Publicat 25 martie 2019 – 2 min citește
Un plan de management al riscurilor este un document scris care detaliază procesul de management al riscurilor din cadrul organizației. Acest proces începe prin crearea unei echipe de părți interesate din întreaga organizație pentru a analiza riscurile potențiale pentru organizație. Această echipă de părți interesate ar trebui să includă conducerea superioară, ofițerul de conformitate și toți directorii de departamente. În cazul în care organizația dezvoltă software, atunci ar trebui să fie inclus și un manager de proiect din fiecare echipă de proiect pentru a revizui managementul proiectului și a răspunde la riscurile proiectului.
După ce a fost creată, echipa poate începe să lucreze la procesul de gestionare a riscurilor.
Stabilește obiectivele
În primul rând, membrii echipei trebuie să revizuiască obiectivele de afaceri, cum ar fi dezvoltarea de produse sau parteneriate de afaceri cu terți. Începând cu obiectivele de afaceri, procesul de gestionare a riscurilor se aliniază la obiectivele actuale, precum și la cele viitoare.
Identificarea riscurilor
Al doilea pas în crearea unui plan de gestionare a riscurilor constă în revizuirea activelor digitale, cum ar fi sistemele, rețelele, software-ul, dispozitivele, furnizorii și datele. Catalogarea acestor active permite apoi membrilor echipei să identifice riscurile la adresa activelor. Un risc, sau un eveniment incert, poate fi o condiție pozitivă sau negativă care are un impact financiar, operațional sau asupra reputației.
Evaluarea riscurilor
După identificarea riscurilor, echipa de gestionare a riscurilor trebuie să le evalueze. Riscurile pozitive, cum ar fi livrarea anticipată a produsului, pot conduce, de asemenea, la riscuri negative, cum ar fi incapacitatea unui client de a respecta un grafic de plată. Organizația trebuie să prevadă riscurile pentru a găsi o modalitate de a analiza impactul potențial al acestora.
Analiza riscurilor
Pentru fiecare risc identificat și evaluat, echipa trebuie să analizeze probabilitatea ca evenimentul să se producă și apoi să estimeze impactul asupra afacerii în cazul în care acesta se produce. Înmulțirea probabilității cu impactul estimat poate oferi o perspectivă asupra efectului unui risc. Un risc cu o probabilitate scăzută duce la un impact financiar devastator. Între timp, un risc cu o probabilitate mare poate să nu aibă niciun impact. O parte a analizei cantitative sau calitative constă în crearea matricei de evaluare a riscurilor. Aceasta permite echipei de gestionare a riscurilor să utilizeze analiza riscurilor și să atribuie calificative precum ridicat, mediu sau scăzut.
Toleranța la risc
După atribuirea ratingurilor de risc, echipa lucrează pentru a determina dacă va accepta, transfera, atenua sau refuza un risc. Echipa poate decide să accepte un risc scăzut, un eveniment potențial care nu este probabil să se producă și care ar avea un impact redus dacă s-ar produce. Cu toate acestea, ea poate, de asemenea, să refuze un risc ridicat, un eveniment potențial care este foarte probabil să se producă și care ar avea un impact mare.
Reducerea riscurilor
Pentru riscurile acceptate, echipa trebuie să creeze un set de strategii de reducere a riscurilor. Pentru fiecare risc pe care o organizație îl acceptă sau îl transferă, aceasta trebuie să definească răspunsuri la problemele care pot apărea. În domeniul securității informațiilor, acest lucru înseamnă stabilirea unor controale pentru a proteja datele de infractorii cibernetici. Astfel, strategiile de atenuare a riscurilor acționează ca un plan de contingență în cazul în care evenimentul se produce pentru a ajuta la limitarea impactului definit.
Planul de management al riscurilor
Planul de management al riscurilor este un document care conține toate considerațiile privind evaluarea, analiza, toleranța și atenuarea riscurilor.