fi supus simulrii are o direct reflectare n acurateea rezultatelor (output-ul). 2) Definirea elementelor incerte - toate valorile posibile pentru aceste variabile vor trebui luate n calcul pentru ca rezultatele simulrii s aib relevan. - se folosesc funciile de distribuie a probabilitilor (Probability Distributions Functions PDF), care descriu gama de valori posibile pentru o variabil i probabilitile asociate cu aceste valori. 3) Analiza modelului prin rularea unei simulri - prin simulare, modelul este calculat n mod repetat, @RISK folosind de fiecare dat un set diferit de posibile valori ale variabilelor din input. - se ncearc toate combinaiile valide ale variabilelor din input pentru a simula toate efectele posibile. - este ca i cum s-ar rula sute sau mii de analize de tip what if, schimbnd toate variabilele din input n acelai timp, pentru fiecare iteraie. 4) Evaluarea rezultatelor i propunerea unei decizii - @RISK genereaz o distribuie a posibilelor efecte pe care le poate avea un model i indic probabilitatea ca fiecare dintre aceste efecte s apar. - gama de probabiliti care apare n urma simulrii Monte Carlo este posibil s fie diferit i mai corect dect rezultatele unor analize tradiionale, de tip "cel mai ru caz - cel mai bun caz". - cu Monte Carlo sunt evideniate acele rezultate care sunt mai probabile dect celelalte i care ar trebui s capete o pondere mai nsemnat n cadrul evalurii. Alte soluii soft de analiz a riscurilor n proiecte: 1. RiskID Pro de la Accela Research (www.accelaresearch.com) soft de identificare i evaluare a riscurilor n proiectele informaionale; 2. RiskRadar de la Integrated Computer Engineering Directorate, American Systems Corporation (www.iceincUSA.com) soft folosit n diverse tipuri de proiecte ce ajut la categorisirea, prioritizarea, urmrirea, controlul i administrarea riscurilor; 3. Cobra (Consultative, Objective and Bi-functional Risk Analysis) de la C & A Systems Security - component de managementul costurilor, analize de buget i analize previzionale (what if); 4. Trakker ofer o varietate de componente, pe lng cele standard de planificar e a activitilor sau analiz a costurilor, ca de exemplu utilitare de management al riscului.
151
@Risk for Project (guide to) - Advanced Risk Analysis for Project Management, Palisade Corporation, 2000, p.25
110
VII.1.2 Alte metode de analiz / evaluare / cuantificare a riscurilor

Urmare a creterii calitii i complexitii evalurii expunerii la riscuri (vorbim aici de domeniul financiar-bancar) a aprut necesitatea Acordului Basel II. Astfel, conform Acordului Basel II, expunerile la risc pot fi evaluate att prin intermediul unor metode standardizate, similare celor conform Acordului Basel I, ct i prin intermediul unor metode bazate pe observaii istorice i pe metode matematice probabilistice152: Value at Risk VaR (metod prezentat de altfel mai sus) Diveri indicatori: o Probability of Default PD o Loss Given Default LGD o Exposure at Default etc. Pentru evaluarea i msurarea riscurilor din domeniul bancar (bnci comerciale) se folosesc i diveri indicatori, precum: - indicatorii riscului de credit o cei mai utiliti: volumul creditelor restante / total credite x 100 volumul creditelor neperformante / total credite x 100 indicatorii riscului de lichiditate lichiditate global lichiditate imediat (de trezorerie) lichiditate n funcie de total depozite lichiditate n funcie de total depozite i mprumuturi o rata lichiditii exprim evoluia gradului de ndatorare a bncii fa de piaa monetar o Indicele de lichiditate reprezint raportul dintre suma pasivelor i suma activelor, ambele ponderate cu numrul mediu de zile sau cu numrul curent al grupei de scadene respective indicatori de solvabilitate indicatorii riscului ratei dobnzii o raport ntre activele productive i pasivele purttoare de dobnzi indicatorii riscului valutar o poziia valutar individual o poziia valutar global Evaluarea riscurilor poate fii fcut i apelnd la noiuni i tehnici ale statisticii, asta mai ales c n cea mai mare parte managementul riscului se bazeaz pe elemente de prognoz.
152
Impactul Basel II n bncile romneti, Revista de soluii informatice pentru management, Market Watch IT&C, Nr.31, martie 2004, la http://www.marketwatch.ro/articles.php?ai=97, accesat n 01.04.2004
111
Se folosesc153: - indicatorii tendinei centrale (indicatori statistici reprezentativi ce caracterizeaz tendina datelor statistice de a se grupa n jurul valorii centrale, medii sau mijlocii) o media aritmetic o mediana o modulul - indicatorii tendinei dispersionale analiz variaional (identific tendinele datelor aflate la periferia distribuiei statistice) o amplitudinea absolut - Identific diferenele nregistrate ntre scorurile minime i maxime ale unei colectiviti statistice o amplitudinea relativ - Utilizat n general pentru comparaia a dou distribuii statistice ce se exprim n uniti diferite o dispersia unei colectiviti statistice de date, reprezint practic media aritmetic a ptratelor abaterilor termenilor fa de media lor o abaterea standard (abaterea medie ptratic ) se definete ca radicalul indicatorului de dispersie Se folosesc de asemenea, - calculul corelaiilor Ex. coeficientul de corelaie r (Bravais-Pearson) - analize statistice cu ajutorul utilitarului SPSS (Statistical Program for Social Science) Mai mult metode de implementare a unor soluii ERP, dar care pun totui pe loc primordial procesul de identificare-evaluare a riscurilor nc din faza de proiectare a sistemului, sunt i metodologiile ASAP (Accelerated SAP) de la SAP, The Total Solution de la Ernst & Young LLP sau Fast Track Workplan de la Deloitte & Touche154. Scurt prezentare a acestora: Accelerated SAP (ASAP) Harta de implementare ASAP este un proiect detaliat conceput de ctre liderul de pe piaa soluiilor ERP, SAP155, ce prezint toate activitile ce trebuie urmate n implementarea unui proiect. Acesta include tot arealul tehnic pentru a sprijini partea tehnic a managementului de proiect, referindu-se la aspecte precum interfa, conversie a datelor, autorizarea datelor, diferena fiind ca aceste aspecte se au n vedere mult mai devreme dect n cele mai multe implementri tradiionale. Harta ASAP presupune urmtoarele 5 faze: - pregtirea proiectului - schia afacerii
153 154
Opran, C., .a., opcit. pp.262-268 Bruges, P., ERP implementation methodology, MSIS 488 - Fall, 2002, la http://sap.ittoolbox.com/documents/document.asp?i=2391, accesat n 17.04.2005 155 http://www.sap.com/index.epx
112
