Managementul riscurilor. Din perspectiva practică….

E unul din subiectele mele preferate. Şi teoretic şi practic. Din punct de vedere teoretic, atît Risk IT Practioner Guide cît şi MoR: Guidance for Practitioners sînt aliniate cu ISO 31000. Doar mici particularităţi specifice providerilor. Dincolo de teoria legată de partea de organizare a procesului (managementului riscurilor este PROCES şi prin urmare trebuie tratat ca atare) se ajunge la alegerea unei metode de estimare: calitativă sau cantitativă. În practica autohtonă puţine sînt firmele ce au aderat la o metodologie de management al riscurilor chiar dacă riscurile IT sînt încadrate în categoria riscuri opferaţionale (vezi BASEL II, de ex). În lipsa unei metodologii se ajunge în situaţia de a nu avea date actuariale pe care să te bazezi în analiza riscurilor. Sau dacă există, aceste date…

Audit şi estimarea riscurilor (risk assessment)

Atît manualul de audit cît şi alte scrieri din zona standarde/frameworks/best practice descriu estimarea riscurilor ca parte a treburilor pe care ar trebui să le execute un auditor. Doar că există două situaţii practice, diametral opuse. Şi le discut pentru că atît standardele cît şi frameworkurile sînt dezvoltate pentru a asigura calitatea şi consistenţa misiunilor…

Legea 260/2007…bine că este abrogată….

A trecut cred, un an de cînd mă agitam pe marginea greşelilor din fosta Lege 260/2007, cea cu facturarea electronică Chiar dacă nu se abroga, ar fi fost dificil de pus în practică . Acum vreau să explic mult mai simplu cum stau lucrurile. În orice misiune de audit, aşa după cum este impusă de…

Risk IT Practioner Guide

Nu s-a răcit bine anunţul cu publicarea în limba română a standardului ISO 31000 că pe situl ISACA a apărut şi Ghidul practic pentru managementul riscurilor IT. Risk IT Practioner Guide Ghidul se bazează pe nucleul COSO ERM dar în acelaşi timp corespunde şi cerinţelor ISO 27005. Este în acelaşi timp completare excelentă a…

COSO și Risk IT Framework

Abordarea riscurilor și a teoriei legată de analiza riscurilor este un subiect pe cît de inciant pe atît de vast pentru auditori. Pentru că legislația noastră nu este nici pe departe la fel de bogată ca cea de sorginte anglo-americană, vom face apel la cele mai bune practici recunoscute la nivel internațional. COSO[1] – Committee of Sponsoring Organization – este o organizație privată, voluntară care și-a propus îmbuntățirea calității raportărlor financiare prin promovarea etici în afaceri, unui control intern eficient, și guvernarea corporatistă. Înființată în 1985 pentru a sponsoriza comisia Națională pentru Raportări Financiare Frauduloase[2] COSO grupează 5 asociații profesionale americane din domeniul financiar: American Accounting Association, American Institute of Certified Public Accountants, Financial Executives Institute, Institute of Internal Auditors și…

ADRIAN B. MUNTEANU

audit, guvernare, riscuri, conformitate IT.

Risk management