SABSA یک چارچوب عملیاتی و معماری برای دست یابی به فرصت ها و فراهم کردن نتایج مثبت به منظور دست یابی به اهداف تعریف شده ی کسب و کار می باشد. بنابر این باعث دست یابی برتر عملیاتی در فرآیند ها، افراد و سیستم های فنی می شود و باعث مدیریت نتایج منفی مربوط به فقدان وقایع در چارچوب تحمل یک شرکت در برابر خطر – یعنی ریسک پذیری آن، می شود. SABSA ریسک عملیاتی را به صورت زیر تعریف می کند:
“ریسک عملیاتی مجموعه ای از خطرات است که شامل فرصت هایی برای رسیدن به منافع کسب و کار از طریق عملیات موفق در فرآیند ها، مردم و فن آوری می شود و خطرات ناشی از فقدان از فرایند های داخلی نا کافی یا نا موفق، مردم و فن آوری و یا از رویداد های خارجی یا شکست سیستمیک نشأت می گیرند. در تمام موارد اگر چه خطرات به دامنه ی عملیاتی محدود شده اند، اما اثرات منفی هم شامل شکست استراتژیک و هم آسیب اعتبار می شود. ”
دارایی های در معرض خطر:
خروجی کار معماری ایجاد قابلیت و توانایی عملیاتی است. به ریسک عملیاتی و معماری سازمانی SABSA رجوع کنید. در تفکر SABSA این قابلیت های عملیاتی دارایی های اولیه در معرض خطر هستند.
مثال هایی از این دارایی ها شامل:
- توانایی و قابلیت تولید
- توانایی و قابلیت ارائه خدمات
- قابلیت بازاریابی
- قابلیت فروش
- قابلیت مدیریت مالی
- قابلیت مدیریت مردم
- توانایی جلب رضایت مشتریان
- قابلیت ساخت و نگهداری از برند و اعتبارف
در چارچوب های سنتی مدیریت ریسک IT و اطلاعات (مانندISO / IEC 27005: 2011) دارایی های در معرض خطر معمولاً به عنوان دارایی های اطلاعاتی ( پایگاه داده، فایل ها، اسناد و غیره ) و دارایی های IT ( سخت افزار کامپیوتر، نرم افزار، شبکه های ارتباطی و غیره ) طبقه بندی شده اند. این موارد در SABSA به عنوان دارایی های ثانویه در نظر گرفته می شوند که از دارایی های اولیه ی قابلیت کسب و کار حمایت می کنند. ارزیابی ریسک SABSA، اندازه گیری ریسک و نظارت ریسک بر دارایی های اولیه تمرکز دارند نه بر دارایی های ثانویه.
در این رابطه SABSA یک تفکر پیشرو می باشد که دید گاه سنتی IT در باره ی مدیریت ریسک عملیاتی را به چالش می کشد، اما ریسک عملیاتی را با ریسک واقعی کسب و کار هم تراز می کند. تراز کسب و کار نسبت به IT که در اکثر روش های IT دست نیافتنی است در SABSA با استفاده از این دید گاه کسب و کار به دست می آید.