Logo tr.artbmxmagazine.com

Bilgisayar teknolojisinde risk yönetimi

Anonim

Her kuruluşta, bilgisayar alanına katılan süreçlerin ve faaliyetlerin tabi olduğu risklerin doğru değerlendirilmesini garanti eden bir araca sahip olmak önemlidir; ve kontrol prosedürleri ile bilgi işlem ortamının performansı değerlendirilebilir.

Bu tür araçlara yönelik iş ortamına duyulan ihtiyacı gören ve bilgi işlem ortamındaki sorunların temel nedenlerinden birinin bilgisayar risklerinin yetersiz yönetimi olduğunu göz önünde bulundurarak, bu çalışma, risk yönetimi, aşağıdaki hususlara dayanarak:

  • Bilgisayar süreçlerinde var olan risklerin değerlendirilmesi, tehditlerin veya risklerin nedenlerinin değerlendirilmesi, risklere yönelik tehditlerin en aza indirgenmesi için kullanılan kontroller, bilgisayar süreçlerinden sorumlu olanların atanması, risk analizi unsurlarının değerlendirilmesi..
sisrisinfo

BÖLÜM I - RİSK YÖNETİMİ

  1. SORUN - RİSK YÖNETİMİ

Risk, kayıp olasılığının olduğu çevresel koşulların bir kombinasyonundan oluşan sıkıntıya maruz kalmanın gerçek dünya koşuludur.

1.1. RİSK SINIFLANDIRMASI

İşletmeler, çeşitli nedenlerden dolayı başarısız olabilir veya zarar görebilir. Bu nedenlerdeki farklılıklar ve etkileri, aşağıdaki gibi sınıflandırılabilen riskleri ayırt etmenin temelini oluşturur:

  • FİNANSAL RİSKLER: Finansal risk, bir kuruluş ile ilişkinin kaybolabileceği veya zarar görebileceği bir avantajı içerir. Bu şekilde finansal risk 3 unsurdan oluşur:
  1. Kayıplara maruz kalan kuruluş Finansal kayıpların nedenlerini oluşturan unsurlar Kayba neden olabilecek bir tehlike (risk tehdidi).
  • DİNAMİK RİSKLER: Ekonomide iki faktörden kaynaklanan değişikliklerin sonucudur:
  1. Dış çevre faktörleri; ekonomi, endüstri, rakipler ve müşteriler Spekülatif riske esas olan zararları yaratabilecek diğer faktörler, kurum yönetiminin kararlarıdır.
  • STATİK RİSKLER: Bu riskler, sahtekârlık veya insani başarısızlık gibi ekonomide meydana gelen değişikliklerin dışındaki nedenlerden kaynaklanır ÖZEL RİSK: Zarar veya kâr olasılığı bekleyen bir durumu açıklar. İyi bir örnek riskli veya rasgele bir durumdur SAF RİSK: Sadece zarar veya kar yaratan durumları belirtir, bir örnek bir malın (otomobil, ev vb.) Satın alınmasında kayıp olasılığıdır. Saf riskler şu şekilde sınıflandırılabilir: Kişisel Risk: Aşağıdaki tehlikelere maruz kalan kayıp olasılığından oluşur: erken ölüm, hastalık ve sakatlık Mülkiyet riskleri: Bunlar 2 farklı kayıp türünü kapsar: bunlar: yıkımdan kaynaklanan doğrudan kayıplar Malların,ve doğrudan zararların veya ek masrafların sonuçlarından kaynaklanan dolaylı zararlar. Sorumluluk Riskleri: Temel tehlikeniz, diğer insanlar için yaralanma veya ihmal veya dikkatsizlik nedeniyle maddi hasardır Fiziksel Riskler: Bu sınıfa dahildir: Örneğin: Aşırı gürültü, Yetersiz aydınlatma, radyasyona maruz kalma, yetersiz elektrik tesisatları. Kimyasal riskler: Bu sınıf aşağıdakileri içerir: Solvent buharlarına, yanma dumanına ve gazlara maruz kalma Biyolojik riskler: Mantarlar ve bakteriler Psikososyal riskler: Haksız ekonomik gelir, monotonluk, teşvik eksikliği ve motivasyon. Rahatsız işyeri, Zorlanmış gövde konumu, makineleri çalıştırırken tekrarlayan hareket, aşırı kalabalık TEMEL RİSK:Menşei ve sonucu olarak kişisel olmayan kayıpları içerir. Çoğu ekonomik, sosyal fenomenlerden kaynaklanır. Bir organizasyonun bir kısmını etkiler PARTİKÜLER RİSK: Bir gruptan önce meydana gelmeden önce bireysel olaylardan kaynaklanan kayıplardır. İşsizlik, savaş, enflasyon, depremler temel risklerdir; bir evin yangını ve bir bankanın soyulması özel risklerdir.

1.2. BİLGİSAYARLARLA İLGİLİ İŞ RİSKLERİ

İşletmelerin ana bilgisayar riskleri aşağıdaki gibidir:

  • Dürüstlük Riskleri:Bu tür, bir kuruluşta kullanılan uygulamaların yetkilendirilmesi, eksiksizliği ve doğruluğu, işlenmesi ve raporlanması ile ilgili tüm riskleri kapsar. Bu riskler, bir iş işleme destek sisteminin her yönü için geçerlidir ve birden fazla yerde ve uygulamaların tüm bölümlerinde birden çok kez bulunur; bu riskler bir sistemin aşağıdaki bileşenlerinde ortaya çıkmasına rağmen: Kullanıcı arayüzü: Bu alandaki riskler genellikle bir kuruluşun bireyleri ve iş / sistem işlevlerini yürütme yetkisi üzerindeki kısıtlamalarla ilgilidir; iş ihtiyaçlarını ve makul bir yükümlülük ayrımı göz önünde bulundurarak.Bu alandaki diğer riskler, bir sisteme girilen bilgilerin geçerliliğini ve eksiksizliğini sağlayan kontrollerle ilgilidir. İşleme: Bu alandaki riskler genellikle bilgi işlemenin tamamlanmasını sağlayan dedektif ve önleyici kontrollerin uygun dengesi ile ilgilidir. Bu risk alanı, sonuçları özetlemek ve iş kararları vermek için kullanılan raporların doğruluğu ve eksiksizliğiyle ilişkili riskleri de kapsar. Hata İşleme: Bu alandaki riskler genellikle herhangi bir girdi / işlem hatası bilgisinin (İstisnalar) düzgün bir şekilde yakalanmasını, düzeltilmesini ve tam olarak yeniden işlenmesini sağlayan yöntemlerle ilgilidir. Arayüz:Bu alandaki riskler genellikle bilginin uygulamalar tarafından düzgün bir şekilde işlenmesini ve iletilmesini sağlayan önleyici ve dedektif kontrolleri ile ilgilidir. Değişim yönetimi: Bu alandaki riskler genellikle risk altyapısının ve uygulama değişikliklerinin etkisinin bir parçası olarak düşünülebilir. Bu riskler, aşağıdakileri içeren örgütsel değişim süreçlerinin yetersiz yönetimiyle ilişkilidir: Değişiklikleri işlemek için taahhütler ve kullanıcıların eğitimi ve bunların nasıl iletileceği ve uygulanacağı. Bilgi: Bu alandaki riskler genellikle uygulama altyapısının bir parçası olarak düşünülebilir. Bu riskler kontrollerin yetersiz yönetimi ile ilişkilidir,işlenen bilginin güvenliğinin bütünlüğü ve veritabanı sistemlerinin ve veri yapılarının etkin yönetimi dahil. Bütünlük şu nedenlerle kaybedilebilir: Programlama hataları (iyi bilgi, kötü yapılandırılmış programlar tarafından işlenir), hata işleme (yanlış işlenmiş işlemler) veya hata yönetimi ve işleme (kötü sistem bakım yönetimi).İlişki riskleri : İlişki riskleri, bir uygulama tarafından oluşturulan bilgilerin zamanında kullanılmasını ifade eder. Bu riskler doğrudan karar verme bilgileriyle ilgilidir (doğru zamanda doğru kişiden / süreçten / sistemden gelen doğru bilgi ve veriler doğru kararların alınmasına izin verir). Erişim riskleri:Bu riskler sistemlere, verilere ve bilgilere uygunsuz erişim üzerine odaklanmaktadır. Bu riskler şunları içerir: Uygunsuz iş ayrımı riskleri, veritabanı sistemlerinden gelen bilgilerin bütünlüğüyle ilişkili riskler ve bilgilerin gizliliği ile ilişkili riskler. Erişim riskleri, bilgi güvenliği yapısının aşağıdaki düzeylerinde ortaya çıkabilir: İş süreçleri: Kurumsal kararlar, uyumsuz işleri kuruluştan ayırmalı ve doğru düzeyde işlev yürütme sağlamalıdır. Uygulama: Kullanıcılara işlerini gerçekleştirmek için gerekli işlevleri sağlayan güvenlik mekanizmalarının dahili uygulaması. Bilgi yönetimi: Mekanizma, kullanıcılara çevreye özgü bilgilere erişim sağlar.İşleme ortamı: Bu alandaki bu riskler, programa ve bilgi ortamına uygunsuz erişim ile yönetilir. Ağlar: Bu alanda ağ ortamına ve işlenmesine uygunsuz erişim ifade edilir. Fiziksel seviye: Cihazların fiziksel olarak korunması ve bunlara uygun erişim.Yararlılık Riskleri: Bu riskler üç farklı risk düzeyine odaklanır: Sorunlar ortaya çıkmadan önce sistemlerin ele alınması risklerle karşı karşıya kalabilir Sistem yedeklemesini en aza indirmek için kullanılan kurtarma / geri yükleme teknikleri bilgi işlemede beklenmedik olay kontrol felaketleri. Altyapı riskleri:Bu riskler, kuruluşlarda işletmelerin gelecekteki ve mevcut ihtiyaçlarını etkin bir maliyetle yeterli bir şekilde destekleyecek etkin bir teknolojik bilgi yapısının (donanım, yazılım, ağlar, insanlar ve süreçler) bulunmamasına işaret etmektedir. Bu riskler, bir bilgi işleme ortamını ve ilgili uygulamaları (müşteri hizmetleri, fatura ödeme, vb.) Tanımlayan, geliştiren, sürdüren ve işleten teknolojik bilgi süreçleriyle ilişkilidir. Bu riskler genellikle aşağıdaki BT süreçleri bağlamında değerlendirilir: Organizasyonel planlama: Bu alandaki süreçler, BT'nin iş dünyasında etkisinin, tanımının ve doğrulamasının tanımlanmasını sağlar. Ayrıca,Yeterli bir organizasyonun (insanlar ve süreçler) olup olmadığını kontrol edin, bilgisayar teknolojisinin çabalarının başarılı olmasını sağlar. Uygulamaları tanımlama: Bu alandaki işlemler uygulamaların kullanıcı ihtiyaçlarını karşılamasını ve iş süreçlerinin bağlamını desteklemesini sağlar. Bu süreçler şunları içerir: mevcut bir uygulamayı satın alma veya müşteri çözümleri geliştirme kararlılığı. Bu süreçler ayrıca uygulamalarda (satın alınan veya geliştirilen) yapılan değişikliklerin, kritik süreç / kontrol noktalarının tutarlı olduğunu doğrulayan tanımlanmış bir süreci izlemesini sağlar (Tüm değişiklikler dağıtımdan önce kullanıcılar tarafından incelenir). Güvenlik yönetimi: Bu alandaki süreçler, kuruluşun,Kuruluş bilgilerinin bütünlüğü ve gizliliği ve sahtekarlığın kabul edilebilir seviyelere indirilmesine ilişkin yönetim politikaları olan bir iç güvenlik sistemi sürdürmek ve izlemek. Ağ ve hesaplama işlemleri: Bu alandaki işlemler, bilgi sistemlerinin ve ağ ortamlarının güvenli ve güvenli bir şemada kullanılmasını ve bilgi işleme sorumluluklarının tanımlanmış, ölçülen ve izlenen operasyon personeli tarafından gerçekleştirilmesini sağlar. Ayrıca, sistemlerin tutarlı ve tatmin edici bir performans düzeyinde kullanıcılar tarafından kullanılabilir olmasını sağlarlar. Veritabanı sistemleri yönetimi:Bu alandaki işlemler, kritik uygulamaları ve raporları desteklemek için kullanılan veritabanlarının tanım tutarlılığı, eşleşme gereksinimleri ve fazlalık potansiyelini azaltmasını sağlamak için tasarlanmıştır. Bilgi / İşletme: Bu alandaki süreçler, bilgi teknolojisinin ihtiyaç duyduklarında kullanıcılara ulaşmasını sağlamak için yeterli bir plan olmasını sağlamak üzere tasarlanmıştır.Genel Güvenlik Riskleri: IEC 950 standartları, genel güvenliği sağlamak ve riski azaltmak için tasarım gereksinimleri sağlar: Elektrik Çarpması Tehlikeleri: Yüksek voltaj seviyeleri. Yangın Tehlikeleri: Malzemelerin tutuşabilirliği. Yetersiz elektrik enerjisi riskleri. Radyasyon riskleri: gürültü, lazer ve ultrasonik dalgalar. Mekanik riskler: Elektrikli parçaların dengesizliği.

1.3. RİSK YÖNETİMİ İÇİN PROSEDÜR TEKNİKLERİ

  • RİSKLERDEN KAÇININ: Kuruluşta kabul edilmediğinde bir riskten kaçınılır. Bu teknik pozitif olmaktan daha olumsuz olabilir. Riskten kaçınma aşırı kullanıldıysa, işletme kâr için birçok fırsattan mahrum bırakılacaktı (örneğin: yatırım yapma riski) ve muhtemelen hedeflerine ulaşamayacaktı RİSK AZALTMA: Riskler, örneğin: güvenlik programları ile azaltılabilir, güvenlik görevlileri, alarmlar ve gelecekteki kayıpların tahmin edilmesi ile uzmanların tavsiyesi: RİSKLERİN KORUNMASI: Risklerle karşılaşma yöntemlerinin belki de en yaygın olanıdır, çünkü çoğu zaman olumlu bir eylem onu ​​aktarmak veya eylemini azaltmak değildir. Her kuruluş, beklenmedik marjlarına göre hangi risklerin korunacağına veya transfer edileceğine karar vermelidir,Zarar, bir kuruluşun başka bir kuruluş tarafından kolayca sürdürülebilmesi için finansal bir felaket olabilir PAYLAŞIM RİSKLERİ: Riskler paylaşıldığında, kayıp olasılığı kişiden gruba aktarılır.
  1. RİSK YÖNETİMİNDE ÇÖZÜMLER

2.1. RİSK YÖNETİMİNİN TANIMI

Risk yönetimi, risklerin ortaya çıkmasını veya meydana gelebilecek kayıpların mali etkisini en aza indiren prosedürlerin tasarlanması ve uygulanması ile olası kaza kayıplarını öngören bilimsel bir yaklaşımdır.

2.2. RİSK YÖNETİM ARAÇLARI

Risk yönetiminde kullanılan ana teknikler veya araçlar:

  • Risk Kontrolü: Kuruluşun maruz kaldığı risklerin yol açabileceği olası maliyetleri en aza indirmek için tasarlanan teknik, bu teknik, belirli bir faaliyetin kaybına maruz kalmanın reddedilmesini ve olası zararların potansiyelinin azaltılmasını içerir.
  • Risk Finansmanı: Finansal kaynakları ve bunlarda meydana gelebilecek kayıpları bilme yeteneğini garanti etmeye odaklanmaktadır. Sulama genellikle aktarılır veya saklanır. Tutulduklarında, bütçenin belirli bir tahsisi eşlik eder ve sapmalarını bilmek için bir finansal kaynak birikimini içerebilir. Devredildiklerinde, sözleşmeye bağlı düzenlemeleri ve belirli faaliyetlerin dış kaynak kullanımını kapsamaktadırlar.

2.3 RİSK YÖNETİM SÜRECİ

İşlem aşağıdaki adımlardan oluşur:

  • Hedefleri Belirleyin: Risk yönetiminde ilk adım, risk yönetimi programına kesin olarak karar vermektir. Risk yönetimi ile ilgili giderlerden maksimum faydayı elde etmek için bir plan gereklidir. Aksi takdirde, risk yönetimi sürecini basit bir problemden ziyade bir dizi yalıtılmış problem olarak görmek ve kurumun süreçlerinde mantıksal tutarlılık sağlamak için hiçbir kılavuz yoktur.

Risk yönetiminin temel amacı, doğanın birinci yasası olarak, kuruluşun hayatta kalmasını sağlamak ve risklerle ilişkili maliyetleri en aza indirmektir. Risk yönetimindeki kusurların çoğu, net hedeflerin yokluğunda yatmaktadır.

Risk yönetiminin hedefleri, bunu başarmak için alınan politikaları ve önlemleri açıklayan “kurumsal risk yönetimi politikası” nda resmileştirilmiştir.

İdeal olarak, risk yönetimi hedef ve politikaları şirketin Yönetim Kurulu kararlarının ürünü olmalıdır.

  • Risklerin Tanımlanması: Koşullar ve operasyonlar farklı olduğu için bir kuruluşun riskleri hakkında genelleme yapmak zordur, ancak bunları tanımlamanın yolları vardır:
  • Risk tanımlama araçları: Risk tanımlamasında kullanılan en önemli araçlar şunları içerir: kuruluşun dahili kayıtları, sigorta poliçeleri için kontrol listeleri, risk analizi anketleri, süreç akışları, finansal analiz, operasyon denetimi ve mülakatlar.
  • Kombinasyon yaklaşımı: Risk tanımlamasında tercih edilen yaklaşım, sorunları tolere etmek için tüm risk tanımlama araçlarının yapıldığı bir kombinasyon yaklaşımından oluşur. Özetle, her araç sorunun bir kısmını çözebilir ve bir araya gelerek risk yöneticisine önemli bir yardımcı olabilir. Riskler birçok kaynaktan gelebilir, bu nedenle risk yöneticisinin operasyonlardaki değişiklikler ve harici varlıklarla olan ilişkilerdeki değişiklikler hakkında bilgi akışı sağlamak için tasarlanmış bir hızlı arama bilgi sistemine ihtiyacı vardır. Risklerin değerlendirilmesi:Riskler belirlendikten sonra, risk yöneticisi bunları değerlendirmelidir. Bu, öncelik sırasını kategorize ederek kayıp potansiyelini ve kayıp olasılığını ölçmeyi içerir. Zararların potansiyel finansal etkisine odaklanan bir öncelik oluşturmak için bir dizi kriter kullanılabilir, örneğin: Kritik riskler: Büyüklüğün iflas ettiği tüm zarar riskleri. İflas etmiyorlar, ancak kuruluşun faaliyetlerini sürdürmesi için harekete geçmeleri gerekiyor Önemsiz riskler: Büyük finansal etkiye neden olmayan zararlara maruz kalma. Alternatiflerin değerlendirilmesi ve risk tedavi mekanizmalarının seçimi:Bir sonraki adım, risklerle başa çıkmak için kullanılabilecek teknikleri ele almaktır. Bu teknikler şunları içerir: risklerden kaçınma, alıkoyma, şeffaflık ve azaltma. Kuruluşun bazı risk yönetimi politikaları, tekniklerin seçiminde uygulanacak kriterleri belirler ve risk yöneticisinin çalışabileceği kuralları belirler. Kararın Uygulanması, Değerlendirilmesi ve İncelenmesi: Bu adım 2 nedenden ötürü dahil edilmelidir. Birincisi, risk yönetimi süreci nihai her derde deva değildir, işler değişebilir, yeni riskler ortaya çıkar ve eski riskler ortadan kalkar, risk yönetimi programı risk yöneticisinin kararları gözden geçirmesine ve hataları keşfetmesine izin verir.

2.4 RİSK YÖNETİCİSİNİN SORUMLULUKLARI

  1. Risk yönetimi politikalarının geliştirilmesi: Risk yöneticisi, kuruluşa hedefleri belirleme ve üst yönetimle politikalar hazırlama konusunda yardımcı olur. Riskleri belirleyin: Bu, risk yönetiminin oldukça zor bir fonksiyonudur. Bu işlem, risk yöneticisini yeni kayıp risklerine karşı uyaran büyük bir bilgi sistemi gerektirir. Finansal alternatifleri seçin: Kuruluşun finansal yapısına bağlı olarak risk yöneticisi, izlenmesi gereken yolu önerir.
  1. Güvenlik kapsamının müzakere edilmesi: Risk yöneticisi hangi güvencenin gerekli olduğunu belirlemeli ve kapsam ile maliyetin en iyi kombinasyonunu elde etmelidir.
  1. Gözetim iç yönetimi: Bu işlev kayıp istatistiklerini, sulama yönetim kılavuzlarını, yenileme izlemeyi ve program yönetimini içerir.
  1. Risk fonksiyonlarını yönet: Bu fonksiyon şunları içerir: sigorta izleme ve sigorta sözleşmesi denetimi.
  1. Zararın önlenmesini denetleyin: Uzman olmadan, zarara maruz kalan bölge hakkında küresel bir bilgiye sahip olmaları gerekir.
  1. RİSK YÖNETİMİNDE KARARLAR

Risk yönetiminde alınacak temel kararlar şunlardır:

  • İçgüdüsel Riske Tepkiler: Kendini korumaya yönelik doğal içgüdü, tehlikeye içgüdüsel tepki, öğrenilmiş davranış olarak sınıflandırılabilecek kontrol tedbirleridir. Bunlar doğuştan gelen davranış standartları haline gelir ve kayıpların önlenmesi için kişisel kuralları temsil eder Risk yönetiminde iyi ve kötü kararlar: Risk yönetimi kararlarında en karmaşık konulardan biri, iyi kararları kötü, çünkü risk yönetimi belirsizlik koşulları altında alınan ve bazen uygunsuz bir şekilde yargılanan kararları kapsar. Değerlendirme mevcut ve güncellenmiş bilgilere dayanarak yapılmalıdır.
  • Fayda-Maliyet Analizi: Fayda-maliyet analizi, risk yönetiminin yaptığı katkıyı ölçmeye çalışır ve faydalarının maliyetini aşıp aşmadığını doğrular; Şu anda maliyet-fayda analizi, faydaların tahmini süre içinde verildiği herhangi bir kararı değerlendirmek için kullanılabilir. Her ne kadar maliyet-fayda analizi risk yönetimi kararları almak için iyi bir teknik olsa da, risklerin doğası, maliyetlerin genel olarak ölçüldüğü durumlarda faydalarını engelleyici unsurlar yaratır. talep fonksiyonunun doğasını açıklamak için fayda sağlandı, yani ekonomik faydadan elde edilen fayda veya memnuniyet, maldaki artışlarla orantılı olarak artmıyor,Bu tekniği karar verme için bir temel olarak kullanmak, bazen yetersiz olsa da tutarlı kararlar ortaya çıkar.
  • Karar Teorisi: Karar analizi olarak da adlandırılır, alınan bir karar bazı alternatif kararlarla ve gelecekteki olayların belirsiz bir modeliyle karşı karşıya kaldığında isteğe bağlı stratejileri belirlemek için kullanılabilir.

Analistin bir problem verdiği karar teorisindeki ilk adımı mevcut tüm karar alternatiflerini listelemektir; İkinci adım, gelecekteki tüm olayları listelemektir; bu gelecekteki olaylara sorunun "Doğa Durumları" denir. Karar durumları 3 türe ayrılır:

  1. Kesinlik altında karar verme: bir ve sadece bir "doğa durumu" vardır ve karar kesin olarak alınır Karar verme riski: birden fazla "doğa durumu" vardır ve mevcut tüm durumlar olasıdır. belirsizlik altındaki kararlar: birden fazla "doğa durumu" vardır, ancak çeşitli devletlerin ortaya çıkma olasılığı veya seçimi hakkında hiçbir şey bilinmemektedir.

