Published March 25, 2019 – 2 min read
Plan zarządzania ryzykiem to pisemny dokument, który szczegółowo opisuje proces zarządzania ryzykiem w organizacji. Proces ten rozpoczyna się od utworzenia zespołu interesariuszy w całej organizacji w celu dokonania przeglądu potencjalnych zagrożeń dla organizacji. Zespół ten powinien obejmować kierownictwo wyższego szczebla, specjalistę ds. zgodności oraz kierowników wszystkich działów. Jeśli organizacja rozwija oprogramowanie, wówczas jeden kierownik projektu z każdego zespołu projektowego powinien być również włączony do przeglądu zarządzania projektem i reagowania na ryzyka związane z projektem.
Po utworzeniu, zespół może rozpocząć pracę nad procesem zarządzania ryzykiem.
Ustalenie celów
Po pierwsze, członkowie zespołu muszą dokonać przeglądu celów biznesowych, takich jak rozwój produktu lub partnerstwa biznesowe z osobami trzecimi. Zaczynając od celów biznesowych, proces zarządzania ryzykiem dostosowuje się do bieżących i przyszłych celów.
Identyfikacja ryzyka
Drugi krok w tworzeniu planu zarządzania ryzykiem polega na przeglądzie aktywów cyfrowych, takich jak systemy, sieci, oprogramowanie, urządzenia, dostawcy i dane. Skatalogowanie tych aktywów pozwala członkom zespołu na zidentyfikowanie zagrożeń dla tych aktywów. Ryzyko, lub niepewne zdarzenie, może być pozytywnym lub negatywnym warunkiem, który ma wpływ na finanse, działalność operacyjną lub reputację.
Ocena ryzyka
Po zidentyfikowaniu ryzyka, zespół zarządzania ryzykiem musi ocenić ryzyko. Pozytywne ryzyka, takie jak wczesna dostawa produktu, mogą również prowadzić do negatywnych ryzyk, takich jak niezdolność klienta do dotrzymania harmonogramu płatności. Organizacja musi przewidzieć ryzyka, aby znaleźć sposób na przeanalizowanie ich potencjalnego wpływu.
Analiza ryzyka
Dla każdego zidentyfikowanego i ocenionego ryzyka, zespół musi spojrzeć na prawdopodobieństwo wystąpienia zdarzenia, a następnie oszacować wpływ na biznes, jeśli ono wystąpi. Pomnożenie prawdopodobieństwa przez szacowany wpływ może dać wgląd w efekt ryzyka. Ryzyko o niskim prawdopodobieństwie wystąpienia prowadzi do druzgocących skutków finansowych. Z kolei ryzyko o wysokim prawdopodobieństwie może nie mieć żadnego wpływu. Częścią analizy ilościowej lub jakościowej jest stworzenie matrycy oceny ryzyka. Pozwala to zespołowi zarządzającemu ryzykiem na wykorzystanie analizy ryzyka i przypisanie ocen takich jak wysoka, średnia lub niska.
Tolerancja ryzyka
Po przypisaniu ocen ryzyka zespół pracuje nad określeniem, czy zaakceptuje, przeniesie, złagodzi lub odrzuci ryzyko. Zespół może zdecydować się na zaakceptowanie niskiego ryzyka, czyli potencjalnego zdarzenia, którego wystąpienie jest mało prawdopodobne i które miałoby niewielki wpływ, gdyby wystąpiło. Jednak może również odrzucić wysokie ryzyko, czyli potencjalne zdarzenie, którego wystąpienie jest wysoce prawdopodobne i które miałoby duży wpływ.
Łagodzenie ryzyka
Dla zaakceptowanych ryzyk, zespół musi stworzyć zestaw strategii łagodzenia ryzyka. Dla każdego ryzyka, które organizacja akceptuje lub przenosi, musi zdefiniować reakcje na problemy, które mogą wystąpić. W bezpieczeństwie informacji oznacza to ustalenie kontroli, które mają chronić dane przed cyberprzestępcami. Tak więc, strategie ograniczania ryzyka działają jako plan awaryjny w przypadku wystąpienia zdarzenia, aby pomóc ograniczyć zdefiniowany wpływ.
Plan zarządzania ryzykiem
Plan zarządzania ryzykiem jest dokumentem, który zawiera wszystkie oceny ryzyka, analizy, tolerancje i rozważania dotyczące łagodzenia.