ITリスクは様々に関連しているため幅広い視点から見ことからはじめる

リスクマネジメントが適切に行うためにITリスクは限定的に捉えない

人によってITリスクの捉え方は、異なります。

ITリスクを考えてみると、情報漏えい、不正アクセス、システム障害を思い浮かべる方も多い

と思います。

また、開発遅延、コスト増等を含む、システム開発の失敗やシステムが有効活用されない場合

を思い浮かべる方もいます。

機密性にかかるリスク、可用性にかかるリスク、インテグリテイにかかるリスク、効率性にか

かるリスク、IT投資にかかるリスクなど様々なものがITリスクにはあります。

事業や業務遂行にかかるリスクとITリスクは密接な関係があります。

それは、例えば、システムの停止につながるシステム障害が業務遅滞、データの入力ミスが大

きな問題になったりします。

システムによるデータチェックの不備が原因によるデータ入力ミスもありますが、単純に入力

するデータを間違えたことが原因のこともあります。

データ入力ミスをITリスクと考えてもいいのですが、業務遂行上のリスクでオペレーショナル

リスクと捉えることもできます。

つまり、実務上あまり意味がないのは、ITリスクか業務遂行上のリスクかどうかを議論するこ

です。

企業などのリスクマネジメントが適切に行なえない可能性があるため、ITリスクを限定的に捉

えるのではなく、ITリスクを幅広く捉えることが重要です。

幅広くITリスクを捉えるために、右脳でITリスクを考えよう

ITリスクを幅広く捉える方法のとして、右脳でITリスクを考える方法があります。

例えば、どのようなビジネスプロセスになるのかを、新システムによって、明示したイメージ

図を作成することです。

それを見ながら、どこにどのようなリスクがあるのかを分析することがこうした図があれば可

能になります。

また、当該コントロールがどのようなITリスクを想定しているかを検討するために、情報セ

キュリティ管理基準やシステム管理基準に示されたコントロール(管理策)を読み、さらには

ITリスクを考えるために、公表されている情報セキュリティ・インシデントを収集するのもよ

いでしょう。

以上のように、いろいろな方法でリスクを洗い出すことによって、自社に合うリスクを幅広く

識別し認識することができます。

一元的に管理するERMとの連携を考える

企業などにおけるリスクを一元的に管理するERMにITリスクの管理を組み込み、連携させるこ

とによりITリスクを幅広く捉えることができます。

ERMは、企業などを取り巻く様々なリスクを一元的に管理してゆくことで、ITリスクかそうで

ないかの議論をする必要がなくなり、ITリスクを含めてリスクの見落としを少なくすることが

可能です。

また、管理部門も一元化されることにより、ITリスクも管理しやすくなり、

経営者に直接報告する体制や社内の各部門との連携を行なう体制が整備されるのです。

まとめ

どの企業も、同業他社に何かが起きてニュースになったり、近くで地震が起きたりしたら、対

策を検討します。

しかし、こうした行き当たりばったりの対応はERMとはかけ離れており、

対策が行き届かないことでの想定外のリスクに見舞われるかもしれません。

ERMでは、まず全職場にヒアリングを実施し、社内のリスクを網羅的に洗い出します。

次に、それぞれのリスクについて発生可能性と影響度を評価します。

この評価に沿って優先順位を付け、優先度の高いリスクへの対策を決めます。

対策には、例えば、保険をかけるなどの「移転」、リスクが大きい事業・商品から撤退するな

どの「回避」、情報システムを二重化するなど「低減」といった種類があります。

さらに、対策の責任者担当者を決めたり、管理指標を設定してリスクの状況を定期的にチェッ

クを行うことが重要です。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする