Cît de mult putem accepta din ceea ce cunoaştem? Dar din ceea ce nu cunoaştem?

Majoritatea metodologiilor de evaluare a riscurilor prezintă două dimensiuni ale subiectului: probabilitatea şi severitatea/impactul: În alte lucrări, imaginea de mai sus arată altfel: Aţi observat că sînt inversate axele? Am scris, de mai multe ori, că teoria riscurilor are la bază probabilităţi iar probabilităţile se bazează pe teoria numerelor mari. Altfel spus, atunci cînd dorim o modificare asupra viitorului, schimbarea trebuie realizată în prezent, pe baza unor informaţii cît mai corecte şi complete despre trecut. Am scris/spus, la fel de des, că în lipsa unor astfel de informaţii, managementul riscurilor este irelevant. Este făcut de dragul de a fi făcut sau pentru că e o cerinţă de conformitate. Recunosc că e puţin forţată afirmaţia anterioară. Ceva, ceva tot se obţine. Ce lipseşte din primul meu grafic şi din cel de la ITGI? Cea de a treia dimensiune care apare în ultima…

De ce este nevoie de guvernare IT mai ales în sectorul public (o realitate aproape imposibilă)

Un răspuns simplu ar fi să trimit cititorul către http://www.porcisme.ro ca să vedem costurile. Despre rezultate nu ştiu ce referinţe să dau. Mă întreb, retoric fireşte, ce se poate descoperi dacă s-ar audita toate proiectele de investiţii publice în IT din ultimii 10 ani. E posibil ca suma să fie impresionantă. Căzînd în păcatul “analiştilor” Tv mă hazardez să spun că majoritatea proiectelor publice suferă de aceleaşi simptome: lipsa unor obiective clare, reale şi care să pornesacă în primul rînd de la integrare; lipsa justificării soluţiei aleasă pentru implementare; lipsa unor rezultate bine definite; lipsa unor indicatori de măsurare a perfomanţei proiectelor; contracte suplimentate financiar; nici o vorbă despre managementul riscurilor în proiect. “Stakeholders”? Mă uitam mai deunăzi la organigrama Ministerului de Finanţe şi am observat că există o DIRECTIE GENERALA A TEHNOLOGIEI INFORMATIEI. Şi aici descopăr că este şi un Compartiment pentru strategie şi cooperare instituţională. Ştiu că şi la…

COBIT Control Practices: Guidance to Achieve Control Objective for Successful IT Governance, 2nd Edition

În postul anterior aminteam despre practicile generale de control ce pot fi trecute prea uşor cu vederea. Ghidul ce dă titlul acestui post vine cu detalii însă. Practicile de control sînt prezentate ca acţiuni ce trebuie implementate: ce, de ce şi cum trebuie implementat fiecare obiectiv al controlului în relaţiei cu riscurile identificate. Am mai scris printr-un alt post că în COBIT, proiectarea şi implementarea controalelor reprezintă responsabilitatea IT (domeniul Achiziţie şi Implementare) cu excepţia celor de la nivelul aplicaţiilor. În acest caz intervine responsabilul de proces economic! El este cel care trebuie să identifice cerinţele funcţionale şi de control iar IT-ul le pune în practică. O ultimă menţiune: practicile din acest ghid nu sînt prescriptive! Este disponibil ca download…

COBIT PO4: procesul despre procese

În accepţiunea mea este procesul cel mai important din COBIT. Procesul ce conduce la reuşita sau eşecul unei implementări. “ PO4 Definirea proceselor IT, a funcției şi a relaţiilor Structura funcţională IT este definită luând în considerare cerinţele cu privire la personal, abilităţi, funcţii, responsabilităţi, autoritate, roluri şi supraveghere. Această structură funcţională este inclusă într-un cadru de referinţă al procesului IT care asigură transparenţa şi controlul precum şi implicarea atît de la nivel executive cît şi general. Un comitet/comisie responsabil cu stratega asigură supravegherea comitetului IT şi unul sau mai multe comitete directoare, …

Maturitate şi capabilitate: COBIT şi SPICE (ISO 15504)

La EUROCACS, Janos Ivanyos a făcut o prezentare despre evaluarea controalelor IT din perspectiva guvernării, cu referinţă directă la ISO 15504/SPICE. Povestea începea chiar de la COSO. La momentul respectiv Roger Southgate a fost foarte interesat de subiect şi spunea că ISACA ar trebui să ţină cont de acest lucru în viitorul COBIT 5. Nu a trecut anul şi am văzut un sondaj ISACA pe marginea acestui subiect. Vom vedea la momentul potrivit surprizele din COBIT 5…. “În COBIT, pentru scala de maturitate se oferă o definiţie generică, care este similară cu CMM, dar interpretată prin natura proceselor de management IT. Pornind de…

ADRIAN B. MUNTEANU

audit, guvernare, riscuri, conformitate IT.