Vydáno 25. března 2019 – 2 min. čtení
Plán řízení rizik je písemný dokument, který podrobně popisuje proces řízení rizik v organizaci. Tento proces začíná vytvořením týmu zainteresovaných stran napříč organizací, který přezkoumá potenciální rizika pro organizaci. Tento tým zainteresovaných stran by měl zahrnovat vrcholové vedení, pracovníka odpovědného za dodržování předpisů a všechny vedoucí oddělení. Pokud organizace vyvíjí software, pak by měl být zahrnut také jeden projektový manažer z každého projektového týmu, který bude přezkoumávat řízení projektu a reagovat na rizika projektu.
Po vytvoření může tým začít pracovat na procesu řízení rizik.
Stanovení cílů
Nejprve musí členové týmu přezkoumat obchodní cíle, například vývoj produktu nebo obchodní partnerství s třetí stranou. Tím, že začnete s obchodními cíli, se proces řízení rizik přizpůsobí současným i budoucím cílům.
Identifikace rizik
Druhý krok při vytváření plánu řízení rizik spočívá v přezkoumání digitálních aktiv, jako jsou systémy, sítě, software, zařízení, dodavatelé a data. Katalogizace těchto aktiv pak umožňuje členům týmu identifikovat rizika pro tato aktiva. Riziko neboli nejistá událost může být pozitivní nebo negativní stav, který má finanční, provozní nebo reputační dopad.
Posouzení rizik
Po identifikaci rizik musí tým pro řízení rizik provést jejich posouzení. Pozitivní rizika, jako je předčasné dodání produktu, mohou vést i k negativním rizikům, jako je neschopnost zákazníka dodržet splátkový kalendář. Organizace musí rizika předvídat, aby našla způsob, jak analyzovat jejich potenciální dopad.
Analýza rizik
U každého identifikovaného a vyhodnoceného rizika se musí tým zabývat pravděpodobností, s jakou daná událost nastane, a poté odhadnout dopady na podnik v případě, že nastane. Vynásobením pravděpodobnosti odhadovaným dopadem lze získat představu o dopadu rizika. Riziko s nízkou pravděpodobností vede ke zničujícímu finančnímu dopadu. Naproti tomu riziko s vysokou pravděpodobností nemusí mít žádný dopad. Součástí kvantitativní nebo kvalitativní analýzy je vytvoření matice hodnocení rizik. Ta umožňuje týmu pro řízení rizik využít analýzu rizik a přiřadit jim hodnocení, například vysoké, střední nebo nízké.
Tolerance k riziku
Po přiřazení hodnocení rizika tým pracuje na určení, zda riziko přijme, převede, zmírní nebo odmítne. Tým se může rozhodnout přijmout nízké riziko, tedy potenciální událost, která pravděpodobně nenastane, a pokud by nastala, měla by jen malý dopad. Může však také odmítnout vysoké riziko, potenciální událost, jejíž výskyt je vysoce pravděpodobný a měla by velký dopad.
Snižování rizik
Pro přijatá rizika musí tým vytvořit soubor strategií jejich snižování. Pro každé riziko, které organizace přijme nebo převede, musí definovat reakce na problémy, které mohou nastat. V oblasti bezpečnosti informací to znamená nastavení kontrolních mechanismů na ochranu dat před kybernetickými zločinci. Strategie zmírňování rizik tedy fungují jako pohotovostní plán pro případ, že by došlo k události, která pomůže omezit definovaný dopad.
Plán řízení rizik
Plán řízení rizik je dokument, který obsahuje veškeré úvahy o hodnocení, analýze, toleranci a zmírňování rizik.