AdobeStock_117338519.jpeg

リスクマネジメントする
『目的は?なぜ?』
『誰が』『何を』『どのように』

ISO/IEC 27001 情報セキュリティマネジメントシステム要求事項
ISO/IEC 27002 情報セキュリティ管理策のための実践の規範
ISO/IEC 27005 情報セキュリティリスクマネジメント
ISO/IEC 27014 情報セキュリティガバナンス
ISO/IEC 27017 ISO/IEC 27002に基づくクラウドサービスのための管理策の実践の規範
ISO/IEC 29100(JIS X 9250)「プライバシーフレームワーク」
ISO/IEC 29134 プライバシー影響評価のためのガイドライン

pose_meirei.pngリスクマネジメントの重要性が広く認識されてきましたが、実務で運用して成果を得ることは容易ではありません。リスクマネジメント研修体系は、エンタープライズ(全社的)リスクマネジメント体制を整備・運用することを最終目標に、段階と階層別に「何を」「どのように」実施すればよいかについて修得するためのコース体系を作りました。

リスクを全社的な視点で合理的かつ最適な方法で管理してリターンを最大化することで、企業価値を高める活動
出典:経産省『先進企業から学ぶ事業リスクマネジメント』実践テキスト--- 企業価値の向上を目指して

と定義しています

脅威にさらされている状態を見逃さず、発生頻度やぜい弱性(弱み)につけ込まれないようにして
金銭的な被害をなくし・余計な時間を費やさないようにし(時間の浪費)・不安から解放されることで
経営目標・事業目標達成に資源を集中させて企業価値を高めることにより、健康で豊かな未来を創ること

リスクを全社的に管理すること
リスクマネジメントによって企業価値を高めること

インデント.pngリスクマネジメント基礎


基礎コース教材より

リスクマネジメントを実践するために、Cloud for ISMSで教材、資料を提供しています

27005.png
LinkIconhttp://lms.isms-society.com/moodle/

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎

インデント.png個人も企業も常にリスクにさらされています

AdobeStock_75983925.jpeg企業は多くのリスクにさら されています。製品やサービスにおける事故・顧客からのクレームや苦情・情報漏洩やコンプライアンス・法的リスク・自然災害などきりがありません。第4次産業革命も、個人や企業(組織)にとって大きなインパクトがあります。

個人も多くのリスクにさらされています
年金問題・老後・健康・仕事・人間関係などによるストレスなどがあります。
企業や個人が直面するリスクは常に変化し複雑化しています。

ずさんなリスク管理によって上場企業でも危機にさらされ、上場取り消し、倒産などにより消滅する時代です。

健康で豊かな未来へ向けて、年齢や性別、社会的地位、社会環境、生活環境など変化する『リスク』に注目することが大切で、リスクへの対応を常に考えておくことが必要な時代になっています。
リスクは、人によって異なりますし、生活環境や仕事内容によっても異なります。自分のために、家族のために、自らを守り、家族を守る。そのために、自らの仕事(組織)を守らなければなりません。仕事(組織)を守るために、自分の仕事におけるリスクをマネジメントし、立場によっては自部門におけるリスクをマネジメントする必要があります。

「過去からの業界慣行でやっている」
「過去の経営者と同じ判断でやっている」
「過去の経験に基づいた判断でやっている」

という言い訳は通用しません
複雑化・多様化しているリスクを管理できない企業は生き残ることができない時代になりました。
いま、企業にとってリスクマネジメントは、避けることのできない経営課題でもあります

