リスクの大きさは、損失の大きさと発生の可能性で考える
影響度(損失の大きさ、損害額)と発生可能性の掛け算でリスクの大きさは、把握することが
一般的です。
例えば、影響度と発生可能性を評価して、その積でリスクの大きさを次のようなリスク評価の
対象ごとに、決めます。
例えば、まず評価対象となるリスクの抽出の仕方がリスクの大きさを把握するときのポイント
になります。
また、3段階から5段階で評価するのが一般的です。
影響度は必ずしも金額換算できるとは限りませんし、発生可能性も厳密に評価できません。
(1)リスク評価の対象
事業部、部門、業務
(2)リスク評価項目
システムの投資額・運用コスト、売上高、従業員数、顧客数、取引件数、事業内容、カン トリーリスクなど
セキュリティ対策を講じる前の固有リスクとセキュリティ対策を講じた後の残余リスク
情報セキュリティリスクは、区分することができます。
・セキュリティ対策を講じる前の固有リスク
・セキュリティ対策を講じた後の残余リスク
リスク評価は、両方のリスク、固有リスクと残余リスクで実施します。
固有リスクが大きい場合は、そのリスクに注意を払うこと重要で、小さい場合にはさほど気に
しなくていい場合があります。
残余リスクが大きい場合もおなじです。
ただし、固有リスクと残余リスク、2つの分に注意しなければいけません。
固有リスクが大きくて残余リスクが小さい場合には、担当者はそのコントロールを確実に実施
する必要があり、そのリスクに対するコントロールが重要になります
また管理者は、常日ごろから、そのコントロールが確実に実施されているか常に確認すること
が必要です。
まとめ
リスクマネジメントにおいて、残留リスクは最も重視しなければならないリスクです。
残留リスクとは、保有リスクともいい、通常、リスク対応後に残っているリスクをいいます。
また、何らかの事情で対応が行われなかったものも、残留リスクには含まれることがありま
す。
リスク対応を行えば、リスクが無くなると考えている組織もありますが、リスク対応は起こり
易さを変えているのであって、頻度がかわっているだけで、リスクがなくなったわけではあり
ありません。
どのようなリスク対応を行っても、何らかのリスクが残ると考える必要があります。
むしろ、リスク対応を行ってもなお潜んでいる残留リスクこそ、注視しなければならないリス
クであることがポイントです。