gepubliceerd 25 maart 2019 – 2 min gelezen
Een risicomanagementplan is een schriftelijk document waarin het risicomanagementproces van de organisatie in detail wordt beschreven. Dit proces begint met het creëren van een team van belanghebbenden in de hele organisatie om potentiële risico’s voor de organisatie te beoordelen. Dit team van belanghebbenden moet het senior management, de compliance officer en alle afdelingsmanagers omvatten. Als de organisatie software ontwikkelt, moet ook een projectmanager van elk projectteam worden opgenomen om het projectbeheer te beoordelen en op projectrisico’s te reageren.
Als het team eenmaal is samengesteld, kan het aan de slag met het risicobeheerproces.
Doelstellingen bepalen
Eerst moeten de teamleden de zakelijke doelstellingen beoordelen, zoals productontwikkeling of zakelijke partnerschappen met derden. Door met bedrijfsdoelstellingen te beginnen, stemt het risicomanagementproces zich af op zowel huidige als toekomstige doelstellingen.
Risico-identificatie
De tweede stap in het maken van een risicobeheerplan ligt in het beoordelen van digitale bedrijfsmiddelen, zoals systemen, netwerken, software, apparaten, leveranciers en gegevens. Door deze activa te catalogiseren, kunnen de teamleden de risico’s voor de activa identificeren. Een risico, of onzekere gebeurtenis, kan een positieve of negatieve omstandigheid zijn die een financiële, operationele, of reputatie-impact heeft.
Risicobeoordeling
Nadat de risico’s zijn geïdentificeerd, moet het risicomanagementteam het risico beoordelen. Positieve risico’s, zoals een vroege levering van een product, kunnen ook leiden tot negatieve risico’s, zoals het onvermogen van een klant om aan een betalingsschema te voldoen. De organisatie moet risico’s voorzien om een manier te vinden om hun potentiële impact te analyseren.
Risicoanalyse
Voor elk risico dat is geïdentificeerd en beoordeeld, moet het team kijken naar de waarschijnlijkheid dat de gebeurtenis zich zal voordoen en vervolgens de gevolgen voor het bedrijf inschatten als deze zich voordoet. Vermenigvuldiging van de waarschijnlijkheid met de geschatte impact kan inzicht geven in het effect van een risico. Een risico met een lage waarschijnlijkheid leidt tot een verwoestende financiële impact. Een risico met een hoge waarschijnlijkheid heeft daarentegen misschien geen impact. Onderdeel van de kwantitatieve of kwalitatieve analyse is het opstellen van de risicobeoordelingsmatrix. Dit stelt het risicobeheerteam in staat de risicoanalyse te gebruiken en ratings toe te kennen zoals hoog, gemiddeld, of laag.
Risicotolerantie
Na het toekennen van risicoclassificaties gaat het team bepalen of het een risico zal accepteren, overdragen, beperken of weigeren. Het team kan besluiten een laag risico te aanvaarden, een potentiële gebeurtenis die zich waarschijnlijk niet zal voordoen en die weinig gevolgen zou hebben als hij zich voordeed. Het kan echter ook besluiten een hoog risico te weigeren, een potentiële gebeurtenis die zich hoogstwaarschijnlijk zal voordoen en een grote impact zou hebben.
Risicobeperking
Voor geaccepteerde risico’s moet het team een reeks risicobeperkingsstrategieën opstellen. Voor elk risico dat een organisatie aanvaardt of overdraagt, moet het reacties op problemen die zich kunnen voordoen definiëren. In informatiebeveiliging betekent dit het instellen van controles om gegevens te beschermen tegen cybercriminelen. De risicobeperkingsstrategieën fungeren dus als een noodplan voor het geval de gebeurtenis zich voordoet om de vastgestelde impact te helpen beperken.
Risicomanagementplan
Het risicomanagementplan is een document dat alle risicobeoordelings-, analyse-, tolerantie- en risicobeperkingsoverwegingen bevat.