- realizarea - pregtirile finale - implementarea (GO LIVE!) i sprijinirea n mod continuu a schimbrilor Metodologia ASAP folosete cu titlu de mostre, diverse exemple, liste de verificare, modele. Acestea sunt denumite acceleratori i se folosesc ca puncte de start, din dorina de a evita reinventarea roii Prezentarea fazelor: Faza 1 - Pregtirea Proiectului Pregtirea corespunztoare i evaluarea promptitudinii organizaionale sunt eseniale, atrgnd dup sine: - acordul total asupra situaiei ca n spatele proiectului s fie implicai tot personalul decizional din companie; - obiective ale proiectului clare; - un proces decizional eficient; - o cultur organizaional a companiei ce accept schimbrile. Faza 2 - Schia Afacerii Se livreaz un set complet de instrumente ce conin procese de afaceri predefinite. Se ncearc astfel ncadrarea soluiei ntr-un proces al unei ramuri specifice. Procesele de afaceri sunt documentate astfel nct s reflecte viziunea viitoare a afacerii, pentru aceasta folosindu-se chestionarele i diverse modele preexistente Schia afacerii reprezint cu alte cuvinte, un model vizual al situaiei din viitor a afacerii. Astfel, va favoriza echipa de proiect s defineasc foarte clar scopul i s acorde atenie doar proceselor ce sunt necesare pentru a derula afacerea. Faza 3 - Realizarea Pe baza schiei afacerii, ncepe un proces din doi pai de configurare a sistemului SAP R/3. Primul pas configurarea sistemului. Al doilea pas sistemul este acordat astfel nct s ndeplineasc toate cerinele procesului de afaceri. Faza 4 - Pregtirile Finale Sunt efectuate ajustrile necesare pentru a pregti sistemul i afacerea pentru start -up. Se realizeaz teste finale i se ncheie training-ul utilizatorilor finali. Se dezvolt proceduri iniiale de audit. Faza 5 GO LIVE i susinerea Sunt dezvoltate proceduri i msuri de revizuire a beneficiilor rezultate din investiia n sistemul SAP R/3. Se asigur suport i service din partea companiei pentru a se asigura c sistemul continu s ruleze corespunztor. Sistemul de acordare a service-ului on-line (The Online Service System - OSS) furnizeaz suport utilizndu-se conectarea de la distan. Asistentul de implementare acord rspunsuri la cele mai multe ntrebri ce pot s apar. Se folosete un dicionar de informaii ce definesc ce s se fac, cine ar trebui s fac, i ct ar trebui s dureze...
113
The Total Solution (Ernest & Young) Ernst & Young LLP a dezvoltat o abordare de re-construire (reenginnering) a sistemului, abordare ce conine 5 componente: Faza 1 - Propunerea: construirea procesului de afacere nainte de a ncepe un proces trebuie a se asigura c are sens i c este neles n spiritul afacerii respective. Se cere a se rspunde la urmtoarele ntrebri: - Este justificat investiia n tehnologie? - Se potrivete cu obiectivele companiei? - nelege conducerea ce nseamn schimbrile i sunt aceste schimbri susinute? - Care este cadrul decizional? - Care sunt jaloanele care vor evidenia progresul proiectului? - Prin intermediul procesului se furnizeaz valoare? Faza 2 - Verificarea Realitii: evaluarea disponibilitii la schimbare a organizaiei Schimbarea nu e uor de implementat. Se cere rspunderea la urmtoarele ntrebri: - Este organizaia gata de schimbare? - Sunt ordine de zi ascunse? Cum vor fii administrate acestea? - Este toat lumea la curent cu natura, scopul schimbrii? - Care sunt ateptrile conducerii? Cunoaterea rspunsului la aceste ntrebri de timpuriu, ajut la evitarea posibilitii ca schimbarea s nu se potriveasc cu realitatea (ateptrile) clientului Faza 3 - Abordare Aliniat: stabilirea ateptrilor i a valorii de obinut pe termen scurt i pe termen lung. Beneficiile reprezint cheia succesului oricrui proiect. Chiar i atunci cnd schimbarea este neconfortabil pentru unii, vor accepta-o mai uor dac progresul este vizibil. Sunt realizate urmtoarele activiti: - Evaluarea alternativelor la re-proiectarea ntreag a proiectului; - Proiectarea abordrii care se potrivete cel mai bine i care permite ca implementarea s se realizeze cu module bine definite; - Comunicarea ctre conducere a rezultatelor ateptate. Comunicarea trebuie pstrat de -a lungul ntregului proiect pentru a se evita surprizele neplcute la final. Faza 4 - Dimensiunea Succesului: este important pentru succesul proiectului i mbinarea corect de oameni, capaciti, metode i stil de management. Echipa de implementare trebuie s includ oameni cu ndemnare n managementul proceselor, managementul schimbrii, managementul cunotinelor i cu cunotine n domeniul n care se implementeaz sistemul. Lucrul n echip este de altfel foarte important. Faza 5 - Livrarea Valorii: msurarea rezultatelor i srbtorirea succesului.
114
Proiectul ce nu va prezenta rezultate favorabile de-a lungul implementrii are anse mari s se nfunde n noroi. n astfel de cazuri oamenii i pierd entuziasmul. Prezentarea rezultatelor proiectului de-a lungul implementrii ajut i la minimizarea riscului de efect la schimbare. The Fast Track Workplan (Deloitte & Touche) Aceast abordare prezint urmtoarele faze: - stabilirea scopului i planificarea: Se iniiaz planificarea proiectului - stabilirea viziunii i a intelor de atins: Sunt identificate viziunea i intele de atins - reproiectarea: Sunt declanate reproiectarea software i dezvoltarea unui nou soft - configurarea: Se planific procesul de integrare - testarea i livrarea: Se livreaz sistemul Abordarea Fast Track identific 5 zone care trebuie s fie atinse de-a lungul fazelor de implementare: - managementul de proiect: ce include organizarea proiectului, managementul de risc, planificarea, monitorizarea, comunicarea, stabilirea bugetului, stabilirea echipei i asigurarea calitii; arhitectura IT: selecia componentelor hardware i de reea, achiziia, instalarea, operarea, proiectarea software, dezvoltarea i instalarea; integritatea sistemului i a proceselor: securitate i audit; schimbare de leadership: structurarea organizaiei, pregtirea pentru schimbare, pentru noi politici i msuri; training i documentare: asigurarea de training echipei de implementare, conducerii, utilizatorilor finali, echipei de helpdesk.
Metoda Delphi Pai: 1. selectarea unui comitet de experi (izolai unul de cellalt i fr a se cunoate) 2. pregtirea i punerea n circulaie a unui chestionar despre risc 3. solicitarea de abordri de administrare a riscului i alte opinii 4. distribuirea tuturor rspunsurilor i a feedback-urilor statistice n interiorul grupului de experi 5. repetarea sesiunii pn cnd exist convergen ntr-o abordare consensual Analiza sensibilitii Pai: 1. alegerea ctorva variabile cu impact mare asupra planului 2. definirea unui ir probabil al variaiei 3. evaluarea efectului schimbrii acestora asupra rezultatului proiectului OUTPUT-urile rezultatele procesului de evaluare, le formeaz: - oportuniti de urmrit, ameninri de contracarat; 115
oportuniti de ignorat, ameninri de acceptat.
Evaluarea opiunilor de management al riscurilor (pas ce e analizat cel mai des n etapa planul de rspuns la risc) furnizeaz urmtoarele modaliti de administrare a riscurilor identificate: - evitarea riscurilor utilizarea unei abordri ce nu prezint riscuri - controlul riscurilor realizarea unui plan de reducere a riscului; respectarea planului - acceptarea riscurilor acceptarea pur i simplu a existenei riscului - transferarea riscurilor transferarea riscului ctre un subcontractor (Outsourcing, Contracte de asigurare etc) - cunoatere i cercetare nu reprezint o modalitate de administrare a riscurilor n propriul sens al cuvntului, ci mai degrab o modalitate de a mbuntii anumite tehnici
116
VII.2 Ierarhizarea riscurilor

