2019年3月25日公開 – 2 min read
リスクマネジメント計画書とは、組織のリスクマネジメントプロセスを詳細に記した文書です。 このプロセスは、組織に対する潜在的なリスクを検討するために、組織全体のステークホルダーからなるチームを作ることから始まります。 この利害関係者チームには、上級管理職、コンプライアンス担当者、およびあらゆる部門の管理職が含まれる必要があります。 組織がソフトウェアを開発している場合は、各プロジェクトチームから1名のプロジェクトマネージャーも参加させ、プロジェクト管理のレビューとプロジェクトリスクへの対応を行う必要があります。
一度作成したチームは、リスクマネジメントプロセスに取り組み始めることができる。
目的の設定
まず、チームメンバーは、製品開発や第三者との業務提携などのビジネス目的を確認する必要がある。 ビジネス目標から始めることで、リスクマネジメントプロセスは現在の目標だけでなく、将来の目標とも一致する。
リスクの特定
リスクマネジメント計画作成の第2段階は、システム、ネットワーク、ソフトウェア、デバイス、ベンダー、データなどのデジタル資産を見直すことにあります。 これらの資産をカタログ化することで、チームメンバーは資産に対するリスクを特定することができます。 リスクとは、財務、業務、評判に影響を与えるポジティブまたはネガティブな状況のことである。
リスク評価
リスクを特定した後、リスクマネジメントチームはリスクを評価する必要がある。 製品の早期納入のようなプラスのリスクは、顧客が支払いスケジュールを守れないといったマイナスのリスクにもつながりかねない。 組織は、リスクの潜在的な影響を分析する方法を見出すために、リスクを予見する必要がある。
Risk Analysis
識別および評価された各リスクについて、チームはイベントが発生する可能性を調べ、それが発生した場合のビジネスへの影響を推定しなければならない。 可能性に推定された影響を掛けることで、リスクの影響についての洞察を得ることができます。 可能性が低いリスクは、壊滅的な財務的影響をもたらす。 一方、可能性が高いリスクは、全く影響を与えないかもしれない。 定量的または定性的な分析の一環として、リスク評価マトリックスを作成する。 これにより、リスクマネジメントチームは、リスク分析を利用し、高、中、低などの評価を割り当てることができる。
Risk Tolerance
リスク評価を割り当てた後、チームはリスクを受容、移転、軽減、拒否するのかを決定する作業を行う。 チームは、低いリスク、つまり、起こりそうもなく、起こったとしても影響が少ない潜在的な事象を受け入れることを決定することができる。 しかし、高リスク、つまり、発生する可能性が高く、大きな影響を与える可能性のある事象を拒否することもできる。
リスク緩和
受け入れたリスクについて、チームはリスク緩和戦略を作成しなければならない。 組織が受け入れる、あるいは移転するすべてのリスクに対して、発生しうる問題への対応を定義する必要がある。 情報セキュリティでは、これはサイバー犯罪者からデータを保護するための制御を設定することを意味する。 このように、リスク軽減戦略は、イベントが発生した場合のコンティンジェンシー プランとして機能し、定義された影響を抑えるのに役立ちます。
リスク管理計画
リスク管理計画は、すべてのリスク評価、分析、許容、および軽減に関する考慮事項を含む文書である。