Sunteți pe pagina 1din 28

ntreprinz tor n Mileniul Trei

INTRODUCERE IN MANAGEMENTUL RISCULUI

V sprijinim s deveni i ntreprinz tor n mileniul trei!


Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

ntreprinz tor n Mileniul Trei,


spa iul virtual al ntreprinz torilor care au ales s se conecteze la mediul de afaceri european!

Cultur antreprenorial , competen managerial tehnologia informa iei n afaceri!


Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Pericol eventual, mai mult sau mai pu in previzibil


Noul dic ionar explicativ al Limbii Romne, Editura Litera Interna ional, 2002

Posibilitate de a ajunge ntr-o primejdie, de a avea de nfruntat un necaz sau de suportat o pagub
Dic ionar explicativ al Limbii Romne, Academia Romn , Institutul de Lingvistic "Iorgu Iordan", Editura Univers Enciclopedic, 1998
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Incertitudinea care afecteaza posibilitatea atingerii obiectivelor


British Standards Institute (BSI), standardul 6079-3/2000

Un eveniment sau o conditie incerta care, daca apare, are un efect pozitiv sau negativ asupra obiectivelor proiectului. Riscul proiectului include atat amenintarile asupra obiectivelor cat si oportunitatile de a imbunatati aceste obiective.
Project Management Institute (PMI), PMBoK (editia 2000 republicata in 2004)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Masura a neconcordantei dintre diferite rezultate posibile, mai mult sau mai putin favorabile sau nefavorabile intr-o actiune viitoare. Dictionarul Enciclopedic Managerial, Editura Academica de Management Institutul pentru Managementul Riscului utilizeaza definitia din ISO/IEC Guide 73: Combinatia dintre probabilitatea de aparitie a unui eveniment si consecintele acestuia

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Din punct de vedere economic Stare in care exista probabilitatea aparitiei unei variatii adverse in raport cu un obiectiv definit de o organizatie (legat de modificarile produse la nivelul veniturilor, costurilor, sau volumului de productie). Din punct de vedere financiar Relatie intre o entitate (individ, organizatie) si un activ ce poate fi pierdut sau poate fi deteriorat.

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Din punct de vedere al domeniului asigurarilor Produsul dintre o pierdere posibila si probabilitatea de aparitie a acesteia, produs cunoscut ca expunere la risc. Din punct de vedere al managementului de proiect Probabilitate a aparitiei unui eveniment si impactul acestui eveniment asupra obiectivelor unui proiect.

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de management al riscului

Din punct de vedere al stiintelor mediului Posibilitatea aparitiei de efecte negative asupra componentelor mediului, ca urmare a unor agenti daunatori sau a unor fenomene naturale cu efecte dezastruoase. Din punct de vedere al sanatatii si securitatii umane Probabilitatea de modificare a starii de sanatate a indivizilor ca urmare a expunerii la unul sau mai multi factori de risc externi, interni sau de mod de viata.
Nadia Ciocoiu, Managementul riscului, teorii, practici, metodologii

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Conceptul de risc informational

Din punct de vedere informational Raportarea la o stare in care principalele proprietati ale informatiei ar putea sa fie afectate: confidentialitate, integritate, disponibilitate. Pot fi de asemenea implicate si alte proprietati ale informatiei: autenticitate, responsabilitate, non-repudiere, fiabilitate. Informatia trebuie privita in totalitatea ei, independent de suportul pe care circula.

Managementul riscului - activitati coordonate pentru directionarea si controlul organizatiei cu privire la riscuri (conform ISO/IEC 73)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Istoric
Dezvoltarea Risk Management (RM) ca disciplina incepe dupa 1900: -1900 Uraganul Galveston, schimba abordarea asupra previziunilor meteo -1920 British Petroleum infiinteaza Tanker Inshurance Company -1921 primele publicatii, Risc, Uncertainty and Profit, Frank Knight si A Treatise on Probability, Maynard Keyes -Diverse publicatii, nu foarte numeroase, in special in zona investitionala, financiara, asigurari -1950 se consacra termenul de Management al Riscului si incep sa se infiinteze functii de MR in organizatii
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Istoric

-1962 apare prima publicatie care incurajeaza opinia publica sa ia in considerare degradarea mediului The silent spring, Rachel Carson -1970 infiintarea Agentiei de Protectie a Mediului in SUA -1973 Asociatia de la Geneva incepe sa acorde stimulente intelectuale pentru promovarea Managementului Riscului -1975 se infiinteaza Risk & Insurance Management Society (RIMS) -1980 in Washington se infiinteaza Societatea de Analiza a Riscului - SRA, acumuleaza pana in anul 1999 2200 membri http://www.sra.org/
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Istoric
-1986 se infiinteaza la Londra Institutul de Management al Riscului IRM orientat catre sustinere si formare, lanseaza un program educational intensiv (http://www.theirm.org) -1995 apare primul Risk Management Standard revizuit ulterior, in 1999 -1996 se infiinteaza The Global Association of Risk Professionals GARP, cu orientare catre zona financiar-bancara, desfasoara activitati aproape exclusiv prin Internet, devine pana in 2002 cea mai mare asociatie (cu 5000 contribuabili si 17000 membri asociati) (http://www.garp.com)
Nadia Ciocoiu, Managementul riscului, teorii, practici, metodologii
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Istoric

ISO 31000:2009, Risk management - Guidelines on principles and implementation of risk management BS 6079-3:2000, Guide to the Management of Business Related Project Risk SR EN/ISO CEI 27001:2005, Tehnologia informatiei - Tehnici de securitate -Sisteme de management al securitatii informatiei. Cerinte SR EN/ISO CEI 27002:2007, Tehnologia informatiei - Tehnici de securitate - Cod de buna practica pentru managementul securitatii informatiei ISO/IEC 27005:2008, Information technology - Security techniques Information security risk management (inlocuieste 13335-2,3,4)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Standarde si documente de referinta

ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards (www.iso.ch) ISO/IEC 18044:2004, Information technology - Security Techniques Information Security Incident Management. - ISO/IEC 18028:2006, Information technology - Security techniques IT network security - ISO/IEC 15408-1: 2005, Information technology - Security techniques - Evaluation criteria for IT security (criterii comune)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Standarde si documente de referinta

-CobIT, Control Objectives for Information and Related Technology, elaborat de ISACA (Information System Audit and Control Asociation (www.isaca.org). Colectie de bune practici in domeniul IT. - ITIL, IT Infrastructure Library, OGC - Office of Government Commerce, echivalent cu ISO/ IEC 20000:2005 Information technology - Service management (www.iso.ch), de asemenea o colectie de bune practici orientat insa inspre gestionarea SLA. - ITBPM, IT Baseline Protection Manual elaborat de Federal Office for Security in Information Technology (FSI), Germania (http://bsi.bund.de)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Definitii

Determinarea riscului - procesul combinat de analiza si evaluare a riscului (ISO/IEC 73) Analiza riscului - utilizarea sistematica a informatiilor pentru identificarea surselor si estimarea riscului (ISO/IEC 73) Estimarea riscului exprimare a duratei, intensitatii, dimensiunii si capacitatii de a genera consecinte, aferente unui factor de risc identificat, intr-o maniera cuantificata sau baneasca (Business Dictionary)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Definitii
Evaluarea riscului - procesul de comparare a riscului estimat cu criteriile de risc pentru determinarea semnificatiei riscului (ISO/IEC 73 Tratarea riscului - procesul de selectie si implementare a masurilor pentru reducerea riscului (ISO/IEC 73) Ameninare - cauza potentiala a unui incident nedorit care poate produce daune unui sistem sau unei organizaii (ISO/IEC 13335-1) Vulnerabilitate - slabiciune a unei resurse sau grup de resurse care poate fi exploatata de una sau mai multe amenintari (ISO/IEC 13335-1)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Definitii
Impact - daunele cauzate de un incident Bun (Asset) - valoare pentru organizatie, activitatea organizatiei si continuitatea acesteia (ISO/IEC 13335-1) Masura de control - practica, procedura sau mecanism care reduce riscurile de securitate (ISO/IEC 13335-1) Risc rezidual riscul care ramane dupa tratarea riscului (ISO/IEC 73) Managementul riscului - activitati coordonate pentru indrumarea si controlul unei organizatii luand in considerare riscurile (ISO/IEC 73)
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Sisteme de management al securitatii informatiei - SMSI

Riscul informational se raporteaza la informatie si la capacitatea acesteia de a fi mentinuta in conditii de securitate. Atat riscul cat si securitatea informatiei se raporteaza la proprietatile informatiei: confidentialitate, integritate, disponibilitate, responsabilitate, autenticitate, nonrepudiere, fiabilitate.

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Sisteme de management al securitatii informatiei - SMSI

SMSI este parte a intregului sistem de management care are in centru o abordare a riscului afacerii folosita pentru a stabili, implementa, functiona, monitoriza, revizui, mentine si imbunatati securitatea informatiei. Stabilirea unui SMSI intr-o organizatie are in centrul tuturor demersurilor realizarea proceselor adecvate de management al riscului informational in vederea asigurarii securitatii informatiei.

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Sisteme de management al securitatii informatiei - SMSI

Analiza riscului informational

Impactul pe care o amenintare il creeaza prin exploatarea unei vulnerabilitati ar trebui analizat din perspectiva obiectivelor securitatii informatiei: integritate, disponibilitate, confidentialitate. Mare pierderi materiale cu costuri foarte mari; pierderi foarte importante de imagine, reputatie, etc; pierderi foarte importante la nivel de securitate si sanatate in munca Mediu pierderi materiale cu costuri semnificative; pierderi semnificative de imagine, reputatie, etc; pierderi la nivel de securitate si sanatate in munca Scazut pierderi materiale neimportante; oarecare atingere de imagine, reputatie, etc;
Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Exemplu estimare: abordare detaliata consecinte-impact- probabilitate, masurare calitativa


Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Exemplu estimare : abordare detaliata valoare bunuri-vulnerabilitate-probabilitate, masurare calitativa

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Tratarea riscului informational


Cei 4T - Terminate, Tolerate, Treat, Transfer

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Tratarea riscului informational

Pentru fiecare dintre riscurile determinate este necesara o decizie de tratare. Optiuni posibile: - Evitarea riscurilor prin interzicerea actiunilor care ar putea cauza aparitia riscurilor (Terminare) - Acceptarea constienta si obiectiva a riscului conform politicii si criteriilor de acceptare a riscurilor stabilite de organizatie (Tolerare) - Aplicarea masurilor adecvate de securitate pentru reducerea riscului (Tratare) - Transferul riscurilor catre terte parti, e.g. asiguratori sau furnizori de servicii (Transfer)

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Tratarea riscului informational

Pentru riscurile pentru care s-a luat decizia de tratare trebuie luate masuri de reducere a riscurilor la un nivel acceptabil. Controalele pot fi selectate din acest standard sau din alte seturi de controale, pot fi proiectate noi controale pentru a ndeplini nevoile specifice organizatiei Trebuie recunoscute controalele care nu pot fi aplicate la fiecare sistem sau mediu de informatii si care nu sunt utilizabile pentru toate organizatiile

Proiect cofinan at din Fondul Social European prin Programul Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013. Investe te n oameni!

Tratarea riscului informational