3.1 RİSK YÖNETİM KURALLARI

Risk yönetimi, ilke ve tekniklerinin resmileştirildiği organizasyonun özel bir fonksiyonel alanı olarak kabul edilmiştir. Risk yönetimi alanında aşağıdaki kurallar oluşturulmuştur:

  • Mümkün olduğunca fazla risk almayın: Hangi risklerin belirli bir işlem gerektirdiğini belirlemede en önemli faktör, maksimum kayıp potansiyeli, bazı kayıplar kelimenin tam anlamıyla kuruluşun kapsamı dışında yıkıcı olabilirken, diğerleri maksimum potansiyel ise daha az finansal sonuç içerebilir. Bir tehdidin kaybı büyüktür, kayıp yönetilemez veya risk aktarılmalıdır.
  • Farklılıkları göz önünde bulundurun: Bu kural, kayıp olasılığının belirli bir risk hakkında ne yapılacağına karar vermede önemli bir faktör olabileceğini düşündürmektedir.
  • Çok az risk almayın: Bu kural, riskleri transfer etmenin maliyeti ile bunları transfer edenler arasında biriken değer arasında makul bir ilişki olabileceğini belirtir. Bu kural iki yön sağlar: birincisi, olası kayıp, elde tutma yoluyla elde edilen faydalardan nispeten büyük olduğunda korunamaz.İkincisi, bazı durumlarda, bir riski garanti altına almak için gereken fayda, riskle orantılı değildir. aktarılan risk.
  1. RİSK YÖNETİMİNDE SORUNLARIN DEĞERLENDİRİLMESİ VE DEĞERLENDİRİLMESİ

Değerlendirme ve gözden geçirme iki nedenden dolayı risk yönetimi süreci için önemlidir:

  1. İlk neden, işlerin değişmesi, geçmişte uygun çözümler ortaya çıkması ve eski risklerin ortadan kalkmasıdır Hatalar sürekli olarak ortaya çıkmakta ve sürekli gözden geçirme geçmiş hataları keşfetme fırsatı sunmaktadır.

4.1. DEĞERLENDİRME VE GENEL İNCELEME

Bu aşama, risk yönetimi kontrolünün idari kısmına karşılık gelir, kontrolün amacı, operasyonların planlanan ve gerekenlere uygun olduğunu doğrulamaktır:

  • Yürütülecek standartlar ve hedefler: Bu standartlar ve hedeflerle operasyonların yürütülmesini ölçün, sonuçlar istenenden farklı olduğunda düzeltici önlemler alın.

4.2 RİSK YÖNETİMİNDE DENETİM

Denetim süreci aşağıdaki adımları içerir:

  • Risk yönetimi hedef ve politikalarının değerlendirilmesi: Bir risk yönetimi programının değerlendirilmesi, programların standartlarla ölçülmesini içerir ve programın hedefleri ilk mantıksal standartları temsil eder. Bu değerlendirme genellikle kuruluşun mali durumunun ve kayıplara dayanma yeteneğinin bir incelemesini içerir. Hedefler tanımlandıktan ve değerlendirildikten sonra riskleri belirleme ve değerlendirme, bir sonraki adım kuruluştaki mevcut risklere maruz kalma durumlarını tanımlamaktır. adım, farklı zarar risklerini belirlemek için yapılan işlemlerin bir analizinden oluşur. Kayıp ile ilgili kararları değerlendirin, bu adım risklerin kapsamının gözden geçirilmesini içerir. Uygulanan risk yönetimi önlemlerini değerlendirin.Bu adım, geçmiş kararları değerlendirerek kararın uygun şekilde uygulandığını doğrular. Bu adım, kontrol önlemlerinin ve finansal kayıpların gözden geçirilmesini içerir: Denetim programının yararına değişiklik yapılmasını tavsiye eder.

4.2.1. RİSK YÖNETİM DENETİMİNİN KAPSAMI

Denetlenebilecek üç ana alan şunlardır:

  • Risk yönetimi politikaları: Bu husus programın hedeflerine, risk yöneticisinin sorumluluk ve yetkisine ve politikaların hedeflerle tutarlılığına odaklanmaktadır. Risk kontrolü: çeşitli risk türleri için kayıp önleme ve kontrolün özel niteliği, aşağıdakileri içerebilecek özel denetimlerin yapılmasını gerekli kılar: Koruma denetimi, Güvenlik denetimi, Çevresel denetim, Bilgisayar güvenlik denetimi, Mülkiyet kontrol denetiminin kaybı , Güvenlik fonksiyonu: Bu işlev 2 seviyede gerçekleştirilebilir: birincisi, risk yönetimi programının tümündeki rolünün değerlendirilmesi, ikincisi, kapsamını inceleyen güvenlik programının ayrıntılı bir analizle daha ayrıntılı bir incelemesidir..
  1. RİSK YÖNETİMİNİN HEDEFLERİ

En yaygın hedefler şunlardır:

  • Kaynakların en iyi şekilde yönetilmesini sağlayın Risklerden kaynaklanan iş maliyetini en aza indirin Çalışanları zarardan koruyun Sözleşme ve yasal yükümlülükleri bilin Sonraki sorunları ortadan kaldırın

5.1. HEDEFLERİN SINIFLANDIRILMASI

  • EKONOMİK:

Amaç, risklerin neden olduğu işletme maliyetini mümkün olan en düşük seviyeye düşürmektir.

  • Endişeyi azaltın:

Sıkıntıları yönetmek için kullanılan önlemlerin alınmasından sağlanan güvenceyi ifade eder. Potansiyel felaketler yönetilmediğinde, belirsizlik yöneticilerin kurumsal kararlarını doğru bir şekilde vermelerini engelleyebilir.

  • KARARLILIK ALIN:

İstikrarın amacı, üçüncü taraflardan kaynaklanabilecek büyük değişikliklerin neden olduğu etki ve bu değişikliklerin azaltılmasına nasıl katkıda bulunacağı ile desteklenmektedir.

  • GELİŞMEYE DEVAM ET:

Kârı en üst düzeye çıkarmak bir organizasyonda her zaman baskın hedef değildir. Bir diğer kurumsal hedef ise büyümeye devam edebilmektir.

  • SOSYAL SORUMLULUK

Kuruluşun çalışanları ve genel olarak toplumla ilgili çeşitli sosyal yükümlülükleri ifade eder; Bazen ekonominin amacı ile çatışmalar ortaya çıkar.

5.2 RİSK YÖNETİM POLİTİKALARI

Politika, eylem için genel bir kılavuzdur; bu, kuruluşun hedefleri daha spesifik kılavuzlara dönüştüren standart bir planıdır. Belirli bir kuruluş için risk yönetimi politikalarının belirlenmesinde, yalnızca kuruluşun yönetimi tarafından alınabilecek kararlar dikkate alınır. Risk yönetimi politikalarının tasarımında, karar vermek için bazı faktörler gereklidir, bunlar:

  • Risk yönetimi programının temel hedefleri: Temel amaç kuruluşun operasyonel verimliliğini korumaktır. Bu amaç, kuruluşun temel işlevlerini engelleyen afetlerin yol açtığı mali kayıplardan kaçınmayı içerir.
  • Saklama programı konsolidasyonu: Risk yönetimi politikası maksimum bir saklama seviyesi belirlediğinde (korunmayacak maruziyetlerin veya kayıpların tanımlanması), korunan kayıpların konsolidasyonunun makul bir yönü vardır ve kontrol kararlarında büyük esneklik sağlar.
  1. RİSK TANIMLAMASI

Risklerle karşılaşmadan önce birisi bunları tanımlamalıdır. Yeni tehditler sürekli olarak ortaya çıktığı için bu görev asla sona ermiyor.

Risk tanımlaması süreklidir ve kuruluş içindeki iletişim ağına bağlıdır ve kuruluşun faaliyetleri hakkında sürekli bir bilgi akışı oluşturur.

6.1. RİSK TANIMLAMA YÖNTEMLERİ

Risk tanımlama teknikleri, her biri kendi uzmanlık alanlarına odaklanan farklı disiplinlerden profesyoneller tarafından eşzamanlı olarak geliştirilmiştir. Bu profesyoneller, sigorta profesyonelleri, güvenlik uzmanları, endüstri mühendisleri, muhasebeciler ve genel mühendisleri içerir.

Risk tanımlama teknikleri genellikle kayıp önleme ve kontrol çabalarının bir parçası olarak geliştirilmiştir:

  • Geçmişteki kayıplara dayalı belirleme: Yakın zamana kadar, birincil risk belirleme metodolojisi meydana gelen kayıpların gözlemlenmesi idi, kural olarak risklerin tanımlanması bir kayıp oluşana kadar gerçekleştirilmez. Ne zaman bir risk ortaya çıkarsa, muhtemelen aynı kaynaktan kayıpların oluşmasını önleyen tedbirler alınır. Sigorta şirketleri risk tanımlama tekniklerinin geliştirilmesinde en büyük rolü oynamış ve geliştirdikleri yöntemlerin çoğu geçmiş zararların analizine dayanmıştır; sigortacılar ayrıca risk tanımlamasının inşa edilebileceği bir temel sağlayan kontrol listeleri geliştirdiler.

Belli bir maruz kalma sigortasının ve sigortalanacağı sıçanın kararlaştırılmasını içeren "Underwriting" adı verilen bir süreç vardır. Bu süreçte riskler hakkında bilgi biriktirmek üzere teftişler yapılır; Bu denetimlere dayanarak, bu deneyime dayanarak risk tanımlama bilimi şekillendirilmiştir. Geçmiş deneyimlerin analizine dayanarak, gelecekteki kayıplar tahmin edilebilir, çünkü kayıplar onları çevreleyen nedenlerden dolayı değişir. Ayrıca, tarihi kayıp kaydı, kayıpların ve kontrol önlemlerinin önlenmesine temel teşkil eden geçmiş kayıpların nedenlerinin belirlenmesinde de kullanılır.

  • Güvenlik Sistemleri Teknikleri: 1960'larda Amerika Birleşik Devletleri Askeri Bilim Mühendisleri bir tehlike tanımlama yaklaşımı geliştirdiler; tarihsel olarak bir kayıp meydana geldikten sonra deneyimlerden riskler tespit edilmiştir. Uzay ve askeri programda yer alan faaliyetler, yeni bir yaklaşımın gerekli olduğu yeni sınırları temsil etti. Uzay ve askeri programın en büyük katkısı, kayıp önleme ve kontrol bilgisi organı, güvenlik odaklı sistemlerin tanıtılmasıydı. "Güvenlik Sistemleri" terimi genellikle ürünün kavramsal durumu risklerine yönelik tehditlerin tespitine ve düzeltilmesine sürekli olarak uygulanan matematiksel ve mantıksal tekniklerin bir koleksiyonunu tanımlamak için kullanılır.detaylı tasarımı ve operasyonları ile.

Bu süreç, operasyonel prosedürlerin, prosedürlerin incelenmesi ve üst yönetimin gözden geçirilmesini içerir. Mühendislerin meşgul olduğu sistemler karmaşıktı ve yeni bir risk tanımlama vizyonu gerektiriyordu. Bu durumla başa çıkmak için, bilim adamları "Güvenlik Sistemleri" olarak bilinen ve risk yöneticisinin cephaneliğinin bir parçası olan çeşitli teknikler geliştirdiler. Bazı özellikler güvenlik sistemleri yaklaşımını geleneksel kayıp önleme metodolojisinden ayırır. Ana özellik, kazaların meydana gelmeden önce olası nedenlerini belirlemeye vurgu yapılmasıdır.

6.2. RİSK TANIMLAMA ARAÇLARI

"Risk Tanımlama Araçları" terimi, risk tanımlama sürecini kolaylaştırmak için tasarlanmış bazı standart formları ve kontrol listelerini kapsar, bu araçlar risklerin resmini sağlayan belgeler olarak ayırt edilir. Araçlar, risk tanımlama teknikleri ile toplanan bilgilerin düzenlenmesi ve yorumlanması için bir rehber sağlar.

