III.4.

2 Riscuri i managementul riscurilor Riscuri

Nu ne putem mulumi numai cu inventarierea vulnerabilitilor i a ameninrilor. Este important s se estimeze impactul acestor ameninri ca s avem dimensiunea clar a pierderilor, s putem face o prioritizare, aa cum o s vedem, a msurilor pentru prevenirea, diminuarea daca nu chiar eliminarea acestor pierderi. Impactul riscurilor afecteaz afacerile firmei, ncepnd cu imaginea firmei, proasta publicitate n mediul de afaceri, chiar pierderea unor clieni, a unor date despre parteneri i expunerea clienilor firmei la unele ameninri, ceea ce uneori atrage chiar aciuni n justiie pentru prejudicii cauzate de neglijen., ca de exemplu utilizarea fr tiin a reelei proprii pentru prejudicierea altor reele, pentru trimiterea de mesaje eronate clienilor i furnizorilor, pentru distribuirea de software viciat, etc. Fraudare firmei, este o alt pierdere, diminuarea indicatorilor de eficien prin reducerea cifrei de afaceri, creteri ale costurilor pentru remedierea daunelor i investiii n msuri de securitate adecvate. i enumerarea poate continua. Riscurile la rndul lor pot fi clasificate dup mai multe criterii. O astfel de clasificare mparte riscurile astfel 1: dup probabilitatea de apariie riscurile pot fi: riscuri poteniale, care se pot produce dac nu se stabilesc aciuni de control prin care s fie prevenite i corectate; riscuri posibile, care sunt acele riscuri poteniale pentru care controalele nu sunt suficiente pentru a elimina sau pentru a le diminua impactul; dup natura lor riscurile pot fi: riscuri fizice, datorit disfuncionalitilor infrastructurii hardware i de comunicaie; riscuri logice, datorit funcionrii defectuoase a programe sau derularea greit a unor proceduri de prelucrare sau unor erori umane; dup tipul activitile vizate, avem: riscuri de funcionare a sistemului informatic; riscuri financiare; riscuri juridice - legislative; riscuri sociale; riscuri de imagine; riscuri de mediu; riscuri de securitate. dup specificul exercitrii activitilor de audit, riscurile pot fi: riscuri de organizare, care se refer la actualizarea i documentarea procedurilor, la organizarea resurselor umane i repartizarea responsabilitilor; riscuri operaionale legate de controlul operaiilor, mai ales cele cu cost ridicat. .

Managementul riscurilor
1

Marcel Ghi, Auditul intern, Editura economic, Bucureti 2004

Managementul riscurilor trebuie neles n primul rnd ca o responsabilitate a managerilor IT, unii autori preciznd c este un proces de identificare i control al pierderilor organizaiei 2. Este incomplet abordarea pentru c nu se puncteaz finalitatea actului de management i anume iniierea de msuri de prevenire i diminuare a acestor pierderi. Considerm c este mai corect s definim managementul riscurilor ca un proces de identificare a vulnerabilitilor, ameninrilor i evaluare a riscurilor IT i implementarea unor aciuni de control i msuri de prevenire, de eliminare sau diminuare a pierderilor, a impactului acestora asupra sistemului informatic i respectiv asupra ntregii ntreprinderi Relaia audit - managementul riscurilor deriv din faptul c identificarea i aplicarea controlului intern i aplicarea msurilor pentru minimizarea riscurilor revin ca responsabiliti managementului sistemului informatic. Auditul, ca activitate independent reanalizeaz riscurile, controalele, evalueaz corectitudinea i eficacitatea aplicrii practice a controlului intern. Apoi disfuncionalitile sunt comunicate evident sistemului de management i se propun msuri de mbuntire. Aceast relaie aduce n discuie i riscul de audit, care trebuie s-i gseasc i el o abordare managerial. Riscurile auditului apar din particularitile specifice desfurrii activitii de audit. Se spune c auditul n sine se confrunt cu propriile riscuri. Riscul de audit - RA, este riscul ca auditorul s exprime o opinie de audit care nu este adecvat atunci cnd rezultatele, rapoartele sunt eronate n mod semnificativ.[IFAG07[ Riscul de audit este determinat de existena riscului existenei unor denaturri semnificative i respectiv a riscului ca auditorul s nu detecteze o astfel de denaturare. Riscul unor denaturri semnificative are dou componente: riscul inerent; riscul de control. Riscul ca auditorul s nu detecteze o denaturare semnificativ se numete: riscul de nedetectare. Asta nseamn c riscul de audit se discut prin conjuncia celor trei componente ale sale: riscul inerent, riscul de control i riscul de nedetectare. Riscul inerent - RI, este susceptibilitatea ca o afirmaie s fie denaturat n mod semnificativ, fie individual fie agregat cu alte denaturri presupunnd c nu existau controale interne aferente. Riscul de control - RC, este riscul ca o denaturare care poate fi semnificativ s nu poat fi prevenit sau detectat i corectat n timp util de ctre sistemul de control intern. Riscul de nedetectare - RD, este riscul ca procedurile aplicate de ctre auditor s nu conduc la detectarea unei denaturri semnificative, individual sau agregat cu alte denaturri. Controalele interne iniiate de sistemul de management trebuie analizate n modul lor de aplicare i din perspectiva producerii acestor riscuri. Alturi de riscurile menionate, auditorul n munca sa se mai poate confrunta i alte riscuri specifice ntre care: - riscul independent de eantionare; - riscul misiunii de asigurare; - riscul de mediu.