Dup ce riscurile au fost evaluate n termeni de probabilitate de apariie i consecine, i dup ce opiunile de administrare a riscurilor au fost revizuite, este necesar o clasificare a acestora n ordinea prioritilor, asigurndu-se astfel c toi factorii (politic, afacere, program) au fost evaluai i corect cntrii. Ierarhizarea riscurilor se poate realiza prin diverse metode, de tipul efect mare-mediumic sau probabilitate de apariie mare-medie-mic. Dac un program sau un proiect este destul de mic (sau riscurile destul de cunoscute), atunci prioritizarea (ierarhizarea) riscurilor poate fi fcut pe criterii cantitative. Pentru proiecte mai mari, se folosesc modele matematice (numerice). Ierarhizarea riscurilor pe acest criteriu, folosete urmtoarea formul156: Risk = Pf + Pc - Pf Pc - Pf posibilitatea de apariie (determinat prin intermediul tabelului de mai jos Tabel 1) - Pc factor de consecin (determinat prin intermediul tabelului de mai jos Tabel 2)
Tabel 8 Factori de ierarhizare a probabilitii de apariie
Maturitate Nivel de Hardware risc
Maturitate Software
Complexitate Hardware
Complexitate Software
Dependen Program i performan
0.1 (sczut) 0.3 0.5 0.7
Design existent Schimbri minore Schimbri majore Design Complex Noutate total
Design existent Schimbri minore Schimbri majore Software nou Niciodat realizat pn acum
Simplu
Simplu
Independent Dependent de program Dependent de performan Program dependent de noi elemente ale sistemului Performan dependent de noi elemente ale sistemului
Cretere minor Cretere minor Cretere moderat Cretere semnificativ Cretere moderat Cretere semnificativ
0.9 (ridicat)
Foarte complex Foarte complex
Obs. Pentru fiecare dintre elemente se stabilete un nivel de risc. Media dintre aceste valori formeaz Pf probabilitatea de apariie.
156
Idem
117
Tabel 9 Factori de consecin
Importana consecinei Mic (0.1) Minor (0.3) Moderat (0.5) Important (0.7) Mare (> 0.9)
Factori tehnici Minimal Reduceri n performan Reduceri n performan Importante degradri n performan Scopuri tehnice neatinse
Factori de cost Estimri bugetare nedepite. Transfer de valori.
Factori de program Se ncadreaz n limite
Buget depit cu 1%- Depiri minore n program. 5% Modificri la jaloane. Costuri estimate cresc Depiri mici cu 5%-20% Costuri estimate cresc 3 depiri pe lun cu 20%-30% Costuri estimate cresc cu 50% Depirile de program au efecte negativ asupra jaloanelor
Obs. Pentru fiecare dintre elemente se stabilete un nivel de importan. Media dintre aceste valori formeaz Pc factor de consecin. Pentru fiecare risc identificat se realizeaz o astfel de evaluare, urmnd ca apoi riscurile s fie introduse ierarhic ntr-o matrice de ierarhizare a riscurilor. Scopul acestei matrici este de a identifica zonele programului / proiectului ce prezint riscuri, riscuri ce sunt ierarhizate n funcie de efectul negativ la care poate expune proiectul. Pe baza listei de riscuri ierarhizate se realizeaz planurile de msuri necesare. Acestea pot fi proactive pentru reducerea expunerii la riscuri (mitigation) sau reactive planuri ce sunt aplicate dup producerea riscului de securitate i au drept scop minimizarea efectelor (contingency); exemple de astfel de planuri 157: - msuri proactive: o securizarea serverelor i a desktop-urilor pentru a reduce suprafaa de atac; o managementul patch-urilor de securitate pentru a elimina vulnerabilitile cunoscute; o securizarea perimetrului reelei; o implementarea de software antivirus; o monitorizarea i auditarea sistemelor critice; o aplicarea unor politici de securitate cu Group Policy i Active Directory; o crearea de politici i proceduri de securitate pentru utilizatori i administratori. msuri reactive: o planul de notificare la producerea incidentelor; o restaurarea datelor; o planuri de continuare a funcionalitii sistemelor; o recuperarea n caz de dezastre.
157
Stoian, A., Securizarea unei reele pas cu pas, Revista Start-Microsoft TechNet, Nr.7, Aprilie, 2004
118
Analiza riscurilor ajut la msurarea ameninrii fiecrui risc n scopul selectrii acelor riscuri care datorit periculozitii ridicate necesit planuri de rspuns. Managementul riscurilor este un proces ce consum timp i efort i tocmai din acest caz este absolut important pentru echipa de proiect de a nu i consuma energia dect mpotriva ameninrilor evidente. Se formeaz astfel un top (de obicei) 10 al riscurilor identificate i evaluate, top realizat n funcie de gravitatea acestora. Procesul de analiz se va ncheia cu un raport care ar trebui s conin: - identificatorul riscului: numele care identific riscul, ajutnd la raportarea i urmrirea acestuia; - sursa riscului: conine zona (ex. planificarea arhitecturii ntreprinderii, dezvoltarea produsului soft), categoria (ex. buget / costuri, management organizaional), factorii care au dus la identificarea riscului (ex. mrimea proiectului, influene politice); - condiiile de risc: condiiile existente care ar putea duce la pierderi pentru proiect; - consecinele de risc: pierderile care vor surveni n cazul n care riscul devine certitudine; - probabilitatea riscului: acordarea unui procent (0 -100%) posibilitii apariiei riscului; clasificarea impactului riscului: impactul riscului va fi financiar, strategic, tehnic, legal etc; - impactul riscului: intensitatea efectului riscului; poate fi evaluat pe o scar de la 1 la 10; - expunerea la risc: echilibrul dintre probabilitatea pierderii actuale cu intensitatea pierderilor poteniale; - contextul de risc: informaii suplimentare menite a ajuta la clarificarea situaiei de risc; - riscuri asociate: list care ajut la identificarea riscurilor interdependente. Dup ce se realizeaz aceste demersuri, echipa de proiect urmeaz a-i concentra atenia pe strategiile de management al riscului i pe modalitile de mixare a planurilor de rspuns la risc cu proiectul la care se lucreaz. n prezent, firmele se confrunt cu o varietate de presiuni interne i externe n continu cretere. n acest mediu, o metod eficient i sigur de auditare a riscurilor firmei este esenial pentru susinerea procesului de luare a deciziilor. Tehnologiile informatice au un impact major i asupra proteciei patrimoniului cultural al naiunilor, n protejarea lui i n crearea posibilitii de a fi accesat de ctre toi cetenii. Rapida dezvoltare a tehnologiei informaiei din ultimul deceniu a creat noi direcii de dezvoltare a afacerilor prin apariia comerului electronic. Prin extinderea sa comerul electronic a contribuit la globalizarea comunicaiilor i la dezvoltarea comunicaiilor mobile. Astzi, nu se mai poate face abstracie de calculator ca mijloc principal prin care se obin informaiile financiare. Calculatorul i implicit sistemul informaional trebuie controlat ca orice alt activ al companiei. Marile firme de consultan financiar-contabil (ex. KPMG, PricewaterhouseCoopers), naintea auditului financiar propriu-zis, evalueaz riscurile sistemelor care produc astfel de informaii. Impactul noilor tehnologii i nevoia de a rspunde rapid la schimbri afecteaz modul n care organizaiile i conduc afacerile. Pe lng tehnicile clasice, un proces de audit al riscurilor 119 -
informaionale ar trebui s in seama i de noile riscuri ce in de proprietatea intelectual, valori de marc, e-Business, responsabilitate social. Rolul auditului este acela de a verifica dac sunt ntrunite condiiile necesare pentru a se asigura echilibrul unei organizaii, s instrumenteze stpnirea dezordinii, adaptarea la schimbri i s evalueze gradul de securitate i riscurile pe care le poate ntmpina o firm158. O trecere n revist a literaturii din domeniul auditrii arat c standardele auditrii, universal acceptate n contabilitate, au aplicabilitate i n domeniul sistemelor informatice. Exist ns i diferene ntre sistemele manuale i cele informatice: - sistemele informatice necesit dezvoltarea unor proceduri de audit specifice; - exist diferene de ordin tehnic n ceea ce privete controlul intern i evaluarea acestuia; - diferene n redistribuirea sarcinilor angajailor. Fie c e vorba de un audit realizat de ctre un compartiment intern, fie c e vorba de unul extern, auditarea riscului trebuie s fie realizat ntr-un mod ct mai obiectiv i profesional, scopul acestei proceduri nefiind acela de a condamna managerul de proiect, conducerea unitii sau echipa, ci acela de a identifica i evalua riscurile ca apoi de a crea un plan de reducere a posibilelor efecte negative ale acestora. Activitile de audit al riscurilor ar trebui s se realizeze prin urmtorii pai: - identificarea necesitilor i obiectivelor organizaiei / proiectului; - colectarea de informaii; - predarea unui raport de diagnosticare; - convenirea asupra unui plan de aciune; - vizita n teren; - predarea unui raport detaliat; Literatura de specialitate prevede i un alt mod de desfurare a procedurii de audit al riscurilor159: - identificarea persoanelor de intervievat - identificarea a dou-patru persoane care ar putea da detalii intime despre proiect; - programarea i realizarea interviurilor; - strngerea de informaii i probe; - analiza probelor obinute; - pregtirea constatrilor; - pregtirea recomandrilor; - pregtirea raportului de audit. n desfurarea procesului de audit al riscurilor sistemelor informaionale e necesar, printre altele, a se ine seama i de160: - complexitatea sistemului supus auditrii; - nivelul interveniilor manuale n sistem; - disponibilitatea la pierderi sau furt a componentelor controlate; - domeniul de activitate al organizaiei i natura sistemului informaional;
158 159
Munteanu, A., opcit.p.28 Royer, P.S., opcit., pp.46-49 160 Munteanu, A., opcit., p.65
120
integritatea, experiena i cunotinele conductorilor compartimentului de specialitate; presiunile la care sunt supui managerii; lipsa specialitilor care s dein noile cunotine, etc. Avansul ctre societatea informaional, bazat pe cunoatere (SI - SC) este considerat, pe plan mondial, ca o evoluie necesar pentru asigurarea dezvoltrii durabile n contextul noii economii, bazat n principal, pe produse i activiti intelectual-intensive, precum i pentru realizarea unei civilizaii socio-umane avansate. Dei majoritatea instituiilor i firmelor particulare din Romnia contientizeaz importana reorganizrii propriilor sisteme informaionale i necesitatea utilizrii sistemelor informatice n toate componentele structurii organizaionale, auditarea acestor mijloace de colectare, procesare i raportare a informaiei st nc ntr-un con de umbr. Un motiv ar fi numrul insuficient de specialiti n domeniu i legislaia actual care nu conine precizri referitoare la auditarea sistemelor informaionale. -
121
Cap.VIII Planul de rspuns la risc i planul de continuitate a afacerii

