I har som virksomhed en unik risikoprofil. For at kunne designe en omkostningseffektiv imødegåelse af risikoprofilen kræver det, at I som virksomhed forstår risikobilledet og hvilke tiltag, der vil være mest effektive for at nedbringe risikoen til et acceptabelt niveau.
En forretningsbaseret risikovurdering gør det muligt at sikre dig troværdig rapportering på din virksomheds risikoappetit og fremtidige risikohåndtering.
METODEVALG OG OPBYGNING
God risikostyring starter med godt design. Her er det vigtigt at få fastlagt den kontekst, som risikostyringen skal fungere i og få fastlagt de organisatoriske, fysiske og tekniske rammer for risikostyringen. Kvaliteten af den færdige risikovurdering er meget afhængig af korrekt metodevalg tilpasset organisationens størrelse og kompleksitet.
Derefter er det vigtigt at vurdere, hvad output fra processen skal være. Det drejer sig fx om organisations ønsker til rapporteringsniveau, kriterier for risikotolerance, metodevalg og fastlæggelse af skalaer.
UDFØRELSE AF RISIKOVURDERING
Gennemførelsen af risikovurderingen tager udgangspunkt i den aftalte kontekst. De udvalgte forretningsprocesser med tilhørende systemer analyseres og evalueres med henblik på at fastlægge forretningskonsekvenserne på procesniveau samt vurdering af sandsynligheder for trusler på systemniveauet. Begge dele grupperes i forhold til tab af fortrolighed, integritet og tilgængelighed.
For at understøtte en hurtig og effektiv gennemførelse af konsekvens- og sandsynlighedsvurderinger kan disse med fordel gennemføres i ControlManager™. Derved bliver det også nemt at tage udgangspunkt i resultaterne de efterfølgende år.
RAPPORTERING OG RISIKOHÅNDTERING
Med udgangspunkt i risikovurderingsresultaterne kan de enkelte risici håndteres som:
- Acceptér (risikoen accepteres, og der foretages ikke yderligere).
- Undgå (risikoen undgås ved at stoppe eller ændre den aktivitet, som er årsag til risikoen).
- Flyt (risikoen overføres til en tredjepart, fx ved hjælp af forsikring, outsourcing eller lignende).
- Kontrollér (risikoen kontrolleres ved at indføre foranstaltninger, som fjerner eller reducerer sandsynligheden eller konsekvenserne).
Disse beslutninger giver input til aktivitetsplanen og dermed årshjulet, der er jeres samlede oversigt over jeres compliance-arbejde.
OPFØLGNING PÅ RISICI
Forudsætninger, systemer, trusler, sårbarheder og konsekvenser kan hurtigt ændre sig og give et nyt risikobillede, så det er vigtigt, at der løbende bliver fulgt op. Denne løbende monitorering af risikobilledet kan med fordel udføres i ControlManager™, som sikrer et overblik over status på analyser og udsendelse af notifikationer.
