Március 25, 2019 – 2 min olvasott
A kockázatkezelési terv egy olyan írásos dokumentum, amely részletezi a szervezet kockázatkezelési folyamatát. Ez a folyamat a szervezeten belüli érdekeltekből álló csoport létrehozásával kezdődik, amely áttekinti a szervezetet érintő potenciális kockázatokat. Ennek az érdekeltekből álló csapatnak tartalmaznia kell a felső vezetést, a megfelelőségi tisztviselőt és minden részlegvezetőt. Ha a szervezet szoftvert fejleszt, akkor minden projektcsapatból egy-egy projektmenedzsert is be kell vonni a projektmenedzsment felülvizsgálatára és a projektkockázatokra való reagálásra.
A csapat létrehozása után megkezdheti a kockázatkezelési folyamat kidolgozását.
Célkitűzések meghatározása
Először a csapattagoknak át kell tekinteniük az üzleti célokat, például a termékfejlesztést vagy a harmadik féllel való üzleti partnerséget. Az üzleti célkitűzésekkel való kezdéssel a kockázatkezelési folyamat igazodik a jelenlegi és a jövőbeli célokhoz is.
Kockázatok azonosítása
A kockázatkezelési terv létrehozásának második lépése a digitális eszközök, például a rendszerek, hálózatok, szoftverek, eszközök, szállítók és adatok áttekintése. Ezeknek az eszközöknek a katalogizálása ezután lehetővé teszi a csapat tagjai számára, hogy azonosítsák az eszközöket érintő kockázatokat. A kockázat vagy bizonytalan esemény lehet olyan pozitív vagy negatív állapot, amely pénzügyi, működési vagy hírnevet érintő hatással jár.
Kockázatértékelés
A kockázatok azonosítása után a kockázatkezelési csapatnak értékelnie kell a kockázatot. A pozitív kockázatok, mint például a termék korai leszállítása, negatív kockázatokat is eredményezhetnek, mint például az ügyfél képtelensége a fizetési ütemterv betartására. A szervezetnek előre kell látnia a kockázatokat, hogy módot találjon a lehetséges hatásuk elemzésére.
Kockázatelemzés
Minden egyes azonosított és értékelt kockázat esetében a csapatnak meg kell vizsgálnia az esemény bekövetkezésének valószínűségét, majd meg kell becsülnie az üzletre gyakorolt hatásokat, ha az esemény bekövetkezik. A valószínűség és a becsült hatás szorzata betekintést adhat a kockázat hatásába. Egy alacsony valószínűségű kockázat pusztító pénzügyi hatással jár. Eközben egy nagy valószínűségű kockázatnak lehet, hogy nincs hatása. A mennyiségi vagy minőségi elemzés része a kockázatértékelési mátrix elkészítése. Ez lehetővé teszi a kockázatkezelési csoport számára, hogy felhasználja a kockázatelemzést, és olyan minősítéseket rendeljen hozzá, mint például magas, közepes vagy alacsony.
Kockázattűrés
A kockázati minősítések hozzárendelése után a csapat azon dolgozik, hogy meghatározza, hogy elfogadja, átadja, mérsékelje vagy elutasítsa a kockázatot. A csapat dönthet úgy, hogy elfogad egy alacsony kockázatot, egy olyan potenciális eseményt, amelynek bekövetkezése nem valószínű, és ha mégis bekövetkezne, annak csak csekély hatása lenne. Az is előfordulhat azonban, hogy visszautasít egy magas kockázatot, azaz egy olyan lehetséges eseményt, amely nagy valószínűséggel bekövetkezik, és nagy hatással járna.
Kockázatcsökkentés
Az elfogadott kockázatok esetében a csapatnak létre kell hoznia egy sor kockázatcsökkentési stratégiát. Minden egyes kockázatra, amelyet a szervezet elfogad vagy átad, meg kell határoznia a felmerülő problémákra adott válaszokat. Az információbiztonságban ez azt jelenti, hogy olyan ellenőrzéseket kell meghatározni, amelyek megvédik az adatokat a kiberbűnözőktől. Így a kockázatcsökkentési stratégiák vészhelyzeti tervként működnek az esemény bekövetkezése esetén, hogy segítsenek korlátozni a meghatározott hatást.
Kockázatkezelési terv
A kockázatkezelési terv egy olyan dokumentum, amely tartalmazza az összes kockázatértékelési, elemzési, tűrési és kockázatcsökkentési megfontolást.