Obiective nelegerea mijloacelor de rspuns la risc nelegerea momentului oportun de dezvoltare i implementare a planului de continuitate a afacerii
n seciunea precedent, am vzut c rezultatele (OUTPUT-urile) procesului de cuantificare a riscurilor, erau reprezentate de: - oportuniti de urmrit, ameninri de contracarat; - oportuniti de ignorat, ameninri de acceptat. n procesul de dezvoltare a planului de rspuns la riscuri, acestea reprezint punctele de plecare, INPUT-urile. Planul de rspuns la risc transform informaiile despre risc n decizii i aciune, i implic definirea pailor de administrare a oportunitilor precum i a riscurilor. Planificarea implic dezvoltarea aciunilor de rspuns adresate individual fiecrui risc identificat precum i creearea planului de management al riscului. Planurile de rspuns la riscuri i ameninri pot fi de tipul: - evitare: eliminarea unei ameninri, de regul prin eliminarea cauzei sale; - diminuare a efectelor: reducerea probabilitii de apariie a riscurilor; acceptare: acceptarea activ sau pasiv a consecinelor; studierea riscurilor pentru a obine mai multe informaii despre acestea i a le determina mai bine caracteristicile.. n procesul de gestionare a riscurilor se mai poate vorbi de asemenea de transferul sau distribuia riscurilor, o procedur care de regul implic contractarea unei companii de asigurare, de hedging care reprezint eliminarea expunerii la risc prin luarea unei poziii de compensare, sau de instrumentele bursiere - contractele forward, futures sau de contractele cu opiuni. Am amintit atunci cnd vorbeam de identificarea riscului de anumite tehnici de asigurare a continuitii afacerii. n opinia specialitilor de la Marsh SRL, elaborarea planului de continuitatea a afacerii ar trebui s surprind urmtoarele aspecte161: 1. evaluarea dimensiunii proiectului; 2. evaluarea riscului; 3. elaborarea planului de aciune n caz de urgene, axat pe primele momente de dup producerea evenimentului i focalizat n principal pe asigurarea sntii i siguranei angajailor precum i pe identificarea primelor msuri ce trebuie luate;
161
Idem 190
122
4. elaborarea planului de gestionare a crizei, ce ar trebui s acopere primele zile de la incident (structura organizatoric a echipei de gestionare a crizei, criterii de identificare a unei situaii ce are potenialul de a se transforma ntr-o criz, roluri i responsabiliti ale membrilor echipei i ale personalului firmei, comunicri interne i externe care trebuie avute n vedere); 5. conceperea strategiei de recuperare (prioritile firmei n cadrul procesului de reluare a activitii, cum se vor relua activitile cheie ale firmei, ce alternative temporare pot permite reluarea rapid a acestora, care este planul pentru readucerea la un nivel normal a activitii firmei); 6. testarea, pregtirea personalului i actualizarea periodic a planului (implementarea i testarea planurilor i recomandrilor rezultate din paii anteriori; reevaluri periodice). Domeniul IT vine cu mbuntiri ale acestui plan, n opinia experilor din cadrul companiei Lucent Technologies planul de asigurarea continuitii afacerii trebuind s respecte urmtorii pai162: 1. evaluare i recomandare; o identificarea componentelor critice (ex. reeaua de calculatoare, sisteme informatice, procese, proceduri) i identificarea riscurilor poteniale; o determinarea importanei timpului n procesele organizaionale, administrative sau ale afacerii; o evaluarea impactului dezastrului sau a ntreruperii activitii asupra acestor elemente critice; o descrierea elementelor critice; o cuantificarea aplicaiilor existente i recomandarea celor care corespund cel mai bine nevoilor existente. 2. design i implementare; o conceperea strategiilor alternative de asigurare a continuitii afacerii i pregtirii pentru dezastre; o evaluarea costurilor / beneficiilor / disponibilitii soluiilor recomandate; o precizarea facilitilor, locaiile fizice, calculatoarelor, echipamentelor de birou i de comunicare; o implementarea soluiilor, instalri de componente hard sau soft. 3. testare i ntreinere; o asigurarea ntiinrii i training-ul ntregului personal; o dezvoltarea planurilor de testare i realizarea de exerciii de simulare; o stabilirea perioadelor de revizie i ntreinere. Atunci cnd se vorbete de strategiile de asigurare a continuitii afacerii un accent deosebit necesit partea de protejare a datelor i informaiilor stocate pe medii electronice la un nivel care s asigure recuperarea complet a acestora dup orice tip de dezastru. Iar sistemul
162
Business Continuity & Disaster Preparedness, Lucent Technologies, la http://www.lucent.com, accesat n 12.11.2004
123
back-up-ului, dei reprezint o component important a acestor planuri, nu este suficient pentru a asigura un nivel de protecie ridicat. Asta datorit faptului c de multe ori acest aspect se ignor, fie prin amnarea procedurii de realizare a copiilor de siguran, fie prin amnarea verificrilor integritii i consistenei copiilor deja realizate. La acestea se mai adaug i faptul c unele companii pstreaz aceste suporturi cu baze de date la sediul firmei, ceea ce nu asigur protecie mpotriva unui numr mare de posibile dezastre, cum ar fi incendiile, inundaiile sau actele de vandalism. La realizarea planurilor de asigurare a continuitii afacerilor este necesar a se avea n vedere i importana datelor nestructurate (ex. datele i informaii ce se gsesc n documentele scrise pe hrtie, faxuri, note scrise de mn pe unele documente, diverse rapoarte i situaii de client, fiiere stocate pe staiile de lucru, desene CAD, imagini, coresponden sau mesaje i ataamente sosite pe e-mail, fiiere XML sau download-uri HTML.) Analitii de profil estimeaz c peste 80 % din datele unei organizaii sunt date nestructurate. Exist diverse strategii de asigurare a continuitii afacerii din prisma protejrii datelor, informaiilor sau a aplicaiilor folosite n cadrul unei instituii. Microsoft ofer soluii bazate pe tehnologii de replicare163, soluii axate pe: 1. replicarea fiierelor e vorba de realizarea copiilor de siguran a diferitelor fiiere, cel mai ntlnit la copierea script-urilor de login sau a fiierelor ce nu se modific des; 2. replicarea aplicaiilor e vorba de copierea unor date specifice ale diverselor aplicaii, aproape exclusiv folosit la copierea datelor aplicaiilor de baze de date; 3. replicarea componentelor hard e vorba de realizarea copiilor de siguran pe o alt unitate de stocare simultan cu salvarea datelor pe prima unitate de stocare; 4. replicarea soft e vorba de realizarea copiilor de siguran a fiierelor ce se modific n timpul operrii; aceste fiiere sunt trimise ctre server, n timp ce fiierul original se afl nc sub operare; salvarea copiei de siguran se poate face pe acelai server, pe servere separate aflate n acelai LAN sau conectate prin intermediul internetului. O alt tehnologie despre care se vorbete n cazul asigurrii disponibilitii datelor este tehnologia cluster. Sistemele cluster reprezint colecii de calculatoare conectate prin intermediul reelei, fiecare nod din arhitectura de tip cluster rulnd un sistem de operare diferit fa de celelalte noduri, astfel c o aplicaie poate fi mprit ntre noduri sau n caz de necesitate, preluat de un nod anume. Printre metodele tehnologice de implementare propuse de ctre IT Expert164: 1. Remote Data Mirroring - Stocarea la distan a unor copii n oglind ale datelor. 1. duplicarea datelor ntr-o reea sigur i stocarea lor ntr-o locaie predeterminat sau n mai multe locaii; 2. strategia presupune realizarea frecvent de copii ale informaiilor, minimiznd astfel potenialele pierderi. 2. Business continuance volumes - Volume de siguran pentru continuarea afacerii.
163
Building Better Protected Storage using Windows Storage Server 2003 -White Paper, la http://www.microsoft.com, accesat n 23.08.2005 164 Idem 187
124
1. presupune realizarea de copii periodice point-in-time ale unui singur sau ale mai multor servere; 2. datorit frecvenei lor pot oferi o imagine actualizat a unor aplicaii critice care se transform continuu, cum ar fi bazele de date. 3. Remote tape backup - Copii de siguran la distan stocate pe band magnetic. 1. ofer att avantajele unor copii n reea, ct i securitatea unor copii aflate ntr -o alt locaie. Datele sunt trimise printr-o conexiune securizat ntr-o locaie aflat la distan, unde sunt nscrise pe band magnetic; 2. ofer protecia arhivrii la distan, meninnd i gradul sporit de accesibilitate al datelor. 4. Backup - Backup regulat. 1. esenial este ca aceste proceduri s devin o rutin; 2. trebuie s existe testri periodice pentru a verifica dac datele pot fi ntr-adevar recuperate; 3. planurile de backup eficiente trebuie s includ backup att la sediul companiei, ct i ntr-o locaie diferit. 5. Off-site tape archiving - Arhivare pe benzi magnetice ntr-o locaie diferit. - ofer protecia datelor la costuri relativ reduse; - problema o constituie recuperarea datelor, care poate dura cteva zile, ceea ce ar putea implica costuri mai mari. Finalitatea (OUTPUT-ul) procesului de realizare a planurilor de rspuns la riscuri se materializeaz n: - planuri de management al riscurilor: acestea ar trebui s precizeze i s documenteze procedurile ce vor fi ntreprinse n vederea administrrii riscurilor ce vor apare pe parcursul realizrii proiectului, pe durata implementrii sau a administrrii sistemului; - planuri de contingen: reprezint pai predefinii n cazul apariiei riscurilor identificate / evaluate / cuantificate / prioritizate; - rezervele: reprezint diverse clauze aplicabile reducerii impacturilor asupra riscurilor referitoare la costuri sau/i planificarea calendaristic; - nelegeri contractuale: aplicabile n cazul interveniei contractelor de asigurare sau de service. De asemenea, aceste rezultate vor reprezenta punctele de plecare n procesul de monitorizare i control al riscurilor.
125
Cap.IX Monitorizarea i controlul riscurilor