  • Risk analizi anketleri: Risk tanımlamasındaki anahtar araç anketlerdir, bu anketler risk yöneticisine bir dizi soru yoluyla tehditleri keşfetmeleri için rehberlik etmek üzere tasarlanmıştır ve bazı durumlarda bu araç sigortalanabilir riskleri aşılamak üzere tasarlanmıştır. ve sigortasız. Risk analizi anketi, belgelerden, mülakatlardan ve teftişlerden toplanan bilgiler için bir depo görevi görecek şekilde tasarlanmıştır. Amacı, risk maruziyetlerini belirlemeye çalışan kişiye mantıklı ve tutarlı bir modelde tanımlama sürecinde rehberlik etmektir.
  • Risk risklerinin kontrol listeleri: Risklerin tanımlanmasında ikinci önemli yardım ve risk analizinde en yaygın araçlardan biri, risk risklerinin bir listesi olan kontrol listeleridir.
  • Güvenlik Politikası Kontrol Listeleri: Bu araç, belirli bir işletmenin ihtiyaç duyabileceği çeşitli güvenlik politikalarının bir kataloğunu içerir. Risk yöneticisi, toplanan ve firmaya uygulanan politikalara danışır.
  • Uzman sistemler: Risk yönetiminde kullanılan uzman bir sistem, tek bir araçta açıklanan araçların özelliklerini içerir. Programın entegre doğası, kullanıcının yazılı amaçlar ve beklentiler üretmesini sağlar.

6.3. RİSK TANIMLAMA TEKNİKLERİ

Risk tanımlama araçları, dört risk tanımlama tekniğinden türetilen bilgileri yorumlayan bir yapı tanımlar:

  • REHBERLİK: Risklerin tanımlanmasındaki ilk adım, kuruluşun ve operasyonlarının bilgisi yoluyla fayda sağlamaktır. Risk yöneticisi, kuruluşun avantaj ve işlevlerini genel olarak anlamalıdır.
  • DOKÜMAN ANALİZİ: Kuruluşun tarihi ve mevcut operasyonları çeşitli kayıtlarda saklanır. Bu kayıtlar, risk analizinin gerektirdiği temel bir bilgi kaynağını temsil eder; denetçi kurumun faaliyetlerini ve geçmişini içeren dahili belgeleri almalıdır. İlgili bilgilerin çıkarıldığı ana belgeler şunlardır:
  1. Finansal Analiz Raporu: Finansal raporlar, risk yönetimi fonksiyonu için önemli bir bilgi kaynağı olabilir; Bilançolar ve kar ve zarar tabloları kuruluş hakkında temel bilgi kaynaklarıdır.

Finansal raporlama bir kuruluşun sistem kaydının yalnızca bir yönü olmasına rağmen, önemli bir risk tanımlama bilgisi kaynağıdır. Örneğin kuruluşun bilançosu, denetçinin varlıkların maruz kalabileceği muhtemel zararlar hakkında bilgi aramasına rehberlik eden çeşitli varlık türlerinin varlığını ortaya koyar. Aynı zamanda, bakiye, zararın muhafaza kapasitesinin bir ölçüsü olarak ne kadar para veya sermayenin mevcut olduğunu da gösterebilir.

  1. Akış şemaları: İşlemlerin analizi akış şemaları, risk yöneticisini firmanın operasyonlarının olağandışı yönlerine, kuruluşun dahili operasyonlarının bir akış şemasına, faaliyetlerinin türünü ve sırasını ortaya çıkararak uyarabilir. - firmayı, süreçlerini kesintiye uğratabilecek tüm olasılıkları keşfetmek için bir işlem birimi olarak görmek. Akış şemalarını kullanmanın en olumlu yararı, risk yöneticisini kuruluşun operasyonlarının teknik yönlerine aşina olmaya zorlamaktır.
  1. Akış şemaları: Akış şeması, kuruluşun bölümlerini ortaya koyar, ilişkilerini rapor eder, akış şemaları ayrıca risk tanımlayıcıya kuruluşun faaliyetlerinin niteliği ve kapsamı hakkında bilgi verir.
  1. Mevcut Politikalar: Denetçinin, risk tanımlamanın kapsamını ve toplanan bilgileri değerlendirmek için mevcut politikalara ihtiyacı olacaktır.
  1. Kayıp raporlaması: Risklerin tanımlanmasına yardımcı olabilecek bir diğer önemli bilgi kaynağı, kurumun geçmişte gerçekleşen kayıplarına ilişkin kaydıdır; Zarar kayıtlarının incelenmesi, belirli faaliyet veya operasyonların risk derecesini hesaplayarak, meydana gelen kayıp türlerini gösterecektir.
  1. Röportajlar: Risklerin tanımlanmasına yardımcı olabilecek bir diğer önemli bilgi kaynağı, organizasyondaki kilit personel ile yapılan mülakatlardır; bazı bilgiler yalnızca yöneticilerin ve çalışanların zihninde bulunan belgelere veya kayıtlara kaydedilmez. Mülakat yapılacak kilit kişilerden bazıları şunlardır: fabrika mühendisleri, genelkurmay başkanı, güvenlik yöneticileri, çalışanlar ve amirler.
  1. Denetimler: Operasyonlar hakkında iyi bilgi sahibi olmak için en çok kullanılan araçtır. Muayene, bir genel bakış geliştirme sürecinin en önemli parçalarından biridir, çünkü:
  • Denetçiyi kuruluşla tanıştırmaya yardımcı olur Potansiyel koruma oranlarını belirtmeye yardımcı olur Potansiyel kayıpları ortaya çıkarmaya yardımcı olur

6.4. RİSK YÖNETİMİNDE BİLGİ SİSTEMLERİ

Risk yöneticisi, kuruluşun risklerini etkileyen çok çeşitli bilgilere sahip bir bakım sistemine ihtiyaç duyar.

Risk yönetimi bilgi sistemleri için gereken bilgilerin çoğu, büyük ölçüde yapılandırılmamış bir biçimde kuruluşlarda bulunmaktadır. Risk yönetimi bilgi sisteminiz olduğunda bilgiler daha kullanışlı hale gelir - RMIS

RMIS'in amacı, risk yönetimi fonksiyonunun yönlerini bir veritabanında birleştirerek, alınacak kararlar için hammadde sağlayarak risk analizi karar sürecini desteklemektir.

6.4.1 RİSK YÖNETİMİ KAYIT SİSTEMLERİ

Organizasyonun riskleri hakkında bilgi, bir sorun hakkında alınacak kararların hammaddesidir. Kayıp kayıtları ve istatistikler, risk yönetiminin temel araçlarıdır. Ana bilgi kalemleri:

- Mülk değeri programları

- Ekipman ve özelliklerin listesi

- Sigorta teklifi talebi

- Güvenlik politikaları ve kayıtları

- Taleplerin raporu

- Kar ve zarar arasındaki bilgi ve karşılaştırma

6.4.2. İÇ İLETİŞİM SİSTEMLERİ

Risk yönetimi bilgi sistemlerinin kayıtları, risk yönetimi işleviyle ilgili tüm bilgilerin denetim departmanına yönlendirilmesini sağlayan bilgi kanalları oluşturmalıdır, risk yöneticisi aşağıdakiler hakkında bilgilendirilmelidir:

- Şirket mülklerinin yeni inşaatı, tadilatı veya yenilenmesi.

- Yeni programların, ürünlerin, faaliyetlerin veya operasyonların tanıtımı

- İşçilerin ilerlemesi

- Tüm organizasyonun faaliyetleri hakkında bilgi.

6.5. RİSK YÖNETİM POLİTİKALARI KILAVUZU

Tüm şirket sigorta poliçelerinin ve tüm risk yönetiminin merkezi bir deposudur, el kitabının kopyaları şirketin farklı departmanlarının risk yönetimi ile ilgili beklentilerini iletmek amacıyla kurum birimlerine dağıtılabilir.

  1. RİSK KONTROLÜ

İlkel insan kendini tehlikeli vahşi hayvanlardan korumak için mağaralarda ve bazen ağaçlarda yaşadı. İlk kayıp önleme uygulayıcısı kılıç dişli kaplandan kaçmak için ağaca tırmanan insandı. Medeniyet tarihi, insanın doğa güçleri ve diğer tehlikelerle yüzleşmesinin bir kaydıdır.

Bu bölüm, risk kontrolü kavramını, risk kontrolünün genel prensiplerine dayanan genel bir bağlamda inceleyecektir.

7.1 RİSK KONTROLÜNDE GENEL

Risk yönetimi, risk yönetimi kavramı tasarlandığından risk yönetimi sürecinin ayrılmaz bir parçası olmuştur. İki ana risk kontrol tekniği şunlardır: risklerden kaçınma ve riskleri azaltma.

  • RİSKLERDEN KAÇININ: Teknik olarak, bir riski oluşmadan önlemek için kararlar alındığında risklerden kaçınılır. Maruz kalma potansiyel bir felaket olduğunda ve risk azaltılamadığında veya aktarılamadığında "risklerden kaçının" kullanılmalıdır. Genel olarak, bu koşullar riskin sıklığı ve şiddetinin yüksek olması durumunda mevcut olacaktır. Diğer kayıp potansiyeli, riskin korunamayacağını ve diğer sıklığın, kontrollerin muhtemelen ekonomik olarak mümkün olmayacağını garanti eder.
  • DEVLET STANDARTLARI: OSHA düzenlemeleri belki de kurumsal kayıp kontrol standartlarının en iyi örneğidir. OSHA, ülkedeki her çalışan kişinin görevlerini yerine getirmek için güvenli koşullara sahip olmasını sağlamak ve böylece insan kaynaklarının korunmasını sağlamak için tasarlanmıştır.

7.2 KONTROL VE RİSK MÜDÜRÜ

İdeal olarak, iyi tasarlanmış bir kayıp kontrol ve önleme programı aşağıdaki alanları kapsamalıdır:

- Kişisel güvenlik.

- Malların güvenliği.

- Kayıp sorumluluklarının kontrolü.

- Özelliklerin korunması.

- Fiziksel güvenlik.

Bu alanların her birinde kayıp önleme, bazen uzman uzmanlar gerektiren son derece teknik ve özel bir işlevdir.

7.3. KAZA SEBEPLERİ TEORİLERİ

Kazaların neden olduğunu anlamak için önlenmeleri için programlar tasarlamak yararlı olabilir. Bugüne kadar, kazaların nasıl meydana geldiğini bilmek için baskın bir genel teori geliştirilmemiştir; bunun yerine her biri açıklayıcı ve öngörülebilir bir değere sahip iki ayrı teori vardır:

  • HEINRICH'İN ALANININ TEORİSİ:

Heinrich'e göre, bir "kaza", şekil 1'de gösterildiği gibi bir hasara yol açabilen bir dizideki bir faktördür, faktörler kenara yerleştirilmiş bir dizi alan kartı olarak görselleştirilebilir; biri düştüğünde, bir zincirleme reaksiyon tamamlanır.

Faktörlerin her biri aşağıdaki gibi önceki faktöre bağlıdır:

  • Personel yaralanması sadece bir kaza sonucu meydana gelir.Kişisel veya mekanik risk sonucu bir kaza Personel ve mekanik riskler personel arızasından kaynaklanır Personel arızası çevrelerinde kalıtsaldır veya kazanılır. bireyin doğduğu koşulları şekillendirir.

Etki alanı teorisinde bir yaralanma meydana geldiğinde, beş faktörün tümü de dahil edilir, sekanstaki faktörlerden biri çıkarılırsa kayıp önlenebilir. Heinrich'e göre, bir kaza, bir nesnenin veya kişinin zarar veya zarara neden olabileceği eylem veya tepkisinin planlandığı ve kontrol edilemediği bir olaydır. 75.000 endüstriyel kazayla ilgili bir çalışmanın ardından Heinrich, tüm kazaların% 98'inin öngörülebilir olduğu ve bir tür kayıp kontrolü ile endüstriyel kazaların maliyetinin azaltılmasının mümkün olabileceği sonucuna varmıştır, kalan% 2'si “İlahi Hareketler” olarak sınıflandırılmıştır.

