Akademia zarządzania ryzykiem

Wprowadzenie

• Ryzyko – szanse i zagrożenia
• Czynniki ryzyka
• Czy warto zarządzać ryzykiem? Korzyści i ograniczenia
• Podstawowe zasady skutecznego zarządzania ryzykiem

Rodzaje ryzyka i modele zarządzania ryzykiem

• Ryzyko strategiczne a ryzyko operacyjne
• Różne klasyfikacje ryzyka
• Wybrane modele zarządzania ryzykiem, w tym COSO-ERM i ISO 31000 – zwrócenie uwagi na najważniejsze elementy, bez których nie da się dobrze zarządzać ryzykiem

Identyfikacja ryzyka

• Cele organizacji
• Identyfikacja zdarzeń
• Wybrane techniki pomocne przy identyfikacji ryzyka, w tym mapa procesu i analiza PESTLE
• Rejestr ryzyka

Analiza i ocena ryzyka

• Analiza ryzyka przy pomocy dwóch parametrów: wpływu i prawdopodobieństwa
• Zasady tworzenia skali ocen
• Wykorzystanie informacji zarządczych do oceny ryzyka
• Interpretacja wyników

Postępowanie z ryzykiem

• Ustalenie apetytu na ryzyko
• Możliwe sposoby postępowania z ryzykiem: akceptacja, unikanie, dzielenie się, ograniczenie
• Dobór reakcji odpowiedniej do danego ryzyka
• Konsekwencje złego zarządzania ryzykiem

Rozwiązania organizacyjne

• Komunikacja wewnętrzna
• Kultura organizacji
• Podział ról w procesie zarządzania ryzykiem

Wprowadzenie

• Krótkie przypomnienie, na czym polega proces zarządzania ryzykiem

Określenie poziomu dojrzałości zarządzania ryzykiem w organizacji

• Świadomość ryzyka – jak jest postrzegane w całej organizacji
• Podział ról – kto o czym decyduje; czy właściwie rozdzielono obowiązki
• Polityka, procedury i inne narzędzia – na ile są stosowane na co dzień
• Kultura organizacji

Audyt poszczególnych etapów procesu:

(1) Identyfikacja ryzyka

• Cele a ryzyko
• Wewnętrzny przepływ informacji
• Rejestr ryzyk – narzędzie pracy czy kolejna tabelka do wypełnienia

(2) Analiza i ocena ryzyka

• Problemy z samooceną ryzyka
• Skala ocen – czy dla wszystkich „średnie ryzyko” oznacza to samo
• „Czarne łabędzie” i inne rzadkie zjawiska

(3) Reakcja na ryzyko

• Apetyt na ryzyko – czy wszyscy o nim wiedzą
• Właściciel ryzyka – kto decyduje o tym, co należy zrobić
• Ryzyka powiązane – czy działania wobec nich są koordynowane

(4) Monitoring i komunikacja

• Skąd wiadomo, że organizacja idzie w dobrym kierunku
• KPI vs. KRI
• Raportowanie – czy pomaga podejmować lepsze decyzje

Nadzór nad procesem zarządzania ryzkiem ICT:

• wymagania regulacyjne i rola kadry zarządzającej;
• „ramy zarządzania ryzykiem” w Rozporządzeniu DORA;
• strategia i polityka zarządzania ;
• rola kadry zarządzającej i rola ekspertów;
• ocena ryzyka ICT przy nowych inicjatywach biznesowych – wymagania AI Act.
• znaczenie dokumentacji w procesie oceny ryzyka.

Narzędzia i metodyki zarządzania ryzykiem ICT:

• znaczenie modelu referencyjnego (risk framework) w zarządzaniu ryzykiem ICT;
• jakościowa i ilościowa wycena ryzyka i ich zastosowanie do ryzyka ICT;
• wyzwania związane ze stosowaniem jakościowych metod oceny ryzyka;
• prezentacja rezultatów oceny ryzyka kadrze zarządzającej;
• rejestr ryzyka ICT i jego znaczenie w monitorowaniu ryzyka.

Wybrane narzędzia do identyfikacji, analizy i prezentacji ryzyka ICT:

• kwestionariusze i formularze do oceny ryzyka;
• ocena ekspercka;
• analiza scenariuszowa;
• DPIA (Data Privacy Risk Assesment) z RODO i jego rola w zarządzaniu ryzykiem ICT.

Ocena ryzyka dostawców usług:

• wyzywania związane z organizacją zarządzania ryzykiem dostawców;
• narzędzia i źródła informacji do oceny ryzyka dostawców;
• ocena i weryfikowanie informacji – rola audytu IT.