Obiective Prezentarea tehnicilor de monitorizare i control al riscului Prezentarea etapei de transfer a cunotinelor despre risc
Aceast etap implic executarea planului de management al riscurilor n scopul contracarrii riscurilor ce ar putea s apar n timpul derulrii proiectului. Se au n vedere: monitorizarea factorilor permaneni de risc, identificarea noilor factori de risc, executarea planurilor pentru reducerea riscurilor i evaluarea eficienei lor pe parcursul ntregului ciclu de via al proiectului. Controlul riscului va implica selectarea unor strategii alternative, implementarea unui plan pentru situaii de urgen, luarea unor msuri corective i refacerea planificrii proiectului. Responsabilii pentru rspunsurile la factorii de risc vor trebui s raporteze permanent managerului de proiect statutul implementrii planurilor, apariia unor efecte neprevzute i msurile corective necesare. Controlul riscurilor reduce expunerea la risc a proiectului sau a sistemului informaional, el incluznd diferite tehnici i strategii menite s evite, s previn, s reduc frecvena pierderilor i daunelor. De asemenea, se au n vedere i noile riscuri ce ar putea s apar, n cazul acestora repetndu -se ntregul proces de management al riscurilor identificare, evaluare-cuantificare-prioritizare, plan de rspuns la riscuri, monitoirzare i control. Monitorizarea i controlul riscurilor reprezint funcia de cine de paz a planului de aciune mpotriva riscurilor. Aceast faz este esenial inndu-se cont de faptul c pe lng riscurile identificate, mpotriva crora s-a creat un plan de rspuns, noi evenimente riscante pot s apar pe parcursul derulrii proiectului/activitii. Planurile de rspuns la risc vor funciona, dar de asemenea e posibil ca unele dintre ele s eueze, noi aciuni fiind necesare. Sau, e posibil ca de-a lungul procesului de implementare a proiectului, prioritile acestuia s se schimbe fiind necesare noi planuri de management al riscurilor. Faza de monitorizare i control al riscurilor poate fi dus la bun sfrit prin tehnicile: - planificarea de activiti de atenuare a riscurilor i revizuirea jaloanelor proiectului; o planificnd activiti explicite de atenuare a riscurilor, se poate asigura un control mai bun al acestora; - derularea de ntlniri de revizuire a planului de management al riscurilor; o n cadrul edinelor de revizuire a planurilor de management al riscurilor, personalul implicat n derularea activitii supus analizei, ar trebui s precizeze care este la momentul respectiv riscul cel mai mare care amenin derularea normal a activitii, precum i modul n care a fost implementat planul de management al riscurilor; 126
o pot fi identificate noi riscuri ce nu au fost anticipate sau a cror efect se preconizeaz a fi mai mare dect a fost iniial evaluat, caz n care este necesar dezvoltarea de noi aciuni de rspuns; o reprezint un mod de comunicare a riscurilor. - examinarea, studierea echipei de proiect; o asigur un mecanism de feed-back. Am vzut c procesul de monitorizare i control al riscurilor presupune identificarea permanent a factorilor de risc cunoscui, reziduali sau nou aprui, verificarea executrii rspunsului planificat i evaluarea efectului pe care l-a avut. Acest proces se deruleaz pe toat durata ciclului de via al proiectului, urmrind modificrile factorilor de risc. Un rol important n acest proces i revine informaiei despre risc - comunicare i documentare despre riscuri. A aprut astfel conceptul de Risk Knowledge Transfer (n unele opinii reprezint proces de sine stttor al managmentului riscurilor) i care apare n faza de nchidere a unui proiect, concretizndu-se ntr-un raport despre succesele proiectului sau despre leciile nvate. Acest transfer al cunotinelor permite mbuntirea continu a procesului de management al riscurilor din cadrul respectivei organizaii. Etapele procesului de transfer al cunotinelor sunt: - informarea participanilor la proiect; - evaluarea succeselor /eecurilor n politica de management al riscurilor; - documentarea despre succesul / eecul politicii de management al riscurilor; - arhivarea documentelor despre succesul / eecul politicii de management al riscurilor. Obiectivele monitorizrii riscurilor sunt atinse dac: - rspunsurile la riscuri au fost implementate la timp; - aciunile de rspuns au avut efectul scontat sau trebuie implementate noi aciuni; - mai este valabil contextul proiectului; - a fost determinat expunerea la riscul modificat i care este tendina ulterioar; - au aprut declanatori ai factorilor de risc; - au fost urmate procedurile corecte; - permit dezvoltarea de strategii alternative n cazul apariiei unor factori de risc care nu puteau fi prevzui. n aceste condiii, rezultatele acestei faze (OUTPUT-ul) se vor concretiza n: - aciuni corective n principal se are n vedere executarea planurilor de rspuns la risc dezvoltate; - revizuiri i modificri ale planurilor de rspuns la risc dezvoltate toate aciunile ntreprinse n spiritul continuitii procesului de management al riscurilor vor fi incluse n planul iniial.
127
Concluzii
Am prezentat n aceast lucrare doar cteva din opiniile referitoare la procesele de management al riscului. i nu se poate spune c o anumit opinie este mai bun dect alta sau c una dintre ele asigur succesul n mai mare msur. Aa cum una din definiiile date acestui proces spune managementul riscului este o cltorie nu o destinaie nelegem c n managementul riscului nu este att de important metodologia aleas sau finalitatea dorit, care evident este asigurarea succesului proiectului, ci mult mai important este implicarea activ la nivelul fiecrui subproces, utilizarea unor sisteme automatizate de analiz i msurare a riscului ce au menirea de a uura munca omul ui, derularea unui corespunztor program de monitorizare i control al riscului pe ntreaga durat a ciclului de via a proiectului i introducerea n acest program a practicii comunicrii i documentrii despre riscuri. De altfel, unii autori privesc aceast ultim meniune ca i proces de sine stttor a managementului riscului, numit Risk Knowledge Tranfer, ce ar putea conine activiti de informare a participanilor la proiect sau evaluarea i documentarea succeselor / eecurilor rezultate n urma metodologiei alese. Implicarea activ presupune i cutarea a ctor mai multe date despre mediul intern i extern al proiectului. Putem s apelm la datele statistice ale propriei companii sau ale unor companii specializate pe oferirea de astfel de informaii i pe baza acestor date s ncercm realizarea unor studii previzionale prin care s ncercm identificarea tendinelor, tiparelor n anumite domenii de interes; sau putem apela la cunotinele (ce a mers bine vs. ce a mers prost) din proiectele anterioare derulate de companie pentru a ti cum s ne comportm n viitor n anumite situaii similare; sau putem urmri n permanen clasamentele tip Top 10 riscuri proprii sau a altor companii (vezi top virui la Kaspersky Lab sau Symantec; top tipuri de atacuri informatice la FBI Internet Fraud Complaint Center, etc.) pentru a fi la zi cu msurile de protecie. Am putea, ce-i drept, afirma c, dac un anume risc s-ar produce, ne-ar putea afecta proiectul, respectiv afacerea, ntr-o msur mai mic sau mai mare. Am putea de asemenea ncerca realizarea unor analize de impact n ideea unei evaluri a pierderilor de ordin financiar sau chiar uman. O analiz de impact a afacerii (Business Impact Analysis), la cel mai mic nivel, este ns echivalentul doar a unei activiti de evaluare a riscului i anume evaluarea bunului (Asset Valuation), o determinare a valorii informaiilor i a resurselor tehnologiilor informaionale asociate pentru organizaie. Dar sigur nu putem s prezicem exact riscul care ne va afecta proiectul i cnd se va materializa acel risc. Dar am putea s lum n calcul toate componentele proiectului nostru care ar putea fi supuse unui risc i s ncercm identificarea acestor riscuri. Sau mai bine, am putea s considerm toate componentele ca fiind predispuse la risc i apelnd la dictonul latin Divide et Impera s ncercm contientizarea elementelor riscului i relaia ce exist ntre aceste elemente. 128
Pentru a se putea lua decizii bine informate despre msurile de rspuns n faa riscului (asumarea, evitarea sau transferarea riscului) i despre modalitatea de a implementa soluii de securitate eficiente, din punct de vedere al costului, este esenial a se adopta o metodologie, care adreseaz aceste probleme n termeni de costuri i beneficii. Iar acest aspect reprezint procesul de management al riscului. n ciuda celor aproape 130 de pagini ale acestui material suntem convini c c exist i multe alte aspecte ce ar putea fi puse n discuie n cadrul unei astfel de lucrri, dar care din diverse motive au fost srite. De asemenea, poate o alt ordine de prezentare ar fi fost mai neleapt. S nu mai vorbim despre raportul nou/nvechit n problemele puse n discuie o dat ce timpul va nainta. Dac astzi adresm ntrebri precum avei site web?, mine e posibil ca fr o astfel de iniiativ s nu poi nici mcar s-i nregistrezi o societate comercial la registrul comerului, prezena pe web fiind una din datele obligatorii de identificare ale societii. Iar dac ne mai gndim i la aspectele revoluiilor din domeniul IT, precum dezvoltarea tehnologiilor ZigBee, Wi-Fi i altele din categoria internetul lucrurilor, aspecte care vor genera la rndul lor noi proceduri i politici de securitate i management al riscului bazate pe tehnologii wireless sau altele despre care nici mcar nu tim, deja se pune la ndoial noutatea multor aspecte din lucrare. l citm ns din nou pe Paul William: nici o politic de securitate nu va compensa niciodat stupiditatea uman. Iar acest aspect va fi mereu de noutate...
