Ceva concluzii din practica românească în urma unor discuţii cu un amic pe marginea subiectului:.

1. Cele mai multe companii nu folosesc deloc sau folosesc metode greşite de evaluare a riscurilor: check list-uri, dashboard-uri/scoruri, eventual template-uri în Excell cu ceva calcule complexe.
2. Multă birocraţie. Template-uri completate mai mult sau mai puţin corect, rapoarte pe care nu le citeşte nimeni. Costuri da, valoare ioc …Facem pentru că aşa spune 27001, ITIL, COBIT, BNR etc..nu pentru că ne trebuie în viaţa reală.
3. Lipsa de transparenţă. Dacă totuşi se face management de riscuri într-o manieră standardizată, faptul că lipseşte comunicarea cu cei capabili să ia decizii conduce la lipsa de încredere în rezultate (ce înseamnă risc rezidual MARE?, de exemplu).
4. Există în continuare un gol mare între business şi IT. Guvernarea IT nu este considerată strategică!
5. Cu siguranţă riscurile trebuie exprimate monetar. Dar luarea în calcul doar a valorilor financiare nu conduce la rezultate apropiate de realitate. Viaţa e ceva mai complexă.