失礼ながら、それはガバナンスではありません：情シス部門の地位向上（3）（2/4 ページ）

[營田（つくた）茂生，＠IT]

リスク・マネジメントの取り組み

　ITガバナンスにおけるリスク・マネジメントは、セキュリティや、ITシステムとしてのサステナビリティ（持続可能性）、コンプライアンス、プロジェクト・マネジメントが対象分野です。

　それぞれの対象分野ごとに対応が異なる部分があります。また、COSO ERMのように体系化されたリスク・マネジメント手法も確立されています。また、ITガバナンスの分野でも「COBIT」や「ITIL」に関連項目が定義されています。今回はもう少しベーシックなところから、リスク・マネジメントとして共通的に使えるフレームワークを考えてみましょう。

　一般に「リスク」といった場合、多くの方はネガティブあるいはマイナスの状況を思い浮かべるのではないでしょうか？ しかし、「リスク」という言葉には本来プラスもマイナスもありません。中央値あるいは平均値からのプラス・マイナス双方への振れ幅＝ボラティリティ（変動性）そのものがリスクです。リスク要因を定義するときに、マイナス要素のみを考えるのではなく、プラス要素についても等しく考えなければ、リスク要因を正確に把握することはできません。

　次にリスクへの対応ですが、図2のように進めていくことになります。

図2 リスクへの対応

　まずは、「識別」です。このステップでは、リスク全体に網をかけて、主要なものを漏れなく捕捉しなければなりません。先に述べたようにマイナス面だけを見ていると全容を把握できません。

　リスクを識別した後に「評価」します。なかなか難しいところではありますが、できる限りの定量化が必要です。定量化では、顕在化したときの大きさ（インパクト）と、顕在化する可能性（発生可能性）との両面の把握を通して個別リスクを測定していくことになります。

　「識別」「評価」ができたところで、それぞれのリスクへの対応ということになります。リスクへの「対応」では、PMBOK 2000の定義では、4つの手段を定義しています。

　1つ目は『回避』です。リスク回避とは「脅威発生の要因を停止したり、あるいは全く別のリスクの少ない方法に変更したりすること」。適用してもリスク値が許容基準以上の場合、あるいはリスク移転ができない場合などにリスク回避を検討する必要があります。例として「情報漏えい防止のため、利用可能な物品の持ち込み・持ち出し禁止」が挙げられます。リスク要因の発生をあらかじめ回避する対応方法です。

　2つ目は『転嫁』です。リスク転嫁とは、「契約を通じてリスク（財産・行為およびそれに伴う法的責任）そのものを他者に移転すること」。代表的なものとして「リース契約」「業務の外部委託」などがあります。いずれも、契約上で責任関係を明確にする必要あります。例として、「火災保険によりセンター火災の際の金銭的な損失をカバーする」などが挙げられます。リスク要因の発生に対して、発生した場合のインパクトを他者に転嫁することで低減することが狙いです。

　3つ目は『軽減』です。リスク軽減では、リスクを起こりにくくする「予防」やリスクによる損害を小さくする対策をとります。契約当事者間でリスクを合理的に分担する方法です。市場における解決手法を利用しリスクをコスト化して処理する手法や、リスクが顕在化した場合の軽減措置を合理的に約定において関係当事者と取り決め、リスクの蓋然（がいぜん）性を定量化するなどの手法があります。「ウイルス対策ソフトを用いて既知のウイルス被害を抑止する」、あるいは「ペネトレーションテストを行い、あらかじめセキュリティホールになる可能性がある個所を見つけ出し対策する」などの例が挙げられます。リスク要因の発生に対して、影響度と可能性双方をリスク受容可能なレベルまで減らす試みです。

　最後は『受容』です。リスク受容とは「どこまでそのリスクを受け入れられるか」を数値で換算し、必要なところを重点的に取り組む（消極的受容を含む）ことを指します。リスクの顕在化によって発生する損害をリスク・マネジメントのコストとみなして受容する（消極的受容）ことや、不測の事態が発生することを想定し、その被害や損失を最小限にとどめるために、あらかじめ定めた対応策や行動手順を含みます。「ITシステムのサステナビリティ（継続性）確保のために、システム障害対策では、バックアップシステムの準備、障害復旧マニュアルの整備を行う」などの例が挙げられます。リスク要因の発生に対し、いったんそれを受け入れて対応策を検討します。なお、受け入れ方には2つあります。何もしない「消極的受容」とコンティンジェンシー・プランを立てる「積極的受容」です。