- Jak mawiał pewien nieżyjący już profesor "wykształcony człowiek powinien wiedzieć wszystko o czymś i coś o wszystkim". Nie każdy CRO ma wykształcenie i doświadczenia związane z technologiami IT. Ale nic nie stoi na przeszkodzie, żeby na bieżąco uzupełniać ewentualne braki ...
Żadna osoba z naszej Konfraterni nie była w Singapurze ale to nie oznacza, że nie powinniśmy interesować się tamtejszymi nowościami. Rzecz jasna w dziedzinie zarządzania ryzykiem.
Monetary Authority of Singapore (MAS) opublikował w tym miesiącu dokument zatytułowany “Technology Risk Management Guidelines” – Wytyczne zarządzania ryzykiem technologicznym. De facto ryzykiem IT.
Dokument opublikowano w celu, jak to ujęto, „promowania (zachęcania do) stosowania powszechnie uznawanych praktyk w zarządzaniu ryzykiem technologicznym (technicznym)” – głównie wśród instytucji finansowych. W końcu MAS to Bank Centralny Singapuru i regulator rynków finansowych.
Od razu uprzedzamy, rzeczona publikacja nie zawiera rewelacji, szczególnie dla osób, które związane są z branżą IT i mają wykształcenie informatyczne. Ale ponieważ wśród polskich CRO (Chief Risk Officer) przeważają osoby z wykształceniem ekonomicznym i prawniczym (ach ten „compliance”) mogą one potraktować ten dokument jako skrócone kompendium tego, co CRO powinien wiedzieć na temat IT i – w konsekwencji – ryzyka towarzyszącego technologiom informatycznym. Co równie ważne, CRO może się dowiedzieć, czego może i powinien oczekiwać i wymagać od odpowiedzialnych za rozwój systemów IT w organizacjach gospodarczych, finansowych i w administracji. Przynajmniej według zasad obowiązujących w Singapurze. Wszyscy wiemy, że tam z technologiami IT nie są na bakier a wprost przeciwnie…
Dokument nie „rani” i nie „poraża” terminologią stricte techniczną zatem spokojnie może być czytany przez osoby, które nie mają wykształcenia technicznego – z dziedzin związanych z informatyką. Stosowane pojęcia są wyjaśniane, zatem czytelnik może zrozumieć o co chodzi i co mają na myśli (lub czego nie mają) informatycy przedstawiając swoje projekty, plany i koncepcje rozwoju IT.
CRO nie musi osobiście przeprowadzać tzw. testów penetrujących ale powinien wiedzieć, co to jest i czemu służy. CRO nie będzie projektował i programował aplikacji ale powinien wiedzieć, jak jest cykl życia projektów i produktów informatycznych. CRO nie będzie osobiście badał i oceniał technologii informatycznych ale powinien wiedzieć, co to jest audyt IT, czego można po nim oczekiwać i jak go można wykorzystać w zarządzaniu ryzykiem na poziomie całej organizacji.
57 stron – bo tyle liczy przywoływany dokument – nie wymaga nadmiernie dużego wysiłku.
Wpisując w przeglądarce „mas technology risk management guidelines” można dotrzeć do tego dokumentu i pobrać go. Bezpłatnie.