129
Bibliografie
Lucrri, articole, reviste
1. @Risk for Project (guide to) - Advanced Risk Analysis for Project Management, Palisade Corporation, 2000 2. Anastasie, B., Managementul Riscului, suport curs, Facultatea de Economie i Administrarea Afacerilor, Iai 3. Brzoi, V., V rog, buletinul virtual la control, n Business Magazine, nr. 22 (9/2005) 4. Berners-Lee, T., Beyond the Old Web, Newsweek, Issues 2006, decembrie 2005 5. Botto, F., Dictionary of e-business - A Definitive Guide to Technology and Business Terms, John Wiley & Sons Ltd, 2003 6. Carter, J., Developing e-commerce systems, Prentice Hall, Upper Saddle River, 2002 7. Castells, M., Internet Galaxy Reflections of the Internet, Business and Society, Oxford University Press, 2001 8. Cojocaru, A., Oamenii i gestiunea resurselor umane, suport de curs, Universitatea Virtual de Afaceri, SNSPA, Facultatea de Comunicare i Relaii Publice David Oglvy 9. Deise, M.V., Nowikow, C., King, P., Wright, A., Executives Guide to E-Business from tactics to strategy, PricewaterhouseCoopers, John Wiley & Sons, INC., 2000 10. Deitel, H.,M., Deitel, P.,J., Steinbuhler, K., e-Business & e-Commerce for Managers, Prentice Hall, Upper Saddle River, 2001 11. Duncan, W.R., A Guide to the Project Management Body of Knowledge, Project Risk Management, 1996 12. Fisher, J. G., E-Business for the small business, Kogan Page, 2001 13. Flyvbjerg, B., Megaprojects and Risk-an anatomy of ambition, Cambridge, 2003 14. Futrell, R.T., Shafer, D.F., Shafer, L.I., Quality Software Project Management, Software Quality Institute Series, Prentice Hall PTR, 2002 15. Gates, B., @faceri cu viteza gndului, Editura Amaltea, 2000 16. Georgescu, M., Suport de curs Birotic, Facultatea de Economie i Administrarea Afacerilor, Iai, 2004/2005 17. Guterl, F., Upson, S., Smarter Search, Newsweek, Issues 2006, decembrie 2005 18. Harbhajan, K., Digital economy: Impacts, influences and challenges, Idea Group Publishing, Hershey, 2004 130
19. Jalote, P., Software Project Management in Practice, Addison-Wesley, 2002 20. Korper, S., Ellis, J., e-Commerce Book. Building the e-Empire, Academic Press, 2001 21. Kurzweil, R., Science, Not Fiction, Newsweek, Issues 2006, decembrie 2005 22. Langer, A. M., Applied Ecommerce Analysis and Engineering for Ecommerce Systems, Wiley Computer Publishing, John Wiley & Sons, Inc. 2002 23. Lessig, L., Why Crush Them?, Newsweek, Issues 2006, decembrie 2005 24. McConnell, S. Software Project-survival guide, Microsoft Prees 1998 25. Meni, G., Introducere n afaceri electronice, Editura Junimea, 2002 26. Munteanu, A., Auditul sistemelor informaionale contabile, Polirom, Iai, 2001 27. Opran, C., Paraipan, L., Stan, S. Managementul Riscului, Suport de curs, SNSPA, Facultatea de Comunicare i Relaii Publice David Oglvy, 2004 28. Oprea, D. Managementul Proiectelor-teorie i cazuri practice, Sedcom Libris, Iai, 2001 29. Oprea, D., Munteanu, A., Rusu, D., Probleme actuale ale securitii n sistemele informaionale, n Sisteme Informaionale pentru Afaceri, Polirom, Iai 2002 30. Oprea, D., Protecia i securitatea informaiilor, Polirom, Iai, 2003 31. Patriciu, V.V, Ene-Petroanu, M., Bica, I., Vduva,C., Voicu, N., Securitatea comerului electronic, Editura All, 2001 32. Plant, R., eCommerce - formulation of Strategy, Prentice Hall PTR, 2000 33. Raisinghani, M., Business Intelligence in the Digital Economy Opportunities, Limitations, and Risks, Idea Group Inc., 2004 34. Rayport, F. J., Jaworsky, J.B., Introduction to e-Commerce, McGraw-Hill Higher Education, 2001 35. Roca, I.Gh., Bucur, C.M., Timofte-Stanciu, C., Paiu, O., Viean, M., Comerul electronic concepte, tehnologii i aplicaii, Editura Economic, 2004 36. Royer, P.S., Project Risk Management A Proactive Aproach, Management Concepts, Project Management Institute, Inc.2000 37. Scarlat, M., Aplicaii ale conceptului de Economie Digital pentru industria textil, Editura Performantica, 2003 38. Shurety, S., e-Business with Net.Commerce, IBM, Prentice Hall PTR, 1999 39. Stoian, A., Securizarea unei reele pas cu pas, Revista Start-Microsoft TechNet, Nr.7, Aprilie, 2004 40. Tapscott, D., The Digital Economy Promise and Peril in the Age of Networked Intelligence, McGraw-Hill, 1996 41. Vasilache, D., Pli electronice - o introducere, Editura Rosetti-Educaional, 2004 131
42. Wales, J., I am not a Thief, Newsweek, Issues 2006, decembrie 2005 43. ***, Dicionarul explicativ al limbii romne, Academia Romn, Institutul de Lingvistic "Iorgu Iordan", Editura Univers Enciclopedic, 1998 44. ***, Identity theft, The Economist, 5th 11th March 45. ***, Legea 161 din 19 aprilie 2003 privind msurile mpotriva corupiei, Titlul IIIprevenirea i combaterea criminalitii informatice 46. ***, Legea nr. 676 din 21 noiembrie 2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor. 47. ***, Noul dicionar explicativ al limbii romne, Editura Litera Internaional, 2002 48. ***, Recomandri privind securitatea sistemelor TI pentru companii, Revista Start-Microsoft TechNet, Nr.7, Aprilie 2004 49. ***, Viitorul Digital, PC Magazine, noiembrie 2000 50. ***, Viral Infection, Computer Business Magazine review, june 2004, p.55 51. ***, The HBR List Breakthrough Ideas for 2006, Harvard Business Review, February 2006
Articole, Reviste online
1. A aprut primul virus informatic legat de tsunami, la http://www.smartnews.ro, accesat n 19.01.2005, citnd SOFTWIN 2. Angajaii n IT predispui la schimbri, http://www.smartnews.ro , 3.02.2005, citnd www.bignewsnetwork.com 3. Asigurarea riscului de terorism, Revista Risc Consult, nr.3/2001, http://www.riskmanagement.ro 4. Borghesi, A. Credit risk and the new economy, Risk management forum, october 2001, Academic Risk Management Association, la http://www.arimas.it/papers.htm, accesat n 25.04.2006 5. Bruges, P., ERP implementation methodology, MSIS 488 - Fall, 2002, la http://sap.ittoolbox.com/documents/document.asp?i=2391, accesat n 17.04.2005 6. Cantaragiu, ., e-Defence i societatea informaional, societatea cunoaterii, Agenia de Cercetare pentru Tehnic i Tehnologii Militare, la http://www.acttm.ro, accesat n 14.04.2004 7. Construirea planului de lucru / Estimarea, TenStep Project Management Process (TM), TenStep Romnia, la http://www.tenstep.ro/2.2.1ConstruiestePlanul.htm, accesat n 04.08.2006 132
8. Consultana n domeniul gestionrii riscurilor -Revista Risc Consult, nr. 4, 2001, la http://www.riskmanagement.ro, accesat n 02.09.2003 9. Damodaran, A., Understanding risk, pe site-ul Academiei de Studii Economice, Facultatea de Relaii Economice Internaionale, la http://www.finint.ase.ro/Cercetare/Aversiunea%20la%20risc.htm, accesat n 19.11.2003 10. Dorsey, P. Primele 10 motive din cauza crora eueaz proiectele de Sisteme Informatice, la http://www.computerworld.ro, accesat n 02.02.2006 11. Ene-Pietroanu, M., Un ntreg calculator ntr-un minuscul cip sau ... Cartelele inteligente criptografice, la http://www.byte.ro/byte98-01/cart.htm, accesat n 11.12.2004 12. Exploatarea scprilor sistemelor de securitate, la http://www.internetmagazin.ro/articol.php?id=661, accesat n 09.02.2006 13. Gheorghe, A.V., Analiza de risc i vulnerabilitate a infrastructurilor critice ale Societii Informatice - Societate a cunoaterii, Universitatea Politehnic Bucureti, la http://media.ici.ro/academia/pro_pri/pag_com01socinf_tem.htm, accesat n 12.03.2004, p.1 14. Haltiwanger, J., Jarmin, R., S., Measuring the digital economy, la http://www.bbk.ac.uk/manop/management/staff/Birgitte/haltiwanger.pdf, accesat n 27.07.2006 15. Here comes behaviometric, la http://www.sap.info, accesat n 12.12.2005 16. HP "blocheaz" accesul viruilor din reea la desktop prin noi produse software i promite continuarea cercetrilor n domeniul securitii, la http://www.comunicatedepresa.ro, accesta n 16.02.2005 17. Impactul Basel II n bncile romneti, Revista de soluii informatice pentru management, Market Watch IT&C, Nr.31, martie 2004, la http://www.marketwatch.ro/articles.php?ai=97, accesat n 01.04.2004 18. Industria asigurrilor grav afectat de loviturile teroriste, Revista Risc Consult, nr.3/2001, la http://www.riskmanagement.ro, accesat la 03.05.2004 19. Kwak, Y., H., Stoddard, J. - Project risk management: lessons learned from software development environment la http://www.softwareengineer.org/downloads/Project_Risk_Management.pdf, accesat n 07.04.2006 20. Louisot, J.P., Risk management for private & public entities, Academic Risk Management Association Italy, la http://www.arimas.it/papers.htm, accesat n 24.04.2006 21. Managementul Riscului, Revista Risc Consult, nr. 4/2003, la http://www.riskmanagement.ro, accesat n 12.03.2005 22. O abordare inedit pentru nlturarea viruilor de calculator, la http://www.internetmagazin.ro/articol.php?id=293, accesat n 23.05.2004
133
23. Planificarea continuitii afacerii, Revista Risc Consult, nr.1/2002, la http://www.riskmanagement.ro, accesat n 18.03.2004 24. Riscul operaional, Revista Risc Consult, nr. 4, 2003, la http://www.riskmanagement.ro, accesat n 10.12.2003 25. Riscuri ale reelelor de transport i distribuie a energiei electrice, Revista Risc Consult, nr.2-3/2002, la http://www.riskmanagement.ro, accesat n 34.03.2003 26. SAP Executive Shai Agassi Identifies Five Key Software Trends for Companies to Watch, la http://www.sap.com/community/pub/flash/KW16_06_Story_1.epx, accesat n 18.04.2006 27. Sharma, S. E-Commerce: (Best) Practice Makes Perfect, la http://www.gantthead.com , accesat n 01.04.2004 28. Taming uncertainty: Risk management for the entire enterprise, PricewaterhouseCoopers, la http://www.pwc.com, accesat n 11.10.2003 29. Ten attributes of a world-class risk management culture, Risk Management Survey, November 2002, PricewaterhouseCoopers, http://www.pwcglobal.com 30. Un nou virus pentru telefoanele mobile, la http://www.smartnews.ro, accesat n 12.01.2005 31. Un virus se d drept mesaj de la BitDefender, la http://www.smartnews.ro, accesat n 24.01.2005 32. VeriSign anun serviciul de verificare a identitii online, la http://www.internetmagazin.ro/articol.php?id=333, accesat n 17.06.2006 33. Virus deghizat n newsletter CNN, la http://www.smartnews.ro, accesat n 24.02.2005 34. Viruii atac dispozitivele mobile, la http://www.wall-street.ro , accesat n 22.02.2005 35. Viruii atac telefoanele mobile i automobilele, la http://www.wall-street.ro, accesat n 10.02.2005 36. Vyom, B., Eight Mantras to a Successful Software Implementation, la http://www.gantthead.com, accesat n 25.11.2005 37. Weightman, C. The Top 10 ERP Mistakes, la http://www.businesstechnology.com , accesat n 02.04.2004 38. Williams P., Thought for the day-the IT dangers of coffe, la http://www.computerweekly.com, accesat n 06.06.2004
Alte resurse Web
1. An overview over project risk management, la http://www.netcomuk.co.uk/~rtusler/project/riskprin.html 134
2. A Crime By Any Other Name, la http://www.theta.com, accesat n 08.03.2004 3. Action steps for improving information security, Cisco Systems, Inc., la http://www.cisco.com 4. Afaceri pe web (e-business), la http://e-training.iatp.md/seminars/ebusiness/Afaceri_pe_web.htm 5. Aspecte de securitate n reelele de calculatoare, la http://www.euro.ubbcluj.ro/~alina/cursuri/, accesat n 01.02.2005 6. Autentificarea utilizatorului folosind smartcard-ul, la http://www.ici.ro/ici/revista/ria2003_4/art4.html, accesat n 17.03.2004 7. Bank of International Settlements, la www.bis.org 8. Brbulescu, C., Romascu, G., Diaconu, A., Diaconu, . Aspecte privind managementul riscului i utilizarea sa n activitatea decizional din domeniul transportului energiei electrice, C.N. Transelectrica S.A, la http://www.stcv.ro/timisoara/s_tm2002/13b/13a.htm, accesat n 23.01.2006 9. Bio-Art, la http://en.wikipedia.org/wiki/Bio-art, accesat la 25.07.2006 10. Boehm, B.W. Software Risk Management: Principles and Practices, Defense Advance Research Project Agency, la http://www.ece.ubc.ca/~elec443/priv/ReadingMaterial/Boehmrisk.pdf, accesat n 08.10.2005 11. Building Better Protected Storage using Windows Storage Server 2003-White Paper, la http://www.microsoft.com, accesat n 23.08.2005 12. Business Continuity & Disaster Preparedness, Lucent Technologies, la http://www.lucent.com, accesat n 12.11.2004 13. Centrul de Expertiz i Rspuns pentru Incidente de Securitate (CERIS), la http://www.ceris.ro 14. Cioat, M., Pli electronice, la http://www.afaceri.net/articole/Comert_electronic/Plati_electronice/Plati_electronice.htm, accesat n 12.05.2006 15. Cornescu, V., Marinescu, P. Curteanu, D., Toma, S. Management - de la teorie la practic, cap. Managementul riscului, la http://www.unibuc.ro/eBooks/StiinteADM/cornescu/index.htm, accesat n 01.10.2006 16. Despre e-commerce, pe site-ul Softconcept, http://www.s-concept.net/s-concept/ro/2,-1,1,1,4,3,5.html 17. GAO/AIMD-99-139 Information Security Risk Assessment - Practices of Leading Organizations, la
135
http://www.itgi.org/template_ITGI.cfm?Section=Risk_Management1&Template=/TaggedPa ge/TaggedPageDisplay.cfm&TPLID=60&ContentID=10652, accesat n 19.12.2003 18. GeCAD, la http://www.gecad.ro 19. GFP Bunny, la http://www.ekac.org/gfpbunny.html, accesat la 25.07.2006 20. Management - de la teorie la practic, cap.13 -Managementul marketingului n funcie de tipul cereri, Bucureti 2004 http://www.unibuc.ro/eBooks/StiinteADM/cornescu/cap13a.htm#_ftnref24 21. Managing Risk With Metrics - A Term Paper For The MJY Team Software Risk Management WWW Site, la www.baz.com/kjordan/swse625/docs/tp-pm.doc, accesat n 07.10.2005 22. Missouri IT Risk Management Manual, http://oit.mo.gov/ 23. NEC Touch Pass - Network Access Control with Biometrics, Biometric Datasheet, la http://www.nec.co.uk, accesat n 17.12.2003 24. Net Com, The elements of project risk management, la http://www.netcomuk.co.uk/~rtusler/project/riskprin.html, accesat n 01.10.2006 25. PeopleSoft Risk Mitigation Strategies, la http://www.peoplesoft.ro, accesat n 20.12.2003 26. Proiect legislativ privind nomenclatorul meseriilor din domeniul IT, la http://www.mcti.ro, accesat n 10.05.2004 27. Puiu, C., Economia ntreprinderii, suport de curs, Colegiul Universitar Drobeta Turnu Severin, la http://cis01.central.ucv.ro/csv/idd.html, accesat n 21.03.2005 28. Risk management for electronic banking and electronic money activities, la http://www.bis.org/publ/bcbsc215.pdf, accesat n 10.02.2006 29. Security of Electronic Money, Bank of International Settlements, la http://www.bis.org, accesat n 12.12.2003 30. Software Risk Evaluation (SRE)-Tehnical Report, Software Engineering Institute, la http://www.sei.cmu.edu/publications/pubweb.html, accesat n 11.11.2003 31. Strategii pentru continuitatea afacerii , IT Expert-soluii informatice, la http://www.itexpert.ro, accesat n 15.04.2004 32. Suport de curs Criptografie, Facultatea de Studii Europene, Universitatea Babe-Bolyai , la http://www.euro.ubbcluj.ro/~alina/cursuri/internet-teorie/5-1.htm, accesat n 12.05.2005 33. Suport de curs Internet-teorie, Facultatea de Studii Europene, Universitatea Babe-Bolyai, la http://www.euro.ubbcluj.ro/~alina/cursuri/internet-teorie/5-3-1.htm, accesat n 15.04.2004 34. The Art Institute of Chicago, la http://www.artic.edu/aic/students/sciarttech/2a1.html, accesat la 25.07.2006 35. The Biometric Consortium, la http://www.biometrics.org 136
36. Trade Point Bucureti, http://tpb.traderom.ro/Ro/Cd/frame_gen.htm 37. Tutorial Notes: The Australian and New Zealand Standard for Risk Management, AS/NZS 4360:2004, la http://www.broadleaf.com.au/tutorials/Tut_Standard.pdf, accesat n 17.11.2004 38. Vasiu, L. Despre importana tehnologiilor de securitate a informaiei, la http://media.ici.ro/academia/pro_pri/pag_com01socinf_tem.htm, accsat n 12.03.2004, p.4 39. http://cio.doe.gov/ 40. http://fast.faa.gov/index.htm 41. http://home.btconnect.com/managingstandard/risk_1.htm#INTRO 42. http://oit.mo.gov/business%20solutions/ Word%202000/risk_manual.doc 43. http://www.boeing.com/defense-space/military/fa18ef/flash.html 44. http://www.colegiu.mednet.ro/proiecte/managementul.html 45. http://www.cs.ucl.ac.uk/staff/A.Finkelstein/las.html ; 46. http://www.dcs.ed.ac.uk/teaching/cs2/online/Lectures/CS2Ah/SoftEng/se01.pdf ; 47. http://www.ici.ro/ici/revista/ria2002_1/art3.htm 48. http://www.ifccfbi.gov 49. http://www.infosys.com 50. http://www.peoplesoft.com 51. http://www.psmsc.com/UG1999/Presentations/The%20Use%20of%20Measurement%20in% 20Managing%20the%20FA-18.pdf 52. http://www.rdware.com/Riskit/ 53. http://www.risksig.com/Articles/rm%20report%20final%20version%2012.doc 54. http://www.romasig.ro/asigurari/asig_manag.php 55. http://www.sap.com/index.epx 56. http://www.sei.cmu.edu/publications/pubweb.html 57. http://www.softstar-inc.com/Methodology/Artifacts_Risk_Management.pdf 58. http://www.sophos.com 59. http://www.tenstep.ro/7.0ManagementulRiscurilor.htm 60. http://www.treasury.act.gov.au 61. http://www.welbni.org/FOI/Risk%20Management.doc 62. www.auditnet.org/docs/ Draft%20Risk%20Management%20Policy%20-%20Example.doc
137

