Publiceret marts 25, 2019 – 2 min læsning
En risikostyringsplan er et skriftligt dokument, der beskriver organisationens risikostyringsproces. Denne proces starter med at oprette et team af interessenter på tværs af organisationen for at gennemgå potentielle risici for organisationen. Dette hold af interessenter bør omfatte den øverste ledelse, den complianceansvarlige og eventuelle afdelingsledere. Hvis organisationen udvikler software, bør en projektleder fra hvert projektteam også være med til at gennemgå projektstyringen og reagere på projektrisici.
Når teamet er oprettet, kan det begynde at arbejde på risikostyringsprocessen.
Sæt mål
Først skal teammedlemmerne gennemgå forretningsmålene, f.eks. produktudvikling eller forretningspartnerskaber med tredjeparter. Ved at starte med forretningsmålene tilpasses risikostyringsprocessen til nuværende såvel som fremtidige mål.
Risikoidentifikation
Det andet skridt i udarbejdelsen af en risikostyringsplan består i at gennemgå digitale aktiver såsom systemer, netværk, software, enheder, leverandører og data. Ved at katalogisere disse aktiver kan teammedlemmerne derefter identificere risici for aktiverne. En risiko eller en usikker begivenhed kan være en positiv eller negativ tilstand, der har en finansiel, operationel eller omdømmemæssig indvirkning.
Risikovurdering
Når de har identificeret risici, skal risikostyringsteamet vurdere risikoen. Positive risici, som f.eks. tidlig produktlevering, kan også føre til negative risici, som f.eks. en kundes manglende evne til at overholde en betalingsplan. Organisationen er nødt til at forudse risici for at finde en måde at analysere deres potentielle indvirkning på.
Risikoanalyse
For hver identificeret og vurderet risiko skal teamet se på sandsynligheden for, at hændelsen vil indtræffe, og derefter vurdere konsekvenserne for virksomheden, hvis den indtræffer. Ved at multiplicere sandsynligheden med den anslåede virkning kan man få indsigt i en risikos virkning. En risiko med en lav sandsynlighed fører til en ødelæggende økonomisk virkning. I mellemtiden har en risiko med en høj sandsynlighed måske ingen konsekvenser. En del af den kvantitative eller kvalitative analyse består i at udarbejde en risikovurderingsmatrix. Dette giver risikostyringsteamet mulighed for at bruge risikoanalysen og tildele vurderinger som f.eks. høj, middel eller lav.
Risiktolerance
Efter tildeling af risikoklassifikationer arbejder teamet på at afgøre, om det vil acceptere, overføre, afbøde eller afvise en risiko. Teamet kan beslutte at acceptere en lav risiko, dvs. en potentiel hændelse, der sandsynligvis ikke vil indtræffe, og som kun vil have ringe konsekvenser, hvis den indtræffer. Det kan dog også vælge at afvise en høj risiko, dvs. en potentiel hændelse, som det er meget sandsynligt, at den vil indtræffe, og som vil få store konsekvenser.
Risikoreduktion
For accepterede risici skal teamet oprette et sæt strategier til risikoreduktion. For hver risiko, som en organisation accepterer eller overfører, skal den definere reaktioner på de problemer, der kan opstå. Inden for informationssikkerhed betyder det, at der skal fastsættes kontroller for at beskytte data mod cyberkriminelle. Således fungerer risikobegrænsningsstrategierne som en beredskabsplan, hvis hændelsen indtræffer for at hjælpe med at begrænse de definerede konsekvenser.
Risikostyringsplan
Risikostyringsplanen er et dokument, der indeholder alle risikovurderinger, analyser, tolerancer og risikobegrænsningsovervejelser.