  • WILLIAM HADDON'UN ENERJİ KURULU:

Haddon, insan davranışına odaklanmak yerine, kazaları fiziksel mühendislik problemi olarak görür. Enerji kontrolden çıktığında kazalar, bir yapıya (mülk veya kişi) zarar vermeden tolere edebileceğinden daha fazla stres uygular. Haddon, kazaya neden olan durumları bastırmak veya kazayı geciktiren koşulları arttırmak için on strateji önermektedir:

  1. İlk etapta risk oluşumunu önleyin Risk üretim miktarını azaltın Mevcut risklerin emisyonunu önleyin Emisyon oranını risklerin kaynağından değiştirin Zaman ve mekanda riski ayırın Riski birbirinden ayırın ve bir bariyer vasıtasıyla nelerin korunacağını değiştirin Değiştir riskin temel nitelikleri Riske karşı daha dirençli olanları koruyun Riske dayalı hasarı doğrulayın Hasarlı nesneyi sabitleyin, onarın veya rehabilitasyon yapın.

7.4. RİSKLERİN KONTROLÜ VE ÖNLENMESİNDE BİLİMSEL YAKLAŞIMLAR

Heinrich ve Haddon'un teorileri, risk kontrolü ve önlenmesine yönelik farklı yaklaşımları anlamak için bir temel sağlar. Kaybı önleme ve etkisini azaltma çabaları, insan faaliyetinin neredeyse her aşamasında gerçekleşir. Ana yaklaşımlar:

  • MÜHENDİSLİK YAKLAŞIMI: Mühendislik yaklaşımının temel dayanağı, insanların personelinin güvenliğine çok az saygı duymaları ve kolay görevleri üstlenmenin insan doğasında içkin olmalarıdır. Bu yaklaşım insanları kendilerinden korumalıdır.
  • İNSAN DAVRANIŞINA YAKLAŞIM: Bu yaklaşım güvenlik eğitimi ve kişisel motivasyon üzerine odaklanmaktadır. Bu yaklaşım, kazaların çoğunun sigortasız olaylar tarafından gerçekleştirildiğini ve kayıp önleme konusundaki kazanımların çoğunun insan davranışlarını değiştirme çabaları ile sağlanabileceğini önermektedir. Bu çabalar şunları içerir:
  1. Eğitim: Risklerin ve bunların sonuçlarının varlığını uyarmaya hizmet eder ve aynı zamanda fonksiyonları güvenli bir şekilde yerine getirmeye yönelik bir rehber sunar.İstek davranışları, kuralları ve düzenlemeleri motive etmek için yasa uygulama organizasyon tarafından uygulanmalıdır.
  • RİSK KONTROL TEKNİKLERİ: Bu teknikler, kayıpların ortaya çıkmasını önleme ve beklenmeyen maliyetleri en aza indirme çabalarını içerir ve şunları içerir:
  1. Kontrol önlemleri ve uygulama süresi: Kontrol önlemleri nasıl uygulandıklarına göre aşağıdaki şekilde sınıflandırılır: kazadan önce, kaza anında ve kazadan sonra. (Bkz. Şekil No. 2) Kontrol önlemleri ve mekanizmaları: Önlemler her cihaza veya mekanik cihaza yöneliktir.
Etkinlikten önce Etkinlik sırasında Olaydan sonra
bireysel
makinalar
Takımlar
  • UZMANLIK KONTROL VE KAYBI TEKNİKLERİ: Gözlemlendiği gibi, kayıp kontrol ve önleme teknikleri neredeyse sınırsızdır, yukarıdakiler en yaygın olanlarıdır, ancak aşağıdakiler olan özel teknikler vardır:
  1. Eşyaların ayrılması: amacı, tek bir olayda zarara maruz kalan eşyaların değerini sınırlamak.. İyileştirme: Mülkleri gelecekteki zararlardan korumak için tasarlanmıştır Rehabilitasyon: İş yerinde finansal kayıpları yaralanmadan azaltır, yaralanan işçilerin tazminat maliyetlerini azaltır. Yedeklilik: Bu teknik, kazaların olumsuz etkilerini önlemeye, önleme sistemleri ile sonuçlanmasına, güvenlik kontrol önlemlerinin iyileştirilmesine yardımcı olabilir.

7.5. GÜVENLİK SİSTEMİ

Güvenlik sistemleri Sistem Mühendisliğinin bir kolu ve gelişimidir, karmaşık sistemlerin tasarımında ve oluşturulmasında mühendisliğin uygulanması gereklidir; bu, geleneksel yaklaşımlarla çözülemeyen sorunların artan karmaşıklığına yanıt olarak. Güvenlik sistemleri bir süreci, bir durumu, bir problemi, bir makineyi veya başka herhangi bir varlığı sistem olarak görür.

Bir kuruluşun parçası olan kaynaklar şunları içerir: malzemeler, personel, prosedürler, teknoloji, zaman ve diğer faktörler. Bir insan veya mekanik bir bileşen işlevini yerine getiremediğinde bir kaza meydana gelir. Güvenlik sistemlerinin amacı bu hataları tespit etmek, ortadan kaldırmak veya etkilerini en aza indirmektir; ve bunlar organizasyonlardaki olası başarısızlıkları analiz etmek ve tanımlamak için tasarlanmış çeşitli tekniklerdir. Güvenlik sistemlerinde metodolojiler geliştirmenin öncüsü, kazaların arızalardan kaynaklanması ve bu arızaları meydana gelmeden önce tanımlamaları önlenebilmesidir. Güvenlik sistemleri ve geleneksel yaklaşımlar arasındaki ilk ayrım, henüz meydana gelmemiş kayıpların belirlenmesine vurgu yapılması,ikinci bir fark, şans ilkesine kalıcı inançlarıdır ve bir başka fark ise, kaza önleme konusuna yapılan toplam vurgudur.

7.5.1. GÜVENLİK SİSTEMİ TEKNİKLERİ

  • ETKİ ANALİZİ VE TEHDİT MODU (HMEA): Ayrıntılı bir risk tanımlama analizi ile sistemdeki potansiyel kusurları belirlemeye çalışır. Analiz, herhangi bir karmaşıklık düzeyinde, sistem, alt sistem, bileşen veya ayrıntılı bölüm olarak, genellikle aşağıdaki gibi hazırlanabilir:
Meydana gelebilecek istenmeyen olaylar veya başarısız olabilecek arzu edilen olaylar Arızaya neden olabilecek donanım veya yazılım Mekanizmada insani nedenler veya başarısızlıklar meydana gelebilir. Riskin anında fonksiyonel sonucu Arızalı Sistem Hedeflerinin Etkisi Bir sistem mekanizmasının ilk gözlemlenebilir göstergesi veya gösterimi Arıza tahmini Risk mekanizmalarını ortadan kaldırmak için olası önlemler Riski ortadan kaldırmak veya kontrol etmek için uygulanan eylem Önleyici eylemleri uygulamak için gereken tüm kaynakların değeri.
RİSK MODU RİSK MEKANİZMASI RİSKİN NEDENİ RİSK ETKİSİ RİSK CİNSİ RİSK ALGILAMA RİSK GİBİ RİSKLE ALINAN ÖNLEMLER ÖNLEYİCİ EYLEM KONTROL KAYNAKLARI

Tablo No.2 Etki ve tehdit modunun analizinde girdi sütunları.

  • HİERARŞİK ARIZA ANALİZİ (FTA). Olayların nedenlerine bakarak sistem arızalarını tanımlamak için tasarlanmıştır. Genellikle istenmeyen büyük olaylara neden olabilecek tüm küçük olaylar arasındaki ilişkileri izleyen bir diyagram (hata hiyerarşisi olarak bilinir) tarafından yürütülür. Hiyerarşik başarısızlık analizinin mantıksal diyagramı aşağıdaki gibi olabilir:

FTA genellikle bir grafik üzerinde analiz edilir. Bir başarısızlık hiyerarşisinin iki üstün öğesi vardır: (1) son istenen olayı görmeye katkıda bulunan mantıksal OR ve AND alt olaylarıyla bağlantı kuran mantıksal diyagram (2) elemanların kendileri olarak görülmesi.

Ağacın inşası, kesin istenmeyen olayla en üstte başlar, ağaç, olay meydana geldiğinde ortaya çıkan sorunun cevabına tekrarlarla kademeli olarak inşa edilir? Aşağıdaki olay durumunda her bir alt olayın gereksinimi veya yeterliliği, bir şans zinciri tespit edildiğinde ve alt olayların anlamı belirlendiğinde, mantıksal bir bağlayıcı VE veya VEYA ile gösterilir.

7.6. KOŞULLAR PLANI - AFET ÖNLEME PLANI

Bir felaket durumunda prosedürler oluşturmak için ileri bir plana ihtiyaç duyulduğu açıktır. Afet anında, normal operasyonlar ve prosedürler kesintiye uğrayabilir, temel olarak bir afet planı afetler veya acil durumlar için yönlendirilecek eylem planlarının yönetimini sağlar. Bir felaket planı dikkate alınmalıdır:

  • İŞ GEREKSİNİMLERİNİN BELİRLENMESİ: Sürecin bu ilk bölümünde, işletmenin gereksinimlerinin ne olduğunu belirlemek için iş üzerindeki etkinin bir analizi yapılmalıdır. Birçok iş süreci veri işlemeye o kadar bağımlıdır ki, bir felaket durumunda artık devam edemezler. Bu süreç başarısızlığının olumsuz etkisi değerlendirilmelidir; yani iş kayıpları, müşteri kayıpları, para maliyetleri ve karlar. Ayrıca, bir iş sürecinin daima mevcut olmasını gerektiren yasal nedenler de olabilir. Bu analiz, iş sürecindeki önceliklerin neler olduğunu ve her bir süreç için gereken toparlanma süresi ölçeğinin ne olduğunu gösterecektir. Aynı şekilde,Bir felaket, kuruluşun bir felaket meydana geldiğinde devam etmekte olan bazı ticari işlemleri kaybetme riskini taşır. İş etki analizleri, böyle bir kaybın her iş süreci için ne ölçüde tolere edilebileceğini belirlemelidir.
  • AFET ORGANİZASYONUNDAKİ ÖNCELİKLER: Bu önceliklerin belirlenmesi, planın geliştirilmesinde karışıklık ve çatışmalardan kaçınmayı garanti eder, önem sırasına göre başlıca öncelik türleri şunlardır: İnsan hayatının korunması Kişisel zararı önleme veya en aza indirme fiziksel varlıklar için potansiyel
  • VERİ İŞLEME GEREKSİNİMLERİNİN BELİRLENMESİ: İş gereksinimleri belirlendikten sonra, kurtarma ve işlemeyi desteklemek için hangi prosedürlerin ve kaynakların gerekli olduğunu belirlemek için veri işleme şartlarına dönüştürülmelidir. normal. İş süreçlerinin analizi ve ihtiyaçların tanımlanması ile ilgili işlevler şunlardır: Üst yönetim (Bilgi teknolojisi, Finans ve İşletme), İş süreci sahipleri, Uygulama sahipleri, Sistem desteği ve programlama Bilgi, ağ oluşturma, genel olarak işlemler.