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎

インデント.png稼ぐ力を支えるリスクマネジメント

スライド02.jpg

スライド05.jpg

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎

インデント.png私たちが提唱する『リスクマネジメント体系』

リスクマネジメント構造.png


▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎


インデント.png資産管理とリスク管理

資産管理とリスク管理.png「情報セキュリティ」とは「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い。」と定義1されているが、簡単に言えば、企業の場合、企業秘密や個人情報などの情報をどのように守るのか、あるいは、その情報を扱う情報システムをどのように守るのかということである。企業が守るべき「情報」には電子的な情報だけでなく紙情報も含まれる。
さらに、例えば製造業であれば、試作品や金型など、純粋な情報だけではなく「物に化体した情報」も含まれる場合がある。このような「物に化体した情報」は、特許などで守ることは難しく、秘密情報として管理することが適切な場合があるからである。

「情報」と似た言葉に、「情報資産」という言葉がある。「情報」と「情報資産」はほとんど同じ意味で用いられることも多いが、「情報資産」は、様々な「情報」のうち、企業として管理すべき対象として選択されたものを呼ぶ。

これは、企業の中で飛び交う情報を全て管理することは不可能であり、また意味がないためである。
例えば、従業員が作成した「安くておいしいランチマップ」も「情報」であるが、これは特殊な場合を除き、企業として管理すべき対象、つまり「情報資産」ではない。また、情報システムなども「情報資産」に含める場合がある。

「情報セキュリティ」の第一歩は、それぞれの企業が自社の「情報資産」が何なのかを把握することである。

リスクを明らかにするための要素の1つ、情報セキュリティで守るべきものである「資産」

情報セキュリティ対策を実施するためには、守るべき対象を明確にしておくことが必要です。
守るべきものが明らかになっていなければ、具体的な情報セキュリティ対策を検討することもできません。

資産.pngその守るべき対象となるものが「資産」です。情報セキュリティにおいては、一般に「情報資産」と呼ばれます。組織は、まずこの資産を特定できなければなりません。資産の特定は、その資産を所有や管理をしている当事者がしなければなりません。組織が所有する資産には、様々なものがあります。

ISO/IEC 27005 情報セキュリティリスクマネジメントより
附属書 B『主要資産の特定』では、プロセス活動グループの代表(マネージャ、情報システムの専門家及びユーザ)が資産を特定するとされています。主要資産は通常、適用範囲の活動の中核プロセス及び情報です。情報セキュリティ基本方針又は事業継続計画を策定するのにより適していれば、組織のプロセスのような、これ以外の主要資産も検討することができます。

スライド14.jpg

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎

インデント.pngリスクマネジメントのデメリット

リスクマネジメントにはコストがかかり、多くの日本企業がリスクマネジメント導入をためらう理由がそこにあります。
コストは費用(お金)だけではなく、人や時間といった資源も必要となります。リスクを低減させるために、業務効率を下げることがあったり、リスクを洗い出すために、通常業務の時間を割いて作業したり、リスクを回避するために、こまめに記録をとり書面で残したりと、従業員にとっては、余計な仕事が増えたかのように感じられ、「手間がかかる」・「時間がかかる」・「めんどうくさい」とモチベーションを下げる恐れもあり、これらすべてがコストとなってはね返ります。

リスクマネジメントに取り組む場合は、リスクとコストのバランスを考える必要がありまます
リスクに対してコストをかけなかった場合、リスクが顕在化して事故になり
リスクに対してコストをかけすぎても非効率となり経営目標を達成できません

日本企業の現場は、一度ことを始めるとやりすぎる傾向があると言われており、本業がおろそかになるのでは本末転倒です。

リスクマネジメント ≠ リストマネジメント
リストを管理することが目的ではありません
リスト(一覧)を作成することが目的ではありません

リスクマネジメントイメージ.pngリスクマネジメントを具体的に正しく理解することが大切です
リスクマネジメントとは何か?
どうすればよいのか?
何から始めればよいのか?
シンプルに考え、シンプルに始める