Curs Managementul Riscurilor 2009 Iasi

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs Managementul Riscurilor 2009 Iasi

Încărcat de

Drepturi de autor:

Formate disponibile

Universitatea Alexandru Ioan Cuza Facultatea de Economie i Administrarea Afacerilor ELITEC coala Economic Postuniversitar

Managementul Riscurilor Proiectelor

Iai, ianuarie 2009

Cap.I Arta i tiina managementului riscului

I.1 Cuvnt nainte

I.2 Managementul Riscului - concept, istoric, principii

I.2.1 Definiii ale managementului riscului

I.2.2 Scurt istoric

I.2.3 Principii, obiective, cerine, atribute

Louisot, J.P., opcit.

Respectarea legilor Armonie cu scopurile societii

http://www.welbni.org/FOI/Risk%20Management.doc Ibidem 21 Brbulescu, C., .a., opcit.

Cap.II Elementele procesului de management al riscurilor

II.1 Managementul riscului o trecere n revist a celor mai ntlnite modele

Fig. 1 Managementul riscurilor dup Infosys

Jalote, P., Software Project Management in Practice, Addison-Wesley, 2002, p.96

http://home.btconnect.com/managingstandard/risk_1.htm#INTRO Missouri IT Risk Management Manual, http://oit.mo.gov/

procesele de nchidere transferul cunotinelor despre risc

Fig. 2 Managementul riscurilor dup Paul S. Royer

Royer, P.S., opcit., pp.1-3 http://www.boeing.com/defense-space/military/fa18ef/flash.html

Fig. 3 Managementul riscurilor dup Software Engineering Institute

Graficul modelului propus de Boehm30 se prezint n urmtorul mod:

Fig. 4 Managementul riscurilor dup Barry Boehm

McConnell, S. Software Project-survival guide, Microsoft Prees 1998, p.96

Opran, C, .a., opcit., p.88 Idem, p.85

Fig. 5 Managementul riscurilor dup Opran Constantin

Futrell, R.T., .a., opcit., pp.608-609

Fig. 6 Managementul riscurilor dup Project Management Institute

II.2 Definiii ale conceptului de risc

Idem 57 Ibidem 40 Royer, P.S., opcit., p.109

Fig. 7 Riscul n viziunea metodei RiskIt

Economic Intenionat Endogen Exogen

Caz I - Ariane 552 One little bug, one big crash

Flyvbjerg, B., Megaprojects and Risk-an anatomy of ambition, Cambridge, 2003

Cap.III Identificarea riscurilor

Dorsey, P., opcit.

PeopleSoft Risk Mitigation Strategies, la http://www.peoplesoft.ro, accesat n 20.12.2003

Program calendaristic nereal

Jalote, P., opcit., p.102

Lucrul cu tehnologii hard/soft noi Cunotine insuficiente sau

Eecuri conexe performane sczute

Expunere la risc 630

Cine aplic? Project Manager

Data 1/15 n derul are 2/15

Project Manager Conductorul de proiect

Probleme de ncadrare n timp Noi riscuri tehnologice

Conductorul de proiect Project Manager Conductorul de proiect Project Manager

2/15 n derul are n derul are 2/1

Inginer Inginer Conductorul de proiect

2/15 n derul are Pe stagiu

Iat cum ar arta un raport sptmnal cu privire la modificarea topului:

Loc ocupat n aceast sptmn 1 2 3

Ultimul loc deinut 1 2 5

Numr de sptmni n list 2 2 3

Probleme de ncadrare n timp Noi riscuri tehnologice

eec n concordarea personalului implicat n realizarea proiectului cu contracte sau documente.

Plecnd de la aceast premis, riscurile suport o larg arie de clasificare.

III.1 Clasificarea riscurilor

Opran, C., .a, opcit., p.17 Idem, pp.141-148

III.2 Procesul de identificare a riscurilor

III.2.1 Metode de identificare a riscului

Fig. 8 Sursele de risc

Fig. 9 Zone cu potenial de risc

Louisot, J.P., opcit.