W niniejszym wpisie podzielę się wnioskami jakie zapisałem w trakcie TechRisk 2018 po sesji roundtable: Wdrażanie procesu zarządzania ryzykiem – praktyczne doświadczenia. W trakcie sesji były poruszane następujące zagadnienia:

1. Jaka informacja o ryzyku jest cenna dla decydentów w firmie?
2. Od kogo i jak pozyskiwać wartościowe informacje o ryzyku?
3. Jak zapewnić porównywalność wyników szacowania ryzyka?
4. Jakie są kluczowe cechy narzędzia wspierającego szacowanie ryzyka?

Poniżej główne wnioski dla każdego z zagadnień.

1. Jaka informacja o ryzyku jest cenna dla decydentów w firmie?
   wnioski z dyskusji:
   • przede wszystkim – informacja „co stracimy”:
     • najlepiej wyrażona ilościowo:
       • pieniądzu
       • wpływie na EBITDA
     • ewentualnie jakościowo:
       • „ostra interwencja”, w rozumieniu interwencji regulatora
   • poziom wpływu na wizerunek
   • poziom
2. Od kogo i jak pozyskiwać wartościowe informacje o ryzyku?
   wnioski z dyskusji:
   • informacja powinna pochodzić od:
     • właścicieli informacji, procesu, produktu, aplikacji
     • osób na stanowisku kierowniczym, tzw. niskiego szczebla kierowniczego
     • komitetu ryzyka
   • uzyskanie potwierdzenia wyników szacowania – od kierownictwa wyższego szczebla
   • właścicielem ryzyka powinien być Departament (Dyrektor Departamentu)
3. Jak zapewnić porównywalność wyników szacowania ryzyka?
   wnioski z dyskusji:
   • stosowanie matrycy ryzyka
4. Jakie są kluczowe cechy narzędzia wspierającego szacowanie ryzyka?
   wnioski z dyskusji:
   • wsparcie w agregowaniu wyników szacowania ryzyka
   • wsparcie w porównywaniu ryzyk
   • zapewnienie szerokiego spojrzenia (np. ryzyko <–> incydent)
   • wizualizacja wyników
   • raportowanie
   • czytelny interfejs