TOP情報セキュリティ> リスクマネジメントが論じられる分野
リスクマネジメント
トピックと手法から学ぶリスクマネジメント

第1回:リスクアセスメントの範囲の策定
 著者:プライド   三澤 正司   2006/7/21
前のページ  1  2   3  次のページ
リスクマネジメントが論じられる分野

   リスクマネジメントは次のように様々なリスクの中で論じられている。
  • 保険のリスク
  • 会計不信のリスク
  • 危機管理におけるリスク
  • 情報セキュリティのリスク
  • 金融リスク
  • 安全性、品質管理におけるリスク

表4:リスクマネジメントが論じられる範囲

   もちろん論じられているだけではなく、それぞれの分野においてリスクを軽減する手法が確立されてきている。その例として、会計不信のリスクに対して「内部統制」、情報セキュリティのリスクに対して「ISMS」、金融リスクに対して「金融工学」、安全性・品質管理におけるリスクに対して「ISOシリーズ」などがあげられる。
リスクマネジメントを定義するJIS Q 2001

   今回はリスクマネジメントを説明する枠組みとして、適用範囲を限定していない「リスクマネジメントシステム構築のための指針 − JIS Q 2001 −」を用いる。

   JIS Q 2001は1995年1月7日に発生した阪神・淡路大震災を契機として設置されたリスクマネジメントシステム規格委員会の検討結果を受けて制定されたものであり、2001年に日本規格協会より公表された。

   その特徴としては、次の点があげられる。

  • PDCAサイクルを採用しているため、他のマネジメントシステムと同様にマネジメントが可能
  • 特徴的な事項に関して、危機管理に対しても包含している
  • 検証・評価(Check)、是正(Act)を重視した継続的改善システム

表5:JIS Q 2001の特徴

   またマネジメントシステムであるということは、次の点を実現することを重視されているはずである。

  • 対象とする活動を個人能力や裁量に依存しない形で一定レベルに保持
  • 社内に分散するリスク情報を経営層が把握しての対策を検討する仕組みづくり
  • 社会への情報開示の準備

表6:マネジメントシステムとしてJIS Q 2001に求められる点
JIS Q 2001の構成

   JIS Q 2001は、「0. 序文」「1. 適用範囲」「2. 定義」「3. リスクマネジメントシステムの原則及び要素」という構成になっている。

   「1. 適用範囲」ではリスクマネジメント構築のための規格で提供する原則および要素は、どのような組織/どのようなリスクにも適用できるとしており、「2. 定義」では規格で用いる主な用語を定義している。そして、「3. リスクマネジメントシステムの原則及び要素」では「3.1 一般原則」と3.2以降のリスクマネジメントの要素で構成されている。

   「3.1 一般原則」では、リスクマネジメントシステムを構築する上での7つの原則を次の通りに定義している。

  • 原則1:リスクマネジメント方針
  • 原則2:リスクマネジメントに関する計画策定
  • 原則3:リスクマネジメントの実施
  • 原則4:リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価
  • 原則5:リスクマネジメントシステムに関する是正・改善の実施
  • 原則6:組織の最高経営者によるレビュー
  • 原則7:リスクマネジメントシステム維持のための体制・仕組み

表7:「3.1 一般原則」で定義されているリスクマネジメントシステムを構築する上で
必要な原則

   そして3.2以降では表7の原則を実現するためのリスクマネジメントの要素が定義されており、図1に示すようにリスクマネジメントシステムのプロセスとして実行されるのである。

リスクマネジメントシステムのプロセスモデル
図1:リスクマネジメントシステムのプロセスモデル
(画像をクリックすると別ウィンドウに拡大図を表示します)

   プロセスモデルは方針(3.3 リスクマネジメント方針:原則1)に基づいて、「計画(3.4 リスクマネジメントに関する計画策定:原則2)→実施(3.5 リスクマネジメントの実施:原則3)→検証(3.6 リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価:原則4、3.7 リスクマネジメントシステムに関する是正・改善の実施:原則5)→改善(3.9組織の最高経営者によるレビュー:原則6)」というPDCAサイクルを繰り返し行うことを基本としている。

   そして、システムを有効にするための体制(3.2 リスクマネジメントシステム構築及び維持のための体制:原則7)と仕組み(3.8 リスクマネジメントシステム維持のための仕組み:原則7)がこのPDCAサイクルを支えているのである。
前のページ  1  2   3  次のページ

株式会社システムインテグレータ 代表取締役 梅田 弘之
 著者プロフィール
株式会社プライド  三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第1回:リスクアセスメントの範囲の策定
  はじめに
リスクマネジメントが論じられる分野
  リスクマネジメントシステムの中におけるリスクアセスメントの位置付け