Ieri a devenit disponibil COBIT 5 for Security. Ca şi celelalte publicaţii, şi aceasta se bazează pe conceptele şi principiile cadrului de referinţă COBIT 5. De bază este înţelegerea catalizatorilor/enablers şi a proceselor. Nu poate fi înţeles de sine stătător, lectura cadrului de referinţă şi a catalizatorilor fiind obligatorie.

Am constat cu plăcere că definiţiei riscului conform ISO 73 i s-a dat ambele înţelesuri: consecinţe pozitive sau negative:

(Sursa: COBIT 5 for Risk, pg. 18)

COBIT 5 tratează riscul actual deoarece în practică acesta ar trebui să intereseze şi este abordat din două perspective:

• funcţie – ce trebuie pus în practică într-o organizaţie pentru a realiza şi susţine activităţile specifice guvernării şi managementului.
• administrare/management – măsura în care catalizatorii COBIT 5 pot sprijini procesul de identificare, analiză, reacţie şi raportare a riscurilor.

În capitolul 3 se prezintă catalizatorul “Procese” cu identificarea acelor procese care sprijină perspectiva funcţională a riscurilor.

În capitolul 6, unde se descrie catalizatorul Informaţii este prezentat un tabel care aduce destul de multe clarificări în ceea ce priveşte informaţiile care sprijină managementul şi guvernarea riscurilor. De exemplu, profilul riscului include registrul riscurilor (sau universul riscurilor),  care include scenarii şi analiza riscurilor; planul de acţiuni, evenimentul care conduc la pierderi, factorii de risc, constatările evaluărilor independente.

Capitolul 2 şi 3 din secţiunea 2B tratează în extenso scenariile:

“a description of a possible event that, when occurring, will have an uncertain impact on the achievement  of the enterprise’s objectives. The impact can be positive or negative” (pg.59)

Secţiunea 3 are în vedere alinierea dintre COBIT 5 for Risk şi ISO 31000, ISO/IEC 27005, COSO ERM.

Partea teoretică se întinde pe 100 de pagini. Urmează alte 100 de pagini în care cu ajutorul Anexelor se exemplifică posibile abordări practice:

Appendix B—Detailed information on enablers for risk governance and management regarding the enablers

Appendix C—Detailed description of core risk management processes

Appendix D—Risk scenarios guidance, containing a comprehensive set of examples on how to mitigate risk scenarios using COBIT 5 enablers

Appendix E—Comparison between COBIT 5 for Risk and the legacy Risk IT Framework

Appendix F—Template for risk scenario description

Concluzie: după o primă lectură l-am perceput ca fiind unul dintre cele mai coerente şi consistente materiale dedicate managementului riscurilor!