ISMS Society 会員の皆様には『Cloud for ISMS』でリスクマネジメント関連資料について入手(ダウンロード)・閲覧が可能です

LinkIconCloud for ISMS へ

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎

インデント.pngリスクマネジメント研修体系と教育研修教材を提供

リスクマネジメント研修体系.png

リスクマネジメント研修テーマ.png

リスクマネジメント研修テーマ2.png

オリジナル教材群.png

▶︎リスクマネジメント研修講師派遣(見積依頼)◀︎


COSO ERM
COSO:米国トレッドウェイ委員会組織委員会
米国では、1970年代から、粉飾決算や企業会計の不備など企業のコンプライアンスの欠如が社会問題となっていた。こうした状況に対処するため、1985年、米国公認会計士協会の働きかけで、産学共同組織のトレッドウェイ委員会が発足。92年「内部統制」のガイドラインを作成した。この報告書では、3つの目的と5つの構成要素によって、内部統制を定義している。内部統制の目的は、(1)業務の有効性・効率性を高めること(2)財務報告の信頼性を確保すること(3)関連法規の遵守の3つである。次に、内部統制を構成する要素としては、「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つが挙げられる。さらに2003年、COSOは新しいCOSOフレームワークの草案であるCOSO ERM(新COSO)を公表した。COSO ERMでは、内部統制の基準の改定が行なわれ、企業の現状に即した内部統制の軸が示されており、5つの構成要素に「目標の設定」「リスクの特定」「リスクへの対応」の3つを付加している。

インデント.pngJIS Q 31000 リスクマネジメント−原則及び指より
Risk management-Principles and guidelines

この規格は,リスクの運用管理のためのプロセスを組織の全体的な統治,戦略及び計画策定,運用管理,報告プロセス,方針,価値観並びに文化の中に統合することを目的とした枠組みを,組織が構築,実践及び継続的に改善することを推奨している。
リスクマネジメントは,あらゆる時点で,数多くの領域及び階層において,組織全体に適用することも,特定の部門,プロジェクト及び活動に適用することもできる。
business_plus_man.png

リスクの運用管理がこの規格に従って実践され,維持されると,組織は,
次の事項を行うことができる

  • 目的達成の起こりやすさを増加させる。
  • 事前管理を促す。
  • 組織全体でリスクを特定し,対応する必要性を認識する。
  • 機会及び脅威の特定を改善する。
  • 関連する法律及び規制の要求事項並びに国際的な規範を順守する。
  • 義務的及び自主的報告を改善する。
  • 統治を改善する。
  • ステークホルダの信頼及び信用を改善する。
  • 意思決定及び計画のための信頼できる基盤を確定する。
  • 管理策を改善する。
  • リスク対応のために資源を効果的に割り当てて使用する。
  • 業務の有効性及び効率を改善する。
  • 環境保護とともに健康及び安全のパフォーマンスを高める。
  • 損失の予防及びインシデントマネジメントを改善する。
  •   注記 インシデントは,規模の大小にかかわらず何らかの事象が発生した状態を表している。これ以降は,“事態”と訳す。
  • 損失を最小化する。
  • 組織的学習を改善する。
  • 組織の適応力を改善する。


business_group_happy.png

次のような広範なステークホルダの
ニーズを満たすことを意図している

  1. 組織の中でリスクマネジメント方針の開発に責任をもつ人
  2. リスクが,組織全体又は特定の領域,プロジェクト若しくは活動で,効果的に運用管理されていることを確実にすることにアカウンタビリティをもつ人
  3. リスクの運用管理において,組織の有効性を評価する必要のある人
  4. 規格,指針,手順及び実務基準の特定の内容について,全体としてでも又は部分的にでも,リスクをどのように運用管理すべきかを設定しているこれらの文書の開発者多くの組織における現状の運用管理の実務及びプロセスは,リスクマネジメントの構成要素を含んでおり,また,多くの組織は,特定の種類のリスク又は周辺状況のために正式なリスクマネジメントプロセスを既に採用している。そのような場合には,組織はこの規格に照らし合わせて,既存の実務及びプロセスについて,要点を押さえたレビューをすることを決定できる。

