リスク対応

前回はリスクマネジメントについてかるーく触れたので今回はリスクマネジメントの中で実施するリスクアセスメント、その後に行うリスク対応について調べてみました。

  • リスク対応の概要

リスクアセスメントでリスクを分析、評価しました。けどその後の対応が間違ってたら意味がない。

そのリスク対応については大きく分けて二つ、リスクコントロールリスクファイナンスがあります。

これは潜在的なリスクに対して、物理的対策、技術的対策、運用管理的対策によって、発生を防止したり、損失を低減させてりすることですね。 例としては機密データのあるデータセンターを免震構造にしたり、入退室の履歴をしっかり取ったりすることが挙げられるかも。

こっちはリスクを抑えるのではなく、リスクが顕在化して損失を負うこと前提でその時に備えて損失の補填や対応費用などの確保をしておくことらしい。損失を負うこと前提って考え方はなんとなくフェールセーフやフェールソフトを思い出しますね。

リスクはどれだけしっかりリスクコントロールしても顕在化の可能性を0にすることはできない。そのために資金面での対策を講じておくことも非常に重要らしいです。

具体例としては 保険を利用して不測事態発生時の対応費用を組織外に転嫁 不測事態発生時に備え、準備金・積立金などの名目で組織に対応費用を確保

難しいですね… ここら辺は実務を経験してる人でないと理解しずらいかもしれません。

さて、二つの対応を行いましたがそれでもリスクは残ります。こういったリスクの事を残留リスク、残余リスク」なんて呼ぶそうです

じゃあ残りはどうするのか。難しいところですがその場合はリスクの強度や予算などとの兼ね合いによりあえて対処を行わないことがあります。それがリスクの受容です。リスクの受容については組織としての判断基準を予め明確に決めておかないといけません。

ちなみにこのリスク対応等諸々含むリスクマネジメントに関する規格は ISO 31000:2009/JIS Q 31000:2010 で定義されています。 気になる人は調べてみるといいかもしれません。

では今回はここら辺で失礼します

ドラクエのせいで暫く記事書くテンションにならなかったなんて言えない…