Julkaistu maaliskuu 25, 2019 – 2 min luettu
Riskienhallintasuunnitelma on kirjallinen asiakirja, jossa kerrotaan yksityiskohtaisesti organisaation riskienhallintaprosessista. Prosessi alkaa koko organisaation sidosryhmistä koostuvan ryhmän perustamisella, joka tarkastelee organisaation mahdollisia riskejä. Tähän sidosryhmäryhmään tulisi kuulua ylin johto, säännösten noudattamisesta vastaava henkilö ja mahdolliset osastojen johtajat. Jos organisaatio kehittää ohjelmistoja, mukaan olisi otettava myös yksi projektipäällikkö kustakin projektiryhmästä tarkastelemaan projektinhallintaa ja vastaamaan projektin riskeihin.
Kun tiimi on perustettu, se voi aloittaa riskienhallintaprosessin työstämisen.
Tavoitteiden asettaminen
Aluksi tiimin jäsenten on tarkasteltava liiketoiminnan tavoitteita, kuten tuotekehitystä tai kolmannen osapuolen liiketoimintakumppanuuksia. Kun aloitetaan liiketoimintatavoitteista, riskienhallintaprosessi sovitetaan yhteen sekä nykyisten että tulevien tavoitteiden kanssa.
Riskien tunnistaminen
Kakkosvaihe riskienhallintasuunnitelman luomisessa on digitaalisen omaisuuden, kuten järjestelmien, verkkojen, ohjelmistojen, laitteiden, toimittajien ja tietojen, tarkastelu. Näiden omaisuuserien luettelointi antaa sitten tiimin jäsenille mahdollisuuden tunnistaa omaisuuteen kohdistuvat riskit. Riski eli epävarma tapahtuma voi olla positiivinen tai negatiivinen tila, jolla on taloudellisia, toiminnallisia tai maineeseen liittyviä vaikutuksia.
Riskien arviointi
Riskien tunnistamisen jälkeen riskienhallintatiimin on arvioitava riski. Positiiviset riskit, kuten tuotteen aikainen toimitus, voivat johtaa myös negatiivisiin riskeihin, kuten siihen, että asiakas ei pysty noudattamaan maksuaikataulua. Organisaation on ennakoitava riskit, jotta se voi löytää keinon analysoida niiden mahdollisia vaikutuksia.
Riskianalyysi
Jokaisen tunnistetun ja arvioidun riskin osalta tiimin on tarkasteltava tapahtuman toteutumisen todennäköisyyttä ja sen jälkeen arvioitava vaikutukset liiketoimintaan, jos se toteutuu. Kertomalla todennäköisyys arvioidulla vaikutuksella voidaan saada käsitys riskin vaikutuksesta. Riski, jonka todennäköisyys on pieni, johtaa tuhoisaan taloudelliseen vaikutukseen. Riskillä, jonka todennäköisyys on suuri, ei välttämättä ole mitään vaikutusta. Osa kvantitatiivista tai kvalitatiivista analyysia on riskinarviointimatriisin luominen. Sen avulla riskienhallintaryhmä voi käyttää riskianalyysiä ja antaa luokituksia, kuten korkea, keskisuuri tai matala.
Riskin sietokyky
Riskiluokitusten antamisen jälkeen tiimi pyrkii päättämään, hyväksyykö se riskin, siirtääkö se sen, lieventääkö se sitä vai kieltäytyykö se siitä. Tiimi voi päättää hyväksyä alhaisen riskin, eli mahdollisen tapahtuman, jonka toteutuminen on epätodennäköistä ja jonka vaikutus olisi vähäinen, jos se toteutuisi. Se voi kuitenkin myös kieltäytyä korkeasta riskistä, eli mahdollisesta tapahtumasta, jonka toteutuminen on erittäin todennäköistä ja jolla olisi suuri vaikutus.
Riskien lieventäminen
Hyväksyttyjä riskejä varten ryhmän on luotava joukko riskien lieventämisstrategioita. Jokaiselle riskille, jonka organisaatio hyväksyy tai siirtää, sen on määriteltävä vastaukset ongelmiin, joita voi ilmetä. Tietoturvassa tämä tarkoittaa kontrollien asettamista tietojen suojaamiseksi tietoverkkorikollisilta. Näin ollen riskien lieventämisstrategiat toimivat varasuunnitelmana tapahtuman sattuessa ja auttavat rajoittamaan määriteltyjä vaikutuksia.
Riskienhallintasuunnitelma
Riskienhallintasuunnitelma on asiakirja, joka sisältää kaikki riskien arviointiin, analyysiin, sietokykyyn ja lieventämiseen liittyvät näkökohdat.