Munteanu Adrian., Auditul sistemelor informaionale contabile, Editura Polirom, Iai, 2004

Riscul independent de eantionare este determinat de faptul c aplicarea procedurilor de audit nu se face la toate elementele ntregului. Eantionarea de audit urmrete determinarea mrimii unui eantion reprezentativ pentru nivelul de semnificaie stabilit. Mrimea eantionului de sondaj se poate determina printr-o metod statistic, dar nu ntotdeauna. Riscul independent de eantionare apare ca rezultat al factorilor care l determin pe auditor s ajung la o concluzie eronat din orice motiv care nu are legtur cu mrimea eantionului. Auditorul nu identific producerea unei erori datorit eantionrii. Riscul misiunii de asigurare este riscul ca practicianul s exprime o concluzie care nu este adecvat atunci cnd informaiile despre un anumit subiect sunt eronate n mod semnificativ. Riscul de mediu apare n anumite mprejurri cnd factorii relevani pentru evaluarea riscului inerent, pentru dezvoltarea planului general de audit, pot include riscul unor denaturri semnificative a rezultatelor, a rapoartelor care se datoreaz unor aspecte care au loc n legtur cu mediul nconjurtor. Prin ceea ce ntreprinde echipa de audit urmrete reducerea riscului de audit la un nivel acceptabil. Se admite c auditul nu poate da o certificare de 100%, sigur, asupra realitii din teren. Se accept o anumit marj de eroare. Mai mult, dincolo de un anumit prag de semnificaie eforturile de audit i implicit msurile de control nu se justific sub aspectul raportului efort - efect. De aceea este necesar o evaluare a riscurilor pentru a se putea face i o ierarhizare a acestora. Msurarea riscurilor ia n considerare: probabilitatea de apariie a riscurilor, impactul i durata consecinelor. Literatura de specialitate consemneaz ca metode: - metoda probabilitilor care se aplic pentru msurarea riscurilor majore, a pierderilor probabile i a pierderii anuale; - metoda factorilor de risc; - metoda matricelor de apreciere care permite stabilirea unui scor pe o scar numeric fixat anterior, pentru domeniile auditate. Un model de evaluare a riscurilor bazat pe metoda probabilitilor, furnizat de UK Departament of Trade and Industries1 ia n discuie urmtorii indicatori: - PA, pierderea anticipat; - PAA, pierderea anual; - ARP, anticiparea reducerii pierderilor; - PP, pierderea potenial. Pierderea anticipat este o valoare estimat a se pierde la anumite intervale mai mari de timp. Media acestor pierderi pe un an de zile se numete pierdere anticipat anualizat. Diferena dintre pierderea anticipat i pierderea anticipat anualizat se numete valoarea anticipat a reducerii pierderilor viitoare. Prin implementarea msurilor de securitate , eliminarea acestor pierderi poate fi considerat un beneficiu. Fiecare ameninare se caracterizeaz prin rata de apariie (RA) care nseamn, cu alte cuvinte, de cte ori se ateapt s apar ameninarea respectiv ntr-o anumit perioad de timp. Pierderea anticipat anualizat se calculeaz independent pentru fiecare activ n parte. Fiecare pereche ameninare activ este caracterizat de un indicator care se numete factor de vulnerabilitate (FV) . Factorul de vulnerabilitate se calculeaz ca raport ntre pierderea curent cauzat de o singur apariie i totalul pierderilor poteniale aferente unui activ, unui bun. Pierderea anticipat anualizat se calculeaz n acest context dup urtoarea relaie:

