Na početku, dugujem ispriku zbog duljeg izbivanja s ovih stranica. Redovite poslovne aktivnosti i projekti su glavni razlozi izostanka. Glavninu vremena u svibnju i lipnju usmjerio sam na završetak rada na prvoj verziji aplikacije za upravljanje informacijskim rizicima. Aplikacija je razvijena u suradnji s kolegom Joškom Martincem iz tvrtke Adservio. Joško je napravio kompletan programerski posao (izvrsno, dodajem), a ja sam preuzeo brigu oko primjene korištene metodologije i prilagođavanja aplikacije procesu upravljanja informacijskim rizicima. Aplikaciju smo nazvali URIS. Važno je odmah naglasiti da aplikacija koristi javno dostupnu metodologiju upravljanja rizicima MEHARI. MEHARI postoji preko desetak godina, razvijena je u okviru francuske stručne udruge CLUSIF, te je obnovljena 2007. Dokumentacija o samoj metodologiji je dostupna na adresi https://www.clusif.asso.fr/en/production/mehari/mehari.asp. Osobito je zanimljivo da je metodologija objavljena pod GPL licencom. MEHARI je jako dobro opisan u raspoloživoj dokumentaciji (tekstovi i Excel tabele), no svaka ozbiljna primjena iziskuje aplikativnu nadogradnju.
Zbog čega uopće aplikacija za upravljanje IT rizicima? Jedan razlog svakako leži u činjenici da je imalo složeniju metodologiju nemoguće efikasno provesti kroz Excel tablice, a što se pogrešno smatra sasvim zadovoljavajućim tehničkim okvirom za vođenje projekata upravljanja IT rizicima. Drugi, važniji, razlog vezan je na ovaj prvi: iz prakse sam primjetio da korištenje nedovoljno robustnih metodologija neizbježno vodi u trivijalizaciju procesa upravljanja rizicima, što rezultira gubljenjen strateškog značaja kojeg bi upravljanje IT rizicima moralo imati. Korištenje kompleksnih metodologija (MEHARI je, svakako, veoma kompleksna i kompletna metodologija) vodi i boljem prihvaćanju od strane managementa i prisiljava sudionike na savjestan pristup projektu.
MEHARI je baziran na kvalitativnom pristupu koji, zahvaljujući složenom postupku donošenja ocjena, evoluira u polu-kvantitativni (pseudo-kvantitativni?) pristup, čime metodologija svakako dobiva na značaju. Osobito važnim smatram činjenicu da naša aplikacija koristi javno dostupnu i prihvaćenu metodologiju (iako sam bio na preko pola puta u razvoju vlastite metodologije).
Posao na aplikaciji obuhvaćao je, osim automatizacije postupka, nekoliko dodatnih komponenti. Tako je prijevod izvornog teksta svakako pomogao na uvođenju taksonomije pojmova za upravljanje informacijskim rizicima, još uvijek neujednačene u našem okruženju. Nadalje, aplikacija sadrži i različite izvještajne komponente, mogućnost upravljanja postupcima upravljanja rizicima u kontinuiranom razdoblju, kategorizaciju mjera i događaja prema COBIT-u i Basel II specifikacijama... Različiti noviteti su planirani i za slijedeće verzije.
Kome je namjenjena aplikacija? Osobit interes pokazuju svi oni koji iz različitih razloga moraju ispuniti regulatorne zahtjeve u pogledu upravljnaja IT rizicima, a to su prije svega banke (prema Odluci i Smjernicama HNB-a). Iako su mnoge banke postavile temelje procesa upravljanja rizicima, ovakva aplikacija i, prije svega, korištena metodologija omogućuju jednostavniju provedbu procesa upravljanja rizicima. Pored toga, neovisna i međunarodno raširena metodologija pruža dodatno jamstvo o zrelosti postupka upravljanja rizicima.
Neki od čitatelja ovih stranica su već upoznati s ovom aplikacijom, a svima zainteresiranima ću rado pružiti informacije o aplikaciji i korištenoj metodologiji.