用語解説(詳細は,Cloud for ISMSで解説しています)

JIS Q 31000 2.21 リスク分析(risk analysis):リスク(2.1)の特質を理解し,リスクレベル(2.23)を決定するプロセス。
注記 1 リスク分析は,リスク評価(2.24)及びリスク対応(2.25)に関する意思決定の基礎を提供する。
注記 2 リスク分析は,リスクの算定を含む。

JIS Q 31000 2.25 リスク対応(risk treatment):リスクを修正するプロセス。
注記 1 リスク対応には,次の事項を含むことがある。
− リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回避すること。
− ある機会を追求するために,リスクを取る又は増加させること。
−リスク源を除去すること。
−起こりやすさを変えること。
−結果を変えること。
−一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
− 情報に基づいた意思決定によって,リスクを保有すること。
注記 2 好ましくない結果に対処するリスク対応は,“リスク軽減”,“リスク排除”,“リスク予防”及び“リスク低減”と呼ばれることがある。
注記 3 リスク対応が,新たなリスクを生み出したり,既存のリスクを修正したりすることがある。

インデント.pngリスクマネジメント原則

gakusya.png

リスクマネジメントを効果的なものにするために,
組織は,次の原則をすべての階層で順守することが望ましいとされています

  1. リスクマネジメントは,価値を創造し,保護する
  2. リスクマネジメントは,安全衛生,保安,法律及び規制の順守,社会的受容,環境保護,製品品質,統治,世評などの,目的の明確な達成及びパフォーマンスの改善に寄与する
  3. リスクマネジメントは,組織のすべてのプロセスにおいて不可欠な部分である。
  4. リスクマネジメントは,組織の主要な活動及びプロセスから切り離された単独の活動ではない
  5. リスクマネジメントは,経営の責任の一部であり,戦略的な計画策定,並びにプロジェクトマネジメント及び変更マネジメントのすべてのプロセスを含む,組織のすべてのプロセスにおいて不可欠な部分である
  6. リスクマネジメントは,意思決定の一部である。
  7. リスクマネジメントは,意思決定者が情報に基づいた選択を行い,活動の優先順位付けを行い,活動の選択肢を見分けることを援助する
  8. リスクマネジメントは,不確かさに明確に対処する。 リスクマネジメントは,不確かさ及びその特質並びに不確かさへの対処について,明確に考慮する
  9. リスクマネジメントは,体系的かつ組織的で,時宜を得たものである。 リスクマネジメントの体系で,時宜を得た組織的な取組みは,効率及び一貫性があり,比較可能な信頼できる結果に寄与する
  10. リスクマネジメントは,最も利用可能な情報に基づくものである
  11. リスクの運用管理のプロセスへのインプットは,過去のデータ,経験,ステークホルダからのフィードバック,観察所見,予測,専門家の判断などの情報源に基づくものである。しかし,意思決定者は,利用するデータ又はモデルのあらゆる限界,及び専門家の間の見解の相違の可能性について自ら認識し,これらを考慮に入れる
  12. リスクマネジメントは,組織に合わせて作られる。
  13. リスクマネジメントは,組織が置かれている外部及び内部の状況,並びにリスク特徴と整合する
  14. リスクマネジメントは,人的及び文化的要素を考慮に入れる
  15. リスクマネジメントでは,組織の目的の達成を促進又は妨害することがある外部及び内部の人々の様々な能力,認知及び意図を認識する
  16. リスクマネジメントは,透明性があり,かつ,包含的である。 ステークホルダ及び特に組織のすべての階層における意思決定者の適切かつ時宜を得た参画によって,リスクマネジメントが現況に即し,最新なものであり続けることを確実にする。また,参画はステークホルダの立場を適切に反映し,リスク基準を決定する場合に,ステークホルダの見解に配慮することを可能とする
  17. リスクマネジメントは,動的で,繰り返し行われ,変化に対応する
  18. リスクマネジメントは,継続的に変化を察知し,対応する。それは,外部及び内部で事象が発生し,状況及び知識が変化し,モニタリング及びレビューが実施されるにつれて,新たなリスクが発生したり,また,既存のリスクの中には変化したり,又はなくなったりするものがあるからである
  19. リスクマネジメントは,組織の継続的改善を促進する。 組織は,自らのリスクマネジメントの成熟度を改善するために,他のすべての側面とともに,戦略を策定し,実践する

