Managementul riscurilor este unul din subiectele cele mai dragi cînd vorbesc de audit.
PPT – People, Process, Technology. Aşa poate fi rezumat COBIT-ul.
Partnership, People, Products şi Process. Spune ITIL că înseamnă serviciile.
Ghidul care stă la baza majorităţii scrierilor legate de managementul riscurilor este “ISO Guide 73 – Terms of Risk Management”
În conformitate cu ghidul menţionat managementul riscurilor include: aprecierea riscurilor şi tratarea riscurilor. Aprecierea riscurilor include la rîndul său estimarea riscurilor şi evaluarea riscurilor.
ISO 31000, Risk IT Framework, MoR etc se bazează pe această delimitare. COBIT la fel.
În COBIT, managementul riscurilor este tratat în:
- PO 9.1 – IT Risk management framework
- PO 9.2 – Establishing of risk context
- PO 9.3 – Event identification
- PO 9.4 – Risk Assessment
- PO 9.5 – Risk treatment
- PO 9.6 – Maintenance and monitoring of risk action plan
Dar COBIT nu spune şi CUM se face risk management! Se poate evalua maturitatea proceselor, dar totuşi nimic specific riscurilor IT. Nimic despre tratarea riscurilor.
Şi atunci? Este doar o mică amăgire să crezi că lucrurile pot fi înţelese dintr-o singură sursă, indiferent cum se numeşte aceasta.
De ce este important managementul riscurilor? Între riscuri şi controale este o relaţie directă dar nu de tip “unu-la-unu” ci “unul-la-mai-multe”, cum ar spune limbajul relaţional. Apoi, în COBIT, controale sînt definite/catalogate ceva mai clar: politici, proceduri, practici, structuri organizatorice.
Pe de altă parte, dacă ne uităm cu atenţie la standarde (ISO 27005, ISO 31000) vom observa că sînt trate riscurile legate de securitatea IT.
Dar atunci cînd discutăm despre riscuri nu trebuie să uităm că avem CAUZE CALITATIVE ce conduc la EFECTE CANTITATIVE. Altfel spus, calitatea procesului va afecta cantitatea de informaţii şi caracterisiticle acestora. Pe toate “fiarele” din data center sînt informaţii stocate sau procesate.
Şi aşa cum am mai spus, riscuri înseamnă posibilitate de apariţie şi probabilitate de impact. Despre viitor nu avem certitudini pentru că nu avem încă experienţe. Dacă aruncăm un ochi la ITIL vom observa că riscurile trebuie avute în vedere indiferent dacă vorbim de change, financial, release etc..
În timp ce copilul nostru se plimbă prin parc, trece pe lîngă un copac. Aţi apreciat vreodată riscurile? Cum? Riscurile există indiferent de percepţia noastră. Cîteodată conştietizăm, alteori nu, dar cu toţi avem un nivel de acceptabilitate a riscurilor. Cred că este şi o problemă de cultură a riscurilor.
Un lucru este posibil sau imposibil. Depinde cum îl percepem, pentru că în realitate orice este posibil atît timp cît nu ştim nimic despre viitor. 1 sau 0. Dar mai departe intervine probabilitatea…Ameninţările pot fi eliminate? În cele mai multe cazuri practice nu. Pot fi cunoscute, conştientizate. Putem încerca să le stăpînim…prin controale
Recomand Against the gods: the remarkable story of risk, Peter L. Bernstein
ADRIAN B. MUNTEANU 
Sunt cam haotic in dimineata asta, sa incerc sa scriu ceva …
Cantitativ si calitativ.
Daca suntem destul de buni la matematica , statistici si alte cele, suntem ok cu partea cantitativa.
Cultura riscurilor, cum o numesti tu, este deosebita :). Factorul calitativ face diferenta.
Toti avem acces la date statistice, formule matematice, samd. Al saselea simt e ceea ce ne lipseste. Dupa cum spunea bunica, se zbate ochiul stang.
In framework suntem incadrati la People. Controalele sunt bune. In ultima vreme am impresia ca elementul incadrat la People este greu de stapanit. Este un „catalizator” care cateodata genereaza efecte greu de anticipat.
ApreciazăApreciază
Eu spun cam aşa, Dane. Puţintică filosofie.
Valoarea unei informaţii este dată de înţelesul pe care îl percepe receptorul şi nu de ceea ce crede emitentul că ar fi de valoare. Adică, degeaba cred eu că ceea ce am făcut legat de un anumit lucru este rocket, dacă receptorul meu nu percepe mare lucru.
În practica de auditor, am întîlnit multe situaţii în care risk managementul era o cosmetizare a unor poveşti de pe net fără pic de efort depus pentru a înţelege lucrurile. Rezultatul este un vraf de hîrtii fără utilitate prea mare pentru decident. Se joacă lumea cu probabilităţile după cum sînt gradele afară…..
PEOPLE este elementul cheie, lăsat în multe cazuri de la noi de aici pe un loc secundar. Se vorbeşte de IDS-uri, IPS-uri, spoofing, etc. Iar People ăsta, deşi procesează în medie doar 40 de biti/secundă este capabil să ia decizii mai repede şi posibil de neînţeles pentru maşina pe 64 de biţi cu „n” procesoare. Ce ironie….
Da, există modele matematice ce par să explice ce se întîmplă cu riscurile. Doar că în realitate, modelele astea nu sînt capabile să modeleze chiar tot şi mai ales mintea lui People. În trecutul nostru imediat, unii au făcut risk management apelînd la „flacăra viole(n)tă” :)….
Consider că, dacă doreşti să faci risk management trebuie să ţii cont de o REALITATE: procesele, indiferent dacă sînt economice sau naturale, sînt IREVERSIBILE. Fizica ne învaţă acest lucru.
Putem scoate cîte cifre vrem. Dar cifrele au semnificaţii diferite.
„Primăria X a înregistrat în 2009 o creştere de 300% a numărului contribuabililor ce plătesc taxele şi impozitele on line”… Bravo! Doar că numărul iniţial a fost de 26…..
Managementul riscurilor trebuie să aibă în vedere nu doar fapte ci şi consecinţe. Iar consecinţele aparţin oamenilor şi nu lucrurilor…..Pentru că, aşa cum am învăţat eu pe la economie politică, intervine UTILITATEA…..
ApreciazăApreciază