Plan postępowania z ryzykiem – definicja i przykłady

Każda organizacja narażona jest na rozmaite zagrożenia. Nawet jeśli dysponuje odpowiednimi zasobami może się okazać, że mały incydent potrafi sparaliżować pracę przedsiębiorstwa. Z pomocą przychodzi plan postępowania z ryzykiem, który pozwala skuteczniej, efektywniej i w bardziej ustrukturyzowany sposób podejść do procesu zarządzania ryzykiem.

Ryzyko jest nieodłącznie związane z każdym projektem i każdą organizacją. Funkcjonujemy globalnie, korzystamy z nowoczesnych technologii, narażeni jesteśmy na kataklizmy naturalne i rozmaite awarie. Przedsiębiorstwa powinny wdrożyć strategię zarządzania ryzykiem, której jednym z elementów jest plan postępowania z ryzykiem. Plan zawiera analizę prawdopodobnych zagrożeń o dużym i niskim wpływie. Zawiera także strategie i mechanizmy, które pomogą uniknąć przerwania ciągłości działania na wypadek pojawienia się incydentów. Poniżej omawiamy, co powinno znaleźć się w takim dokumencie, oraz przedstawiamy wzór planu postępowania z ryzykiem.

Plan postępowania z ryzykiem – co to jest?

Plan zarządzania ryzykiem

(ang. Risk Management Plan, w skrócie RMP) jest dokumentem, w którym znajduje się zbiór czynności niezbędnych do stworzenia i zorganizowania procesu zarządzania ryzykiem. Jego zadaniem jest nie tylko ustandaryzowanie procesów, ale też stworzenie infrastruktury organizacyjnej. Plan identyfikuje i dzieli potencjalne ryzyka i zagrożenia na podstawie prawdopodobieństwa ich wystąpienia oraz wagi (to tzw. macierz ryzyka), uwzględnia również mechanizmy rozwiązania. Dzięki temu możliwe jest przygotowanie sposobów działania na wypadek wystąpienia zagrożeń, w tym eliminacji, izolacji lub zmniejszenia ryzyka, a także określenie rezerw czasowych i pieniężnych niezbędnych dla zachowania bezpieczeństwa i ciągłości działania.

Plan postępowania z ryzykiem powinien określać m.in.:
  • narzędzia, sposoby i źródła danych niezbędne do zarządzania ryzykiem
  • role i obowiązki pracowników
  • system oceny niepożądanych zdarzeń
  • kryteria określające czas, kiedy podejmowane są działania przeciw powstałemu ryzyk
  • sposób reakcji na ryzyko i monitorowania ryzyka
  • sposób tworzenia dokumentacji

Plany zarządzania ryzykiem powinny być okresowo przeglądane przez zespół projektowy, a najlepiej przez zewnętrznych audytorów, aby uniknąć przestarzałości i braku odzwierciedlenia rzeczywistych potencjalnych zagrożeń projektowych.

Opracowania planu postępowania z ryzykiem – od czego zacząć?

Są trzy kroki opracowania planu postępowania z ryzykiem:
  • identyfikacja ryzyka
  • ocena ryzyka
  • opracowanie planu postępowania z ryzykiem z uwzględnieniem reakcji, kontroli i monitorowania ryzyk
Proces zarządzania ryzykiem powinien być usystematyzowany i udokumentowany. Aby stworzyć plan postępowania ryzykiem, należy zebrać i przeanalizować takie dokumenty jak:
  • polityka zarządzania ryzykiem w organizacji
  • rejestr ról, obowiązków i odpowiedzialności pracowników
  • struktura podziału pracy
  • szablon planu zarządzania w przedsiębiorstwie (jeżeli istnieje)
Rozpoczęcie:

Na początku prac należy wyznaczyć harmonogram działań oraz ustalić sposoby komunikacji i przepływu dokumentów pomiędzy osobami biorącymi udział w procesie. Dalszy etap zależy od tego, czy organizacja ma już plan postępowania z ryzykiem (wówczas wymagać on będzie aktualizacji), czy może potrzebuje nowego. Analiza dokumentacji pozwoli określić i ocenić procedury, które funkcjonują w organizacji. Powinna uwzględniać również sposób, w jaki jest komunikowana i czy pracownicy są świadomi, że taki plan w ogóle istnieje; jeśli tak, to jaka jest świadomość na ten temat.

