11-1-1. リスクマネジメントプロセス(ISO31000)
企業や組織にはさまざまなリスクが存在しています。これらのリスクを効率的に管理し、発生する可能性がある損失を回避したり低減したりするプロセス全体のことを「リスクマネジメント」と言います。
リスクマネジメントの国際規格としてISO 31000があります。ISO
31000では、リスクマネジメントを「原則」「枠組み」「プロセス」の3つの要素から構成されるものとして捉えています。
図46. リスクマネジメントの3要素
原則
リスクマネジメントを実施する際に、組織が取組むべき事項です。
「統合」「体系化及び包括」「組織への適合」「包含」「動的」「利用可能な最善の情報」「人的及び文化的要員」「継続的改善」で構成されています。
枠組み
リスクマネジメントを組織全体に定着させるための仕組みです。
「統合」「設計」「実施」「評価」「改善」で構成されています。
プロセス
リスクマネジメントに取組む上で実施すべき、一連の活動です。
「コミュニケーション及び協議」「適用範囲、組織の状況及び基準」「リスクアセスメント」「リスク対応」「モニタリング及びレビュー」「記録作成及び報告」で構成されています。
実際にリスクに対応していくにあたっては、リスクマネジメントプロセスにおける「リスクアセスメント」が必須事項となります。リスクアセスメントとは、組織や企業が抱える資産に対するリスクの洗い出しや分析、評価を行い、リスク対応の優先順位づけをしていくプロセスのことを表します。リスクアセスメントの実施により、個々の資産が持つリスクと、リスクに対する管理策、および管理策に投じるべき費用の識別が期待できます。また、リスクを評価するということは情報資産の持つ固有の弱点や脅威を明確にする過程を含みます。そのため、事前にリスクを把握することで必要な投資額を含め、適切な対策を検討することが可能になります。