Bu işlemi gerçekleştirmek için aşağıdakiler gibi zorluklarınız olabilir:

  • Üst düzey yöneticiler ve iş birimleri arasında işbirliği eksikliği, felaket kurtarma için öncelik eksikliği, iş süreçlerinin hafife alınması, vicdan eksikliği ve şerefiye, bir prosedür planının eksikliği.
  • YEDEKLEME TASARIMI VE KURTARMA ÇÖZÜMÜ: Bu adım, amaçlanan çözümün genel özelliklerini ve ana öğelerini açıklar. Bu unsurlar şunlardır: İyileşmenin kapsamı: Bu unsur en başından beri, ne kurtarmaya çalıştığınızı ve hangi süre içinde olduğunu bilerek karışıklık olmamasını sağlar. Kapsam tanımı şunları içerir: Dahil edilen veya hariç tutulan felaket türleri, maksimum kurtarma süresi ve kurtarılan bilgilerin geçerli durumu. Test stratejisi: Bu unsur, çözümün karmaşıklığını ve maliyetini belirlemek için çok genel bir şekilde testlerin nasıl yapılacağını belirler. Veri yedekleme ve kurtarma süreçleri: Yedekleme ve kurtarma kararlarını etkileyen faktörler şunlardır:Bilgilerin sınıflandırılması: Bilgi en önemli kaynaktır. Donanım, yazılım ve fiziksel tesisler gibi diğer kaynaklar nihayetinde değiştirilebilir. Bilgi en uçucu ve karmaşık kaynaktır Felaket kurtarma senaryosu var Veriler arasındaki ilişkiyi doğrulayın Veri aktarımı ve saklamanın güvenli olduğunu doğrulayın Farklı veri yedekleme seçeneklerini doğrulayın (Şu anda kopyalar). (çevrimiçi kopyalar ve artımlı kopyalar) Alternatif acil durum sitelerini yönetme ve kullanma Kurtarma ayarlarının fiziksel ve mantıksal açıklaması Uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçin tasarımı için.donanım, yazılım ve fiziksel tesisler nihayetinde değiştirilebilir. Bilgi en uçucu ve karmaşık kaynaktır Felaket kurtarma senaryosu var Veriler arasındaki ilişkiyi doğrulayın Veri aktarımı ve saklamanın güvenli olduğunu doğrulayın Farklı veri yedekleme seçeneklerini doğrulayın (Şu anda kopyalar). (çevrimiçi kopyalar ve artımlı kopyalar) Alternatif acil durum sitelerini yönetme ve kullanma Kurtarma ayarlarının fiziksel ve mantıksal açıklaması Uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçin tasarımı için.donanım, yazılım ve fiziksel tesisler nihayetinde değiştirilebilir. Bilgi en uçucu ve karmaşık kaynaktır Felaket kurtarma senaryosu var Veriler arasındaki ilişkiyi doğrulayın Veri aktarımı ve saklamanın güvenli olduğunu doğrulayın Farklı veri yedekleme seçeneklerini doğrulayın (Şu anda kopyalar). (çevrimiçi kopyalar ve artımlı kopyalar) Alternatif acil durum sitelerini yönetme ve kullanma Kurtarma ayarlarının fiziksel ve mantıksal açıklaması Uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçin tasarımı için.Olağanüstü durum kurtarma senaryosuna sahip olun Veriler arasındaki ilişkileri doğrulayın Verilerin taşınması ve saklanmasının güvenli olduğunu doğrulayın Farklı veri yedekleme seçeneklerini doğrulayın (Şu anda kopyalar, çevrimiçi kopyalar ve artımlı kopyalar) Yönetin ve çalıştırın alternatif acil durum siteleri Kurtarma ayarlarının fiziksel ve mantıksal açıklaması Tasarıma uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçinOlağanüstü durum kurtarma senaryosuna sahip olun Veriler arasındaki ilişkileri doğrulayın Verilerin taşınması ve saklanmasının güvenli olduğunu doğrulayın Farklı veri yedekleme seçeneklerini doğrulayın (Şu anda kopyalar, çevrimiçi kopyalar ve artımlı kopyalar) Yönetin ve çalıştırın alternatif acil durum siteleri Kurtarma ayarlarının fiziksel ve mantıksal açıklaması Tasarıma uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçinKurtarma yapılandırmasının fiziksel ve mantıksal açıklaması Tasarıma uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçin.Kurtarma yapılandırmasının fiziksel ve mantıksal açıklaması Tasarıma uygun yedekleme ürünlerini (bantlar, disketler, teyp yedekleme, yedekleme yazılımı ve ağ yardımcı programları) seçin.
  • YEDEKLEME VE KURTARMA ÇÖZÜMÜNÜN UYGULANMASI: Afet planının geliştirilmesindeki ilk adım, planı oluşturmak ve işlevleri koordine etmekten sorumlu olacak kişilerin belirlenmesidir. Genellikle insanlar personel departmanının, risk yönetiminin, güvenlik departmanının ve halkla ilişkilerin bir parçası olabilir. Bir felaket planı yeni bir organizasyon yapısının oluşturulmasını gerektirmez. Afet durumu için geçici olarak yeniden yapılandırılan mevcut yapı, bir felaket anında işlevleri yerine getirebilir. Bu adımda, kurtarma çözümü iki ana alanı kapsayan geliştirilen tasarıma göre uygulamaya konur: Kurtarma çözümünü desteklemek için teknik prosedürlerin geliştirilmesi ve uygulanması;Bunlar: Veri yedekleme prosedürleri, Depolama prosedürleri, Veri kurtarma prosedürleri, Bilgisayar yönetimi prosedürleri, İnsan kaynakları prosedürleri. Kurtarma planının geliştirilmesi: Bir felaket kurtarma planı, bir felaket meydana gelmeden önce, sırasında ve sonrasında gerçekleştirilecek tüm eylemleri ortaya koyan ayrıntılı bir belgeden oluşur. İyileştirme planı aşağıdaki unsurları içermelidir: İyileştirmenin kapsamı, Afetleri belirleme süreçleri, İyileştirme çalışma ekiplerinin belirlenmesi, çalışma ekiplerinin görev ve sorumluluklarını tanımlama, Sorumlu kişilerin telefon listesi ve adresleri. ağ topolojileri diyagramları, konfigürasyonlar ve yedeklemeler.Planın dağıtımı ve bakımı: Olağanüstü durum kurtarma planı geliştirildikten ve kurtarma çözümü uygulandıktan sonra, plana sahip olması gereken kişilere dağıtılması gerekir. Bilgi işlem ortamındaki değişiklikler sabittir ve etkilenebilecek değişiklikler arasında herhangi bir köklü değişiklik planı kullanılamaz hale getirebilir: Yeni teknolojilerin ortaya çıkması: Mevcut donanım yapılandırmasındaki değişiklikler, Ağ ortamında değişiklikler, Örgütsel değişiklikler.Etkileyebilecek değişiklikler arasında şunlar bulunmaktadır: Yeni teknolojilerin ortaya çıkması, Mevcut donanım yapılandırmasındaki değişiklikler, Ağ ortamındaki değişiklikler, Örgütsel değişiklikler.Etkileyebilecek değişiklikler arasında şunlar bulunmaktadır: Yeni teknolojilerin ortaya çıkması, Mevcut donanım yapılandırmasındaki değişiklikler, Ağ ortamındaki değişiklikler, Örgütsel değişiklikler.

Bu nedenle, plana güncellemelerin veya değişikliklerin uygulanıp uygulanmadığını belirlemek için planın kalıcı bir denetiminin yapılması gerekir.

7.7. BİLGİSAYAR GÜVENLİĞİ YAPISI

Bilgisayar güvenliğinin tarihi, ilk yazılı belgelerin tarihine kadar uzanır. Aslında, güvenli bilgi ihtiyacı İ.Ö. 2000 yılında ortaya çıkmıştır. Mısırlılar, bilgiyi kodlamak için özel hiyeroglifleri kullanan ilk kişilerdi ve zaman geçtikçe, Babil, Mezopotamya ve Yunanistan medeniyetleri yazılı bilgilerini korumanın yollarını icat ettiler. Şifrelemenin temeli olan bilginin şifrelenmesi, Julius Caesar tarafından ve tarih boyunca iç ve devrimci savaşlar ve iki dünya savaşı dahil olmak üzere savaş dönemlerinde kullanılmıştır. En iyi bilinen şifreleme makinelerinden biri, Almanlar tarafından II.Dünya Savaşı'nda şifreli mesajlar oluşturmak için kullanılan Alman Enigma idi. Mesai,ve Amerika Birleşik Devletleri Ultra projesinin çabaları sayesinde, diğerlerinin yanı sıra, Almanların ürettiği mesajları deşifre edebilme müttefikler için önemli bir başarıydı.

Son on yılda, bilgisayar güvenliğinin önemi bazı hikayelerle vurgulanmıştır. Bunlardan biri, Robert Morris adlı bir hackerın çalışması sonucunda 1988'de on binlerce bilgisayara yayılan İnternet solucanıydı. Almanya'da, kendisi için yaklaşık 500 olan bir hedeften neredeyse 30 sisteme hacklenen 1995 yılında bir hacker vardı. Son zamanlarda, Şubat 1995'te en çok aranan hacker Kevin Nitnick'in tutuklanması, yıllar boyunca kodları, bilgileri ve diğer gizli verileri çalmayı içeren suç faaliyetlerini ortaya çıkardı. Açıkçası, bilgisayar sistemlerinin yaygın kullanımı bilgisayar güvenliğinin önemini vurgulamıştır.Bilgisayar güvenliğinin temel amacı bilgisayar kaynaklarını hasar, değişiklik, hırsızlık ve kayıplardan korumaktır. Buna ekipman, depolama ortamı, yazılım, yazıcı listeleri ve genellikle veriler dahildir. Etkili bir bilgisayar güvenlik yapısı, aşağıdaki şemada gösterilen dört risk yönetimi tekniğine dayanmaktadır:

  • Stratejiler ve Politikalar: Bilgisayar güvenliği için yönetim stratejileri ve bu stratejileri kuruluşa iletmek için kullanılan politikalar, standartlar, yönergeler veya yönergeler.
  • Organizasyon Yönetimi: Mesleki politikalar ve eğitim programları, değişim ve kontrol idaresi, güvenlik idaresi ve diğer gerekli faaliyetlere yönelik süreçler.
  • Olay izleme: İdarenin politikaların uygulanmasını doğru bir şekilde ölçmesini ve politikaların ne zaman değişime ihtiyaç duyduğunu belirlemesini sağlayan reaktif süreçler.
  • Bilgisayar teknolojisi: Organizasyonda yer alan farklı süreçlerde uygun koruma ve desteği sağlamak için gerekli teknolojidir. Bilgisayar güvenliği, aşağıdakiler gibi çok çeşitli stratejileri ve çözümleri kapsar: Erişim kontrolü: İstenmeyen davetsiz misafirlere karşı en önemli savunma hatlarından biri erişim kontrolüdür. Temel olarak, erişim kontrolünün rolü, sisteme ve verilerine erişmek isteyen kişiyi tanımlamak ve o kişinin kimliğini doğrulamaktır. Bir sisteme erişimi kontrol etmenin genel yolu, geçerli bir kullanıcı adı ve parolasına sahip olmayan herkesin girişini kısıtlamaktır. Parolalar, basit ama etkili bir erişim denetimi biçimine örnektir.

Erişim kontrolü, yetkisiz kişilerin sistemden uzak tutulmasında etkilidir. Ancak, birisi içeri girdikten sonra, kişinin mevcut tüm programlara, dosyalara ve sistemdeki bilgilere ücretsiz erişimi olmamalıdır. Bazen DAC kısaltması tarafından kısaltılan isteğe bağlı erişim denetimi, birçok sistemde gerçekleştirilir ve bir kullanıcıya verilen izin sınıfına göre dosyalara ve programlara erişim izni verilen herhangi bir erişimin önemli bir parçasıdır. bir kullanıcı profili. Bir yöneticinin sistemin diğer kullanıcılarına vermeye karar verdiği erişim sınıfını belirlemesi isteğe bağlıdır. Bu, sistem bilgilerine erişimin çok daha katı bir şekilde kontrol edilmesini sağlayan başka, daha kısıtlayıcı bir kontrol sınıfı olan Zorunlu Erişim Kontrolü'nden (MAC) farklıdır.

  • Bilgisayar virüsleri: Farklı virüs türleri ve mevcut yıkıcı programlar tarafından üretilen etkilerin önlenmesi ve kontrolü Sistem planlaması ve yönetimi: Bilgisayarla ilgili hizmetlerin planlanması, organizasyonu ve yönetimi, ayrıca Şifreleme: Değiştirilen bilgilerin şifrelenmesi ve şifresinin çözülmesi, böylece yalnızca yetkili kişilerin erişebilmesi Ağ ve iletişim güvenliği: Güvenlik sorunlarını ağlar ve telekomünikasyon sistemleri Fiziksel güvenlik: Bilgisayar güvenliğinin bir diğer önemli yönü hizmetlerinizin, bilgisayar ekipmanınızın ve gerçek veri medyanızın fiziksel güvenliğidir;aşağıdakilerle sonuçlanabilecek sorunlardan kaçınmak için: Verimlilik kaybı, rekabet avantajı kaybı ve kasıtlı sabotaj. Bilgisayar hizmetlerine yasa dışı erişimi önlemenin bazı yöntemleri şunlardır: Bilgisayarlara erişime izin vermek için anahtarlar ve şifreler, kilit ve anahtarların kullanımı Kartlar veya akıllı kartlar Biyometrik cihazlar (Parmak izi tanıma, parmak izi okuyucuları, ses kalıpları, dijital imza / yazma, nabız analizi ve retina tarayıcı, diğerleri).Biyometrik cihazlar (diğerleri arasında parmak izleri, parmak izi okuyucuları, ses kalıpları, dijital imza / yazma, titreşimlerin analizi ve retina tarayıcısı).Biyometrik cihazlar (diğerleri arasında parmak izleri, parmak izi okuyucuları, ses kalıpları, dijital imza / yazma, titreşimlerin analizi ve retina tarayıcısı).
  1. RİSK YÖNETİMİ VE SUÇLARI

Her yıl suç nedeniyle işin ne kadar kaybettiği tam olarak bilinmemektedir. Suçun olumsuz etkilerinden kaynaklanan kayıpların işletme gelirlerinin% 2 ve% 5'i olduğu tahmin edilmektedir.

