(Această postare este un preambul la prezentarea ce o voi ţine la evenimentul organizat de PRMIA la Bucureşti în 11 noiembrie.) Constrîngeri? Au existat în trecut, există în prezent şi vor exista cu certitudine şi în viitor……Doar că în multe modele sînt omise. Despre auditul sistemelor informaţionale am spus că implică altceva decît completarea unor check listuri: înţelegerea riscurilor la care se supune organizaţia şi oferirea unor recomandări reale, deci cu valoare. Cam la fel şi cu managementul riscurilor: nu înseamnă preluarea unui model şi completarea unor template-uri….. Impactul şi frecvenţa sînt două variabile statistice aflate în legătură directă cu informaţiile din trecut. Probabilităţile se vor modifica în urma aplicării unor controale, doar în cazul în care acele controale sînt de tip preventiv. În cazul controalelor detective şi corective, probilitatea nu se modifică! În cazul riscurilor securităţii, impactul va fi evaluat asupra activului în sine…

Majoritatea metodologiilor de evaluare a riscurilor prezintă două dimensiuni ale subiectului: probabilitatea şi severitatea/impactul: În alte lucrări, imaginea de mai sus arată altfel: Aţi observat că sînt inversate axele? Am scris, de mai multe ori, că teoria riscurilor are la bază probabilităţi iar probabilităţile se bazează pe teoria numerelor mari. Altfel spus, atunci cînd dorim o modificare asupra viitorului, schimbarea trebuie realizată în prezent, pe baza unor informaţii cît mai corecte şi complete despre trecut. Am scris/spus, la fel de des, că în lipsa unor astfel de informaţii, managementul riscurilor este irelevant. Este făcut de dragul de a fi făcut sau pentru că e o cerinţă de conformitate. Recunosc că e puţin forţată afirmaţia anterioară. Ceva, ceva tot se obţine. Ce lipseşte din primul meu grafic şi din cel de la ITGI? Cea de a treia dimensiune care apare în ultima…