企業活動を行う上で、IT環境においてもリスクマネジメントは必須です。リスクマネジメントは、ITを使用することによって生じるリスクから、ITシステムと情報資産であるデータを適切に保護するために重要な役割を果たします。これは、ITシステム全体を運用することにおいて、強固なセキュリティを維持するために重要な構成要素となります。こうしたことから、リスクマネジメントは、ITの専門家が行う技術的な機能だけを指すのではなく、組織として行うべき管理活動です。
リスクとは確実に予測できない状態、あるいはある行動に伴って不測の結果が発生する可能性がある状態などを指します。よって、中には人にとってプラスに働く好機のリスクもありますが、IT関連のリスクとして取りあげられる場合は、不正な行為による破壊や情報漏洩、意図的ではないエラーやシステム障害など、その多くは不利益をもたらす脅威を指すようです。
リスクマネジメントには、そのマネジメント計画を行う上で、適用範囲や基準を決め、リスクの特定、リスクの分析、リスク評価を行い、リスク対応などのプロセスが必要です。 この中の、リスクの特定、分析、評価の3つを総称して、リスクアセスメントと呼ぶこともあります。
リスクアセスメントのリスクの特定では、リスクを発見し、認識し、記述するプロセスです。リスクの原因、減少、発生について状況把握をした上て、リスクとして特定するために過去データの結果に基づいて行うものや、シナリオ分析などの手法を使うものなどがあります。
リスク分析は、リスクの性質を理解をするためのもので、リスクのレベルを決定することも含まれます。リスクの原因の特定や、起こりうる結果とその可能性の分析、不確実性や、妥当性の分析などが行われます。このリスク分析には、過去の事象の確率と結果を基にする場合が多いですが、そうしたデータが不足している場合には様々な理論モデルによる分析方法を用いる場合もあります。
リスク評価は、活動を中止せずにリスクを完全に排除することはほとんど不可能であるため、コストや不便さとのバランスを考えリスクの重大性を判断したリスク基準と比較して、リスクをどのように対処するかを決定します。その際、どのリスク因子を優先的に対処していくかという優先順位を決定することなども必要になります。
リスクアセスメントのプロセスを経て得られたリスク管理策を適用し実施するのが、リスク対応策の実行プロセスです。この対応策の中には、全てがリスク低減できるものであるとは限らないため、場合によっては、リスク回避、リスク転嫁、リスク共有、極端なものは事業の利益を優先してあえてリスクを受け入れるリスク受容などがあります。
リスクマネジメントのプロセスには、残留リスクの承認などもあり、常にリスクを監視し、定期的に継続してリスクアセスメントを実施することが重要です。
×