Ceva concluzii din practica românească în urma unor discuţii cu un amic pe marginea subiectului:. 1. Cele mai multe companii nu folosesc deloc sau folosesc metode greşite de evaluare a riscurilor: check list-uri, dashboard-uri/scoruri, eventual template-uri în Excell cu ceva calcule complexe. 2. Multă birocraţie. Template-uri completate mai mult sau mai puţin corect, rapoarte pe…

E unul din subiectele mele preferate. Şi teoretic şi practic. Din punct de vedere teoretic, atît Risk IT Practioner Guide cît şi MoR: Guidance for Practitioners sînt aliniate cu ISO 31000. Doar mici particularităţi specifice providerilor. Dincolo de teoria legată de partea de organizare a procesului (managementului riscurilor este PROCES şi prin urmare trebuie tratat ca atare) se ajunge la alegerea unei metode de estimare: calitativă sau cantitativă. În practica autohtonă puţine sînt firmele ce au aderat la o metodologie de management al riscurilor chiar dacă riscurile IT sînt încadrate în categoria riscuri opferaţionale (vezi BASEL II, de ex). În lipsa unei metodologii se ajunge în situaţia de a nu avea date actuariale pe care să te bazezi în analiza riscurilor. Sau dacă există, aceste date…