インデント.pngJIS Q 31000:2010 の内容(目次)

1 適用範囲
2 用語及び定義
3 原則
4 枠組み

  • 4.1 一般
  • 4.2 指令及びコミットメント
  • 4.3 リスクの運用管理のための枠組みの設計
    • 4.3.1 組織及び組織の状況の理解
    • 4.3.2 リスクマネジメント方針の確定
    • 4.3.3 アカウンタビリティ
    • 4.3.4 組織のプロセスへの統合
    • 4.3.5 資源
    • 4.3.6 内部のコミュニケーション及び報告の仕組みの確定
    • 4.3.7 外部のコミュニケーション及び報告の仕組みの確定
  • 4.4 リスクマネジメントの実践
    • 4.4.1 リスクの運用管理のための枠組みの実践
    • 4.4.2 リスクマネジメントプロセスの実践
  • 4.5 枠組みのモニタリング及びレビュー
  • 4.6 枠組みの継続的改善

5 プロセス

  • 5.1 一般
  • 5.2 コミュニケーション及び協議
  • 5.3 組織の状況の確定
    • 5.3.1 一般
    • 5.3.2 外部状況の確定
    • 5.3.3 内部状況の確定
    • 5.3.4 リスクマネジメントプロセスの状況の確定
    • 5.3.5 リスク基準の決定
  • 5.4 リスクアセスメント
    • 5.4.1 一般16
    • 5.4.2 リスク特定16
    • 5.4.3 リスク分析16
    • 5.4.4 リスク評価17
  • 5.5 リスク対応
    • 5.5.1 一般
    • 5.5.2 リスク対応の選択肢の選定
    • 5.5.3 リスク対応計画の準備及び実践
  • 5.6 モニタリング及びレビュー
  • 5.7 リスクマネジメントプロセスの記録作成

附属書 A(参考)高度リスクマネジメントの属性
附属書 JA(参考)JIS Q 2001:2001とこの規格との対比
附属書 JB(参考)緊急時対応への事前の備え

  • JB.0一般
  • JB.2緊急時における対応手順の策定及び準備
  • JB.3緊急時実行組織の整備
  • JB.4復旧にあたっての検討事項
  • JB.5緊急時対策に関する評価
  • JB.6 復旧対策に関する評価

参考文献 JIS Q 0073 リスクマネジメント−用語

LinkIconCloud for ISMS LMS:学習サービス

JIPDEC『ISMSユーザズガイドーリスクマネジメント編』が便利です。LinkIconJIPDEC-リスクマネジメント編

LinkIconHOME

リスクアセスメントをコアにしたISMSフレームワーク
ISMS全貌.jpg

名称未設定.png

AdobeStock_107996273.jpeg
インデント.png教育研修支援
ISMS Societyでは、リスクマネジメント能力向上とともにマネージャ・管理者のマネジメント能力向上を目的に企業内教育研修コースの開発・運営をサポートしています

  • 組織文化・階層・力量に合わせた教材作成(標準教材のカスタマイズ)提供
  • 講師・インストラクタ育成支援
  • 講師派遣

オリジナル教材群.png0-26.jpg
LinkIconオリジナル教材(書籍)販売
LinkIconISMS Society会員(Cloud for ISMSのアカウントを有する方)はPDF版のダウンロード(無料)が可能です

LinkIconお問い合わせ

LinkIconHOME

公開:2017.04.06
更新:2018.02.03