8.1. İŞLETMELERE KARŞI SUÇLAR

Ticarete karşı işlenen suçlar, genellikle suçun failine göre şu şekilde sınıflandırılır:

  • HIRSIZLIK: Yasa dışı herhangi bir işlem için veya sahibinden izinsiz olarak yararlanmak amacıyla başkalarının mülküne el koyma veya çıkarma işleminden oluşur.
  • FRAUD: Mağdurun iyi niyetini, güvenini veya cehaletini şaşırtmak için kullanılan aldatma ve simülasyon ile eşanlamlı. Örneğin: Birisi herhangi bir finansal araca ilişkin yetkili imzayı (örneğin bir çek) tahrif ettiğinde, değerini artırarak veya değiştirdiğinde işlenen bir suç.

8.2 ZARARLARIN KONTROLÜ VE ÇALIŞANLARIN BULUNMASI KONUSU

  • Personel seçimi: Çalışanlar tarafından işlenen suçlarla ilgili kayıpların önlenmesine yönelik standart bir önlem, insanların bireysel çalışmalarının ayrıntılı bir şekilde kontrol edilmesidir. Suç işleyen bir kişinin tekrar suç işleyeceği varsayımına dayanarak; Kişinin sabıka kaydı doğrulanır. Bununla birlikte, yukarıdaki birçok karar faktörü değildir, çünkü birçok suç güvenilir işçilerin ayartmasıyla işlenir.
  • İç Kontroller: İç kontrol terimi, şirket içinde suçu önlemek için tasarlanmış, organizasyona dahil edilen unsurları ifade eder. İlk unsur, tanımlanabilir kişilere tanımlanmış roller verildiği açık bir sorumluluklar atamasıdır. İkinci unsur, çalışanların görevlerini bir fonksiyonun performansını şirket politikalarına göre ayıracak şekilde böler. Üçüncü unsur, sürekli kontrol sağlamak için bir denetim izi yapmaktır.

Yukarıdakilere dayanarak, dahili kontroller şu şekilde tasarlanmıştır:

  • Gider Prosedürleri Satış Prosedürleri Varlık Makbuz ve Nakliye Prosedürleri Para Yönetimi Kontrol Prosedürleri Denetimler: Finansal alanda denetim prosedürleri uygulandıktan sonra, etkin bir denetim programı, denetim gereksinimlerinin karşılanmasını sağlar.

Şirketin olağanüstü bir iç kontrol sistemine sahip olmasına rağmen, bir denetim programı önemli bir işlevdir. Bu, halihazırda düzgün çalıştıklarından emin olmak için sistemleri periyodik olarak kontrol etmeyi zorunlu kılar.

BÖLÜM II - BİLGİSAYARLARDA RİSK YÖNETİMİNİN ELEMANLARI

Risk yönetiminin rolü, zararlı olayların bilgi işlem süreçlerini tehdit etmeye başlamadan önce kaynaklarını tanımlamak, incelemek ve ortadan kaldırmaktır.

Risk yönetimi genellikle aşağıdakilere ayrılır:

  1. RİSKLERİN TAHMİNİ

Risk tahmini, bilgi işlem ortamının genel planlaması dahilinde risklerin nasıl inceleneceğini açıklar ve aşağıdaki adımlara ayrılır:

  • Risk belirleme, bilgi işlem ortamının normal çalışmasını etkileyebilecek risklerin bir listesini oluşturur. Risk analizi, ortaya çıkma olasılığını ve kuruluş üzerindeki etkisini ölçer. Risklerin önceliklendirilmesi.

1.1. RİSK TANIMLAMASI

Bu adım, bilgi işlem ortamının planlanmasına tehdit oluşturan faktörleri tanımlar. Etkilenen ana faktörler:

  • Aşağıdakileri içeren planlama oluşturulması: Aşırı iyimser planlama, gereksiz görevlerle planlama ve bilinmeyen alanları ve büyüklüğünü dikkate almadan bir bilgi işlem ortamının organizasyonu. Aşağıdakileri içeren organizasyon ve yönetim: Düşük bütçeler, Politika inceleme / karar döngüsü beklenenden daha yavaş. Aşağıdakileri içeren çalışma ortamı: Geliştirme araçlarının arızalanması, yetersiz çalışma alanları ve yeni teknolojilerin öğrenme eğrisi beklenenden daha uzundur.
  • Aşağıdakiler dahil son kullanıcı kararları: Son kullanıcı katılımı eksikliği ve kullanıcılar ile BT departmanı arasında iletişim eksikliği
  • Sözleşmeli personel, şunları içerir: Motivasyon eksikliği, ekip çalışması eksikliği ve kalitesiz çalışma.
  • İşlemler şunları içerir: Bürokrasi, kalite kontrol eksikliği ve coşku eksikliği.

1.2. RİSK ANALİZİ

Planlamadaki riskleri belirledikten sonra, bir sonraki adım etkilerini belirlemek için bunları analiz etmek ve böylece olası alternatif çözümleri almaktır. Risk Analizinin açıklaması daha sonra genişletilecektir.

1.2.1. RİSKLERE MARUZ KALMA

Risk analizinde yararlı ve gerekli bir faaliyet, tanımlandıkları süreçlerin her birinde maruz kalma seviyenizi belirlemektir.

1.2.2 ZARAR TEDBİRİNİN TAHMİNİ

Kayıp olasılığını tahmin etmenin ana yolları şunlardır:

  • Bilgi işlem ortamına en aşina olan kişiyi, zararlı olayların ortaya çıkma olasılığını tahmin ettirin.
  • Delphi veya grup konsensüs tekniklerini kullanın. Delphi yöntemi, belirli sorunları çözmek için bir grup uzmanı bir araya getirmekten oluşur. Bu grup, ilgili kişilerin arasında (olası, çok muhtemel) bir risk düzeyi seçtikleri ve daha sonra bunları nicel tahminlere dönüştürdüğü sıfat kalibrasyonu kullanarak tehditlerin ve risk nesnelerinin bireysel olarak sınıflandırılmasını gerçekleştirir.

1.2.3. RİSKLERİN ÖNCELİĞİ

Bu risk tahmini adımında, risk yönetimini geliştirme çabalarına odaklanabilmeniz için önceliğiniz tahmin edilir. Önceliklendirme gerçekleştirildiğinde (yüksek riskli ve küçük riskli unsurlar), son derece önemli olmamalıdır, çünkü gerçekten kritik arka planda bırakılabilir.

1.3 RİSK KONTROLÜ

Bilgi işlem ortamının riskleri belirlendikten ve ortaya çıkma olasılıkları analiz edildikten sonra, bunları kontrol etmek için temeller vardır, bunlar:

  • Planlama Risk çözümü Risk izleme

1.3.1. RİSK PLANLAMASI

Amacı, bilgisayar faaliyetlerinin maruz kaldığı zarar verici olayların her birini kontrol eden bir plan geliştirmektir.

1.3.2. RİSK ÇÖZÜMÜ

Risklerin çözümü, yetersiz kontrol tasarımı sorununu kontrol eden yöntemlerden oluşur, başlıca olanlar şunlardır:

  1. Riskten Kaçının: Riskli faaliyetler gerçekleştirmeyin Risk hakkında bilgi alın Bilgi işlem ortamını bir risk oluşursa bilgisayar etkinlikleri yerine getirilecek şekilde planlayın En baştan mümkünse riskin kaynağını ortadan kaldırın..

Bu risklerden bazılarını nasıl kontrol edebileceğinizi göstermek için Tablo No.3 en yaygın kontrol yöntemlerini göstermektedir:

RİSK KONTROL YÖNTEMLERİ
Hizmet sunumunun değiştirilmesi · Müşteri odaklı tekniklerin kullanılması.

· Yeni değişiklikler için tasarım
Kaliteli kesim · Kontrol faaliyetleri için zaman tanıyın.
Aşırı iyimser planlama · Tahmin teknikleri ve araçlarının kullanılması.
İşe alınan personel ile ilgili sorunlar · Kişisel ve iş referansları isteyin.

· Proje başlamadan çok önce önemli ekip üyelerini işe alın ve planlayın.

· İşe alınan personel ile iyi ilişkiler kurmak.

1.3.3 RİSK İZLEME

Onlarla başa çıkma planları geliştirdikten sonra riskler ortaya çıkarsa bilgisayar dünyasında yaşam daha kolay olurdu. Ancak riskler bilgi işlem ortamında ortaya çıkar ve kaybolur, bu nedenle risk kontrolünün nasıl ilerlediğini kontrol etmek ve bilgi işlem faaliyetlerinde yeni zararlı olayların nasıl göründüğünü belirlemek için izleme gereklidir.

BÖLÜM III - RİSK ANALİZİ

Risk analizinin genel amacı potansiyel nedenlerini tanımlamaktır Şekil 4, örneğin, bilgi işlem ortamını tehdit eden ana riskleri göstermektedir. Bu tanımlama belirli bir alanda gerçekleştirilir, böylece bu konuda yeterli bilgiye sahip olabilirsiniz, böylece kontrol mekanizmalarının yeterli bir tasarımını ve uygulanmasını seçersiniz; Farklı analiz noktalarında istenmeyen olayların etkilerini en aza indirgemek için.

Ayrıca, risk analizi aşağıdaki hedefleri karşılar:

  • Sorunlara saldırmak için mevcut ve gerekli zamanı, çabayı ve kaynakları analiz edin Risk ve zayıflıkların kapsamlı bir analizini yapın, güvenlik kontrollerini tanımlayın, tanımlayın ve gözden geçirin. riskleri, güvenlik çevreleri ve en büyük tehlike yerleri, bakım daha kolay yapılabilir.

Risk analizini yapmadan önce aşağıdaki hususlar dikkate alınmalıdır:

  • Organizasyonun politikaları ve ihtiyaçları ile onu oluşturan ve temel süreçlerde yer alan tüm parçalarla işbirliği göz önünde bulundurulmalı, yeni teknolojik gelişmeler ve uzman davetsiz misafirlerin kurnazlığı dikkate alınmalıdır. maliyetler vs Herhangi bir kuruluşun komitesi veya yönetim kurulu, planlarına dahil etmeli ve güvenlik programlarının geliştirilmesi için gerekli masrafları bütçelendirmeli ve bu bölümün Herhangi bir güvenlik programının iyi işlemesi için çok önemli bir tamamlayıcı olan ilgili kişilerin güvenlik seviyelerini ve sorumluluklarını belirlemek, şirketin herhangi bir geliştirme süreci için şarttır.Dikkate alınması gereken bir diğer husus, uygulamalarının ürettiği ek maliyetleri unutmadan, mekanizmaların ve karşı önlemlerin bilgi işlem ortamında sahip olabileceği ek yüktür.

Risk analizi, bir hizmet veya işletmenin tipik risklere karşı savunmasızlığını belirlemek için RISK HARİTASI adlı matris yöntemini kullanır.

