La fase di pianificazione permette di farsi un'idea della situazione attuale e futura della gestione dei rischi all'interno dell'impresa.
Nella fase di pianificazione vengono vagliate le informazioni e la documentazione esistente sulla gestione del rischio dell’azienda. In tal modo è possibile procurarsi una panoramica sulla situazione attuale e sull’organizzazione futura della gestione del rischio. Sulla base di questi risultati e della procedura di selezione operata, segue la pianificazione del progetto.
Il management è tenuto a definire obiettivi aziendali chiari nel quadro dell'organizzazione. La valutazione del rischio costituisce la base per riconoscere potenziali rischi e opportunità che portano al raggiungimento degli obiettivi aziendali. Obiettivi che il management è tenuto a redigere imperativamente in forma scritta.
Prima di mettere in atto la fase di pianificazione è importante conoscere quali elementi relativi alla gestione del rischio sono già disponibili e quali obiettivi principali devono essere raggiunti. Inoltre, vanno considerati i seguenti aspetti:
- Come è organizzata l'azienda?
- Quali strumenti di gestione sono già utilizzati?
- L'impresa ha già effettuato delle valutazioni dei rischi?
- In che modo sono stati identificati, monitorati e documentati i rischi principali?
- Come si presenta il settore informatico e in che modo vengono integrati i rischi informatici specifici nella valutazione del rischio?
L'attuazione del progetto di gestione del rischio non può prescindere dal sostegno della direzione e del consiglio di amministrazione. Senza il loro supporto il progetto potrebbe subire dei ritardi e persino fallire. Ruoli e responsabilità vanno assegnati tenendo conto delle funzioni chiave all'interno del progetto stesso. Il tutto va definito per iscritto e vanno informati i collaboratori responsabili.