Analizę dokumentacji i opracowanie planu postępowania ryzykiem możesz zlecić zewnętrznym audytorom. W PBSG na co dzień zajmujemy się zagadnieniami z obszaru zarządzania ryzykiem i pomagamy polskim organizacjom sprawniej zarządzać ryzykiem i zachować ciągłość działania. Dostarczamy metodykę, narzędzia, wiedzę i zespół ekspertów, którzy przeprowadzają cały proces sprawnie, bez zakłócania pracy organizacji. Więcej informacji znajdziesz w naszej ofercie.

Przykłady planu postępowania z ryzykiem

Najprostszy wzór planu zarządzania ryzykiem uwzględnia 6 głównych elementów:
  1. Cel.
  2. Zadanie.
  3. Identyfikacja ryzyka (zdarzenie, następstwo, prawdopodobieństwo).
  4. Analiza ryzyka (ocena następstw, ocena prawdopodobieństwa, poziom ryzyka).
  5. Ewaluacja ryzyk.
  6. Postępowanie z ryzykiem.

Należy zaznaczyć, że w stosunku do zidentyfikowanych ryzyk organizacja może wybrać jeden z czterech wariantów postępowania z ryzykiem:

  • zapobieganie, czyli działania polegające na zmniejszeniu poziomu ryzyka (eliminacja podatności)
  • transfer ryzyka, czyli przeniesienie ryzyka na inną jednostkę (ubezpieczyciel, outsourcing)
  • unikanie działań wywołujących ryzyko o nieakceptowalnym poziomie
  • tolerowanie ryzyka, gdy trudno mu przeciwdziałać lub gdy koszty planowanych działań doskonalących mogą przekroczyć przewidywane korzyści
Innym przykładem planu postępowania ryzykiem jest ten uwzględniający zasoby organizacji, na przykład sprzęt:
  1. Nazwa procesu (np. obsługa klienta).
  2. Zaangażowane zasoby.
  3. Stosowane zabezpieczenia.
  4. Zagrożenia.
  5. Podatności.
  6. Waga ryzyka.
  7. Prawdopodobieństwo.
  8. Ryzyko

Każdy plan postępowania z ryzykiem powinien być dostosowany do specyfiki i potrzeb organizacji, dlatego nie ma jednego wzoru, który sprawdziłby się u każdego. Najważniejsze to przy opracowaniu planu uwzględnić te elementy, które mogą mieć wpływ na kluczowe obszary organizacji. Sam plan postępowania z ryzykiem powinien uwzględniać schemat planu zarządzania ryzykiem oraz określać tolerancję wobec ryzyka. Ważnymi punktami w takim dokumencie są metody reagowania na ryzyko oraz określenie sposobów nadzoru i kontroli ryzyka.

Dlaczego potrzebujesz planu postępowania z ryzykiem?

Plan postępowania z ryzykiem pozwala szybciej zidentyfikować i zareagować na zdarzenia, które mogą wpłynąć na ciągłość działania organizacji lub jej wizerunek. Spisana procedura w postaci dokumentu jest też łatwiej przyswajalna dla pracowników. Dzięki przejrzystej formie łatwiej też im wyuczyć się wzorców zachowań i reakcji na określone ryzyka.

Zarządzanie ryzykiem wraz z planem postępowania jest niezbędne, abyś miał pewność, że system jest skuteczny, a Twoja organizacja jest odporna na zagrożenia naruszające poufność, dostępność i integralność informacji.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
CZYTAJ, OGLĄDAJ, SUBSKRYBUJ
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.