  • Hizmetin verilmesine müdahale eden bağımlılıklardaki süreçlerin yeri (Bkz. Şekil No. 5).
  • Kritik risklerin yeri ve bunların İş süreçleri üzerindeki etkisi. Bu adım, bir etkinliğin bir tehdide karşı savunmasızlığını belirler. Her riske ağırlık vermek için; Bir tehdide yönelik zayıflığına (risk nedeni) göre her bir etkinliğe atanacak üç güvenlik açığı kategorisi (1 düşük, 2 orta, 3 yüksek) dikkate alınır. Örneğin, yanlış bir Karar riskinin yüksek bir güvenlik açığı riskine sahip olduğunu onaylarsak, güvenlik politikalarımızda yüksek önceliğe sahip olacaktır (Bkz. Şekil No. 6).
RİSK (%) Elde edilen Güvenlik Açığı
Yanlış kararlar 59 YÜKSEK
dolandırıcılık 55 YARIM
Çalınması 54 YARIM

Bilgi işlem ortamında tehditler (risk nedenleri) aşağıdaki gibi sınıflandırılabilir:

  • Doğal: Temel olarak bilgi işlem ortamının normal performansını bir şekilde etkileyebilecek doğal değişiklikleri içerir; örneğin, kablolama göbeklerinin bulunduğu yerde, muhtemelen ahşap duvarlarla çevrili oldukları için bir yangın olasılığı doğal bir tehdittir.Ardından: Bunlar en yaygın olanlardır ve şunları içerir: Son kullanıcı hataları: Tarafından Örneğin, Kullanıcı yönetici izinlerine sahiptir ve muhtemelen ilgili bilgileri istemeden değiştirir.İşletici hataları: Örneğin, bir operatör oturum açıp oturumu kapatmayı unuttuysa; Söz konusu makineye fiziksel erişimi olan bir kişi tahribat yaratabilir İdari hata: Örneğin, onları korumak için güvenlik mekanizması olmayan kurulumlar ve yapılandırmalar.Örneğin, Yazıcılar veya diğer yanlış yapılandırılmış aygıtlar Sistem hataları: Örneğin, işletim sistemi dosyalarında hasar İletişim hataları: Örneğin, verilerin gizliliğini ihlal eden bilgilerin iletilmesine izin vermek Kasıtlı: Bu tehditler şunlar olabilir: aktif (yetkisiz erişim, yetkisiz modifikasyonlar, sabotaj) veya pasif (bunlar doğada çok daha tekniktir, örneğin: elektromanyetik ve / veya mikrodalga parazit dumanları). (Bkz. şekil 7 ve şekil 8).Kalibre: Bu tehditler şunlar olabilir: aktif (yetkisiz erişim, yetkisiz değişiklikler, sabotaj) veya pasif (doğada çok daha tekniktir, örneğin: Şirketin bağımlılıklarındaki kritik risklerin ve işe müdahale eden süreçlerin yeri (Bkz. Şekil 7 ve şekil 8).Kalibre: Bu tehditler şunlar olabilir: aktif (yetkisiz erişim, yetkisiz değişiklikler, sabotaj) veya pasif (doğada çok daha tekniktir, örneğin: Şirketin bağımlılıklarındaki kritik risklerin ve işe müdahale eden süreçlerin yeri (Bkz. Şekil 7 ve şekil 8).
Süreç / Risk Yanlış kararlar dolandırıcılık Çalınması
İşlem merkezi yönetimi X X
Sistem Yönetimi X X
Müşteri desteği X X
Hesap mutabakatı X X X
Riskler - Bağımlılıklar. Finansal bölüm Sistemler Çanta Muhasebe
Yanlış kararlar X X
dolandırıcılık X X X X
Çalınması X X X X
  • Gerekli kontrolleri belirleyin: Bu adımda, riski minimum seviyelere indirmeye veya bazı durumlarda tamamen ortadan kaldırmaya yardımcı olan mekanizmalar olan kontroller belirlenir. Bu önlemlerin üç farklı kapasiteye sahip olduğu unutulmamalıdır: önleme mekanizmaları, tespit mekanizmaları ve düzeltme mekanizmaları; ve bir süreç ya da iş içinde, şekil 9'da tarif edildiği gibi işlev gördüklerini. Bu adım, kontrolün işlevselliğini ve kullanışlılığını içerir ve kontrollerin uygulanmasından sorumlu kişiler belirlenir.
  • Son kontrolleri tasarlayın: Bu adımda, kullanılan kontrolleri uygulama sürecini başlatmak veya bu mekanizmaların yapımını başlatmak için gerekli ürünlere sahipsiniz.

Aşağıdaki kriterler, kontrol mekanizmalarının sembolik olarak değerlendirilmesine izin verir:

  • Gizlilik: Bilginin çoğunlukla yetkisiz erişime karşı korunmasını ifade eder. Personel bilgileri, soruşturmaları ve geliştirme raporları gizlilik gerektiren bilgilere örneklerden bazılarıdır Dürüstlük: BT departmanı tarafından sunulan hizmettir. Bilginin işlendiği, sunulduğu, kaydedildiği veya aktarıldığı sırada yeterli, eksiksiz ve özgün olması gerekir Kullanılabilirlik: Bilgi işlem etkinliklerinin belirli bir anda sahip olabileceği kullanılabilirliği gösterir. Bu kullanılabilirlik hemen olmalıdır. Risk analizi sonuçları: Risk analizinin sonuçları, sürecin ilk aşamalarından itibaren dahil edilebilecek şekilde zamanında açıklanmalıdır. Bilgisayar denetimi ile doğrulayın,Kontrollerin zamanında dahil edilmesi: Bilgisayar denetimi, bilgisayar süreçlerinin en iyi kalite, güvenlik ve etkililiğini sağlamak için risk analizinin sonucunu bilmeli ve zamanında uygulanmasını doğrulamalıdır.

SÖZLÜK

ERGONOMİ

Teknolojik sistemlerin tasarımının odak noktası olarak insan ihtiyaçlarını ve kapasitelerini ortaya koyan bilimsel disiplin. Amacı, insanların ve teknolojinin ekipleri ve görevleri insan özelliklerine uygun tutarak tam bir uyum içinde çalışmasını sağlamaktır.

RİSK

Zararlı olayların meydana gelmesi nedeniyle şirketlerin maruz kaldığı kayıpların değeridir.

TEHDİT

Riskin tehditleri veya nedenleri, risklerin her birini üreten olası araçlara veya alternatiflere işaret eder.

KONTROL

Kontrol, risk nedenlerinin ortaya çıkma sıklığını veya bunların neden olduğu kayıpların değerini en aza indirmeyi amaçlayan herhangi bir eylemdir. Kontroller, kuruluşun amaçlarına ulaşılmasını veya bir sistemin başarısını sağlamaya ve risklerin makul seviyelere maruz kalmasını azaltmaya hizmet eder. Kontrollerin temel amaçları şunlardır: Risk nedenlerinin önlenmesi, risk nedenlerinin ortaya çıkmasının tespiti ve iç kontrol sistemine düzeltici yollarla geri bildirim sağlanması.

İÇSEL

Doğası gereği başka hiçbir şeyden ayrılamayan temel, kalıcı.

EGZERSİZ YAPMAK

Bir veya daha fazla belirli görevi tamamlamak için yapılması gereken varlık.

ANLAŞTIK MI

Belirli bir müşterinin gereksinimlerini karşılamak için ürün ve hizmet sağlayan özel veya kamu şirketi.

KAYNAKÇA

  • Kolombiya Teknik Standartlar ve Sertifikasyon Enstitüsü (ICONTEC). Kalite sistemleri. Santa Fe de Bogotá DC: 1994. 21p. NTC-ISO 9001.COREY Michael ve ABBEY Michael, ORACLE Veri Ambarı: Veri güvenliği, ilk baskı, İspanya: McGraw Hill Publishing, 1997. 313 s. ISBN: 84-481-0998-8.DERRIEN Yann, Bilgisayar Denetim Teknikleri: Denetim misyonunun yönü, Meksika Şehir: Ediciones Alga Omega SA, 1995. 228 s. ISBN 970-15-0030-XE DVE iktisatçı ekibi, Tam denetim kursu: Giriş, Barselona - İspanya: Editoryal De Vecchi, SA, 1991, 206 s., ISBN: 84-315-0957-0. FARLEY Marc, LAN TIMES® Veri Güvenliği ve Bütünlüğü Kılavuzu: Bilgisayar Güvenliği, Birinci Baskı, Madrid (İspanya): Editör Mc Graw-Hill, 1996. 342 s. ISBN: 0-07-882166-5.IBM Eğitim ve Öğretim,Internet güvenlik ve güvenlik duvarları kavramları - öğrenci dizüstü. 1995. Ders kodu IN30.IBM Corporation, bilgisayar sisteminde SOS, birinci baskı, Meksika: Editör Prentice-Hall Hispanoamericana, SA, 1998. 211 s. ISBN: 970-17-0110-0.MC CONNELL STEVE, BT projelerinin geliştirilmesi ve yönetimi: Risk yönetimi, ilk baskı, Aravaca (Madrid): Editoryal Mc. Graw Hill, 1996. 691 s. ISBN: 84-481-1229-6.MENDEZ Carlos E., İktisadi, muhasebe ve idari bilimlerde araştırma tasarımları geliştirmek için Metodoloji-Kılavuzu, ikinci baskı, Santa Fe de Bogotá: Editör Mc Graw Hill, 1993. 170 s. ISBN: 958-600-446-5.PINILLA José Dagoberto, Bilgisayar Denetimi - Üretim Uygulamaları: Risk Analizi, ilk baskı, Santa Fe de Bogotá: ECOE Ediciones, 1997. 238 s. ISBN: 958-648-139-5.SALLENAVE Jean Paul,Yönetim ve Stratejik Planlama: Delfi yöntemi, ikinci baskı, Kolombiya: Editoryal Norma, 1996. 280 s. ISBN: 958-04-3162-0.SCAROLA Robert, NOVELL Netware, ilk baskı, Madrid: Editoryal Mc Graw Hill, 1992. 294 s. ISBN 84-7615-945-5.SENN James A., Bilgi Sistemleri Analizi ve Tasarımı, İkinci Baskı: Mc Graw Hill Publishing VAUGHAN EMMETT J., Risk Yönetimi, Birinci Baskı, Amerika Birleşik Devletleri: John Wiley Publishing & Evlatlar, 1997. 812 s. ISBN 0-471-10759-X.Birinci baskı, Amerika Birleşik Devletleri: John Wiley & Sons Publishing, 1997. 812 s. ISBN 0-471-10759-X.Birinci baskı, Amerika Birleşik Devletleri: John Wiley & Sons Publishing, 1997. 812 s. ISBN 0-471-10759-X.

Uluslararası Elektronik Komisyonu (IEC) standardı - İngilizce, bilgisayar teknolojisi ve elektrikli ekipman için kullanılır.

Risk Yönetimi Bilgi Sistemleri - İspanyolca, Risk Yönetimi Bilgi Sistemleri

OSHA - İş Sağlığı ve Güvenliği Kanunu - Amerika Birleşik Devletleri'nin Kongre tarafından yürürlüğe giren Federal standardı, ilk olarak 20 Aralık 1970 ve son olarak 28 Nisan 1971'de.

IH. W. Heinrich; Güvenlik mühendisi ve endüstriyel güvenlik alanında öncü.

William Haddon, Jr. Endüstri Mühendisi, Karayolu Güvenliği Sigorta Enstitüsü, ABD

İngilizce'de Tehlike Modu ve Etki Analizinin baş harfleri

İngilizce'de Hata Ağacı Analizinin baş harfleri

Orijinal dosyayı indirin

Bilgisayar teknolojisinde risk yönetimi
yönetim

Editörün Seçimi

Akıllı şirket

Akıllı şirket

Muhasebe bilgisinin kendi kendine izlenmesinde epistemoloji

Muhasebe bilgisinin kendi kendine izlenmesinde epistemoloji

Şirket ve ekonomik verimliliği

Şirket ve ekonomik verimliliği

Uluslararası jeopolitikte Pasifik dönemi

Uluslararası jeopolitikte Pasifik dönemi

Halkla ilişkiler, yönetim ve ilişkisel pazarlama dönemi

Halkla ilişkiler, yönetim ve ilişkisel pazarlama dönemi

Ergonomi ve şirket içi uygulaması

Ergonomi ve şirket içi uygulaması

© Copyright tr.artbmxmagazine.com, 2024 Eylül | Site Hakkında | Temas | Gizlilik Politikası.