PAA = RA * PP * FV unde: PAA, este pierderea anticipat anualizat, RA, este rata apariiei, PP, este pierderea potenial, FV, este factorul de vulnerabilitate.

nsumnd aceste pierderi anticipate anualizate calculate pentru fiecare pereche activ ameninare se va obine un indicator sintetic deosebit de util, pierderea anticipat anualizat total. Modelul are o aplicabilitate general, dar el se dovedete operaional mai ales pentru urmtoarele tipuri de pierderi: fraude cu calculatorul, furturi de echipamente sau de informaii, distrugeri fizice de echipamente i informaii, divulgarea neautorizat a informaiilor, ntrzieri cauzate de disfuncionalitatea sistemului informatic. Finalitatea modelului este reprezentat de analiza cost beneficiu, n sensul estimrii costurilor controalelor i implementrii msurilor de diminuare a riscurilor, costuri comparate cu beneficiile poteniale. Se poate determina astfel i o rat a recuperrii investiiei pentru un anumit control. Un studiu de caz pentru o astfel de abordare se va discuta la seminar. Un alt model de evaluare a riscurilor ia n considerare urmtorul triplet de factori: ameninare, vulnerabilitate, impact. Att ameninrile ct i vulnerabilitile se exprim ca mrimi procentuale. Impactul poate fi apreciat prin metoda scorurilor. Acest model calculeaz un scor numeric prin relaia: Risc = Ameninri * Vulnerabiliti * Impact Modelul, face apel la evaluarea calitativ a celor trei factori i atribuirea unui scor pe urmtoarea scar de valori; valoarea 0 pentru nivelul inexistent al apariiei factorului, valoarea 1 pentru nivel redus, 2 pentru nivel mediu i 3 pentru nivel mare. Scorul total va avea valori pe o scar de la 0 la 27. Trei factori cu scorul maxim 3 fac exact 27. Pe aceast scar se pot face i aprecieri procentuale ale nivelului de risc a sistemului informatic. Nivel 0 nsemnnd risc inexistent, ntre 0 25% risc redus, ntre 26 50% risc mediu, ntre 51 100% risc mare. Acest model este aplicabil foarte bine riscului auditrii: RA = RI * RC * RD unde: RA, este riscul auditului, RI, este riscul inerent, RC, este riscul controlului, RD, este riscul de detectare.

In recenta lor lucrare, autorii coordonai de Ion Ivan [IVAN05] propun implementarea unui model de msurare a concordanei dintre scopul i mijloacele de atingere a scopului sistemului informatic. Conform acestui model se poate evalua msura n care sistemul informatic, prin resursele sale, hardware, software, metodologii i personal, rspunde cerinelor manageriale i desigur i cerinelor compartimentelor de baz i funcionale ale organizaiei.

Nu putem exclude ns i aprecieri ale nivelului de risc bazate pe aprecierile echipei de audit n virtutea experienei sale. Evaluarea i cuantificarea riscurilor n cadrul auditului permite argumentarea alocrii de resurse pentru mbuntirea msurilor de control din cadrul sistemului informatic. Metodologic este bine s se urmreasc parcurgerea urmtoarelor etape pentru a finaliza corect procesul de stabilire i evaluare a riscurilor, pentru a stabili un sistem corespunztor de controale interne: - identificarea elementelor entitilor auditabile; - stabilirea riscurilor pentru fiecare element auditabil; - msurarea riscurilor; - clasificare; - ierarhizare; - clasare i stabilirea prioritilor; - evaluare controalelor interne i a msurilor. O discuie asupra controalelor interne va clarifica multe din aspectele concrete ale auditului sistemelor informatice. ntrebri recapitulative 1. Ce este riscul conform dicionarului DEX ? 2. Ce este riscul IT i ce atribute ale securitii informaiilor sunt afectate de producerea riscurilor IT ? 3. Enumerai patru aspecte majore ale afacerilor unei firme care au de suferit sub impactul producerii unor riscuri IT. 4. Ce criterii generale se pot utiliza n clasificarea riscurilor ? 5. Definii conceptul de management al riscurilor. 6. Cum explicai relaia audit managementul riscurilor. 7. Ce este riscul de audit i ce componente are ? 8. Precizai trei elemente care se iau n considerare pentru msurarea riscurilor ? 9. Care sunt etapele recomandate pentru procesul de stabilire i evaluare a riscurilor ?