In der Planungsphase werden existierende Informationen und Dokumentationen über das Risikomanagement der Firma gesichtet.
Damit verschafft man sich ein Bild über die aktuelle Situation und die zukünftige Ausgestaltung des Risikomanagements. Basierend auf diesen Ergebnissen und dem durchgeführten Auswahlverfahren erfolgt die Projektplanung.
Klare Unternehmensziele müssen im Rahmen der Organisation vom Management festgelegt werden. Die Risikobeurteilung ist die Grundlage für die Erkennung von potenziellen Risiken und Chancen auf dem Weg zu den Unternehmenszielen. Die Ziele sollten dabei nicht nur in den Köpfen des Managements verankert sein, sondern auf Papier festgehalten werden.
Bevor die Planung durchgeführt wird, ist es wichtig zu wissen, was bereits zum Thema Risikomanagement vorhanden ist, und welche wesentlichen Ziele damit erreicht werden sollen. Folgende Aspekte sind unter anderem zu berücksichtigen:
- Wie ist das Unternehmen organisiert?
- Welche Führungsinstrumente sind im Einsatz?
- Hat das Unternehmen bereits Risikobewertungen durchgeführt?
- Wie wurden die wesentlichen Risiken identifiziert, überwacht und dokumentiert?
- Wie sieht die IT-Landschaft aus und wie werden IT-spezifische Risiken in die Risikobewertung integriert?
Die Umsetzung des Risikomanagement-Projekts ist von der Unterstützung der Geschäftsleitung und des Verwaltungsrates abhängig. Ohne deren Unterstützung könnte sich das Projekt verzögern oder sogar scheitern. Die Rollen und Verantwortlichkeiten sind eine Auswahl von Schlüsselverantwortlichkeiten. Diese sollten schriftlich festgehalten und die betreffenden Mitarbeiter informiert werden.