În COBIT 2019, printre cele 7 elemente care alcătuiesc sistemul de guvernare IT se numără și cel din titlu. Despre acest element se spune pe scurt că adesea este subestimat ca factor al succesului activităților de guvernanță și management dintr-o organizația. Adevărat?

Expresia „Teoria ca teoria, practica ne omoară” este o zicală de a noastră (mai rar întîlnită în alte culturi) care sugerează că a vorbi despre ceva sau a înțelege ceva este ușor în teorie, însă a aplica în practică este mult mai greu. Cu alte cuvinte, diferența dintre cunoaștere și aplicare este adesea mare și dificil de depășit.

De cele mai multe ori însă, comportamentul practic deviază de la teorie pe două ramuri: fie nu se înțelege/nu se cunoaște bine teoria și atunci se aplică greșit în practică; se înțelege teoria, dar din motive de ”business constraints” (indiferent dacă ne referim la bani/resurse, profitabilitate pe termen scurt sau politică) nu se aplică voit cum trebuie în practică.

Ce ar fi, de exemplu, dacă medicii, inginerii structuriști, proiectanții de aeronave etc. nu ar respecta teoria la fel după cum se întîmplă în alte domenii?

Revin cu un exemplu despre teorie și practică în cazul culturii și comportamentului din IT.

Tot în COBIT (dar și în CSF 2.0, ISO27001) există un obiectiv al guvernării IT/cerință despre riscuri și care este în sarcina celor care guvernează : apetitul și toleranța la risc a organizație sunt înțelese, articulate și comunicate iar riscul organizației legat de utilizarea IT este identificat și gestionat.

Scopul este de a obține asigurări rezonabile că riscul IT al organizației nu depășește apetitul și toleranța la risc a acesteia, că impactul riscului IT asupra organizației este identificat și gestionat, iar potențialul de deficiențe de conformitate este redus la minimum.

Apetit și toleranță la risc? În cîte organizații chiar este formalizat așa ceva? Dacă nu este formalizat, atunci cînd apare ransomware-ul/incidentul și blochează toată organizația, înseamnă că structura de guvernarea are un apetit mare și tolerează. Prin urmare nu are de ce să se plîngă!

Cultura, etica și comportamentul structurii de guvernare cu privire la riscuri implică:

Promovarea unei culturi de conștientizare a riscurilor IT la toate nivelurile organizației în care toți angajații sunt încurajați să identifice, raporteze și gestioneze proactiv riscurile, oportunitățile și potențialele impacturi asupra afacerii. 

Managementul superior/Conducerea stabilește direcția și demonstrează un sprijin vizibil și autentic pentru practicile de risc. În plus, conducerea trebuie să definească clar apetitul pentru risc și să asigure un nivel adecvat de dezbatere ca parte a activităților obișnuite.

Comportamentele dezirabile includ încurajarea angajaților să ridice probleme sau rezultate negative și să dea dovadă de transparență în ceea ce privește riscul IT. Proprietarii de afaceri ar trebui să își asume responsabilitatea pentru riscul IT atunci când este cazul și să demonstreze un angajament autentic față de gestionarea riscurilor IT prin furnizarea de niveluri adecvate de resurse.

Apoi povestea asta coboară la nivel operațional unde există un obiectiv al managementului care se referă la ”riscuri gestionate”: Identificați, evaluați și reduceți continuu riscurile legate de IT în limitele nivelurilor de toleranță stabilite de conducerea executivă a organizației.

Scopul este acum integrarea managementului riscului organizației legat de IT cu managementul general al riscului organizației (ERM) și echilibrarea costurilor și beneficiilor gestionării riscului organizației cu privire la IT. Dar daca structura de guvernare nu a stabilit apetitul?

La acest nivel (de management, nu de guvernare), comportamentul și etica sprijină o cultură a riscurilor transparentă și participativă. Printre comportamentele dorite se numără alinierea politicilor la apetitul de risc definit, raportarea tendințelor de risc către conducerea superioară și organismele de gestionare a riscurilor, recompensarea managementului eficient al riscurilor și monitorizarea proactivă a riscurilor și a progresului înregistrat în planul de acțiune privind riscurile.

Dar asta este doar …teorie…..

(În urmă cu 15 ani – Binomul teorie – practică. Bîjbîind după iluzii….)