我一直在回答有关如何开始构建现代IT风险管理程序的问题, 在谷歌上快速搜索一下就会发现,关于最佳方法有很多不同的观点. 如果你随机选择其中一个解, 您可能会发现,大多数推广过于复杂的风险评估技术会导致任意的风险优先级,并可能导致您的组织放弃该计划,因为它不能足够快地显示价值.
现在,ISACA的全球IT风险咨询小组已经编制了一个工具包,旨在启动您的风险计划开发计划, 这将有助于避免许多本地框架的陷阱. The IT风险入门工具包 是专门针对中小型澳门赌场官方下载市场的基本构建模块而设计的——你不需要成为一家大型澳门赌场官方下载或拥有一群风险顾问来启动它吗. 这个工具包不仅仅专注于网络安全, 要么——它的发展是为了广泛地覆盖所有it风险领域. 目标是建立一个 一致的、有纪律的和集成的IT风险管理方法, 包括设定风险偏好和识别, 测量, 控制, 监控, 报告重大风险. 换句话说,你想要一个能够帮助回答这些基本问题的程序:
- 我们组织面临的最大风险是什么?
- 我们在进步吗??
- 我们是否从投资中获得了最大的收益?
没有一个结构化的风险计划, 我们不能充分支持战略决策, 没有办法自信地回答上述问题. 该工具包充满了有用的模板,包括:
- 球场上甲板
- 策略模板
- 治理结构
- 角色 & 责任
- 关键术语 & 分类
- 委员会章程
- 关键角色的职位描述
- 风险偏好陈述模板
- Risk & 控件库模板
- 评估 & 注册模板
- 风险场景模板
- 风险报告/仪表板模板
- 风险计划成熟度评估
The 入门指南 包括在工具包将引导您通过建立一个程序和记录您的风险的早期阶段. 这些基本模板旨在根据您的环境进行定制,并且有意与行业无关, 风险框架或技术类型. 虽然模板是通用的,但受ISACA的影响很大 风险IT框架和风险IT从业者指南.
从零开始
如果你刚刚开始, 不用担心-该工具包包括让您的程序启动的所有基础知识. 如果您的组织还不相信风险计划是值得投资的, 该工具包甚至包括一个模板 球场上甲板 这可以用来向你的高层领导证明风险计划的好处. 该平台列出了一种随着时间推移构建能力的方法,并给出了基本的开始路线图,并围绕解决以下问题进行了组织:
Why? 概述现状和组织的痛点
What? 解释风险项目的任务和拟议的结构
How? 概述战略愿景,并提出下一步措施
然后介绍当前的机会, 项目使命声明, 一个基本的路线图. 请记住,这些程序不是一夜之间建立起来的, 大多数组织将需要2-3年的时间来完全开发和推出一个成熟的风险计划, 但你会更早地看到它的好处. 这张牌概述了开始的最初步骤,并删除了咨询的绒毛.
现有的程序
如果程序已经存在,则 球场上甲板 是否可以自定义,以关注如何增强或转换这些过程以达到下一个成熟度级别. 首先要强调工作良好的关键因素和需要改进的地方. 幻灯片提供了一个模板,用于识别现有风险计划的预期或优先级的任何变化. 考虑用成熟度评估来总结当前程序所处的位置,以说明当前的功能并为增强设置目标. Also, 重要的是要认识到,目标可能不会在每个类别中都是“完美的”——你会通过指出这一点,并现实地了解哪些计划元素对你的组织最重要,从而赢得管理层的认可.
当您自定义路线图时, 记住要设定可实现的目标, 并根据组织的需要调整时间框架.
离开地面
在我的职业生涯中, 我设计并建立了许多风险项目, 我得到的最好的建议就是保持简单. 注意不要过度设计程序,也不要过快地扩大范围. 这个工具包是根据这些原则开发的. 它包含了你需要的所有构建模块,并提供了一个让你走上正确道路的计划. 例如, 风险报告/仪表板模板 包括四个相互构建的迭代,并且随着程序的成熟而变得更加复杂. 该模板将帮助您从更基本的度量和滞后指标转移到更细粒度的场景,并预测风险暴露的未来变化. 这个工具包的指导原则是,衡量和量化风险永远不会太早, 即使是在项目的早期阶段.
无论您是风险管理框架的新手还是经验丰富的老手, 我希望你能下载 IT风险入门工具包 试一试吧.
