第一回目は、我が社がRMI(リスクマネジメント研究所)であることから、JISQ31000をテーマと選びました。
また、JISQ31000規格は対象とする分野、規格を使用する対象者が広範囲に及ぶため、読書会という形式で、参加者がJISQ31000規格を踏まえたリスクマネジメント(RM)についての見解を発表し、その内容について検討を進めていくことになりました。
*JISQ31000はこちらをご覧くださいhttp://rmicon.blogspot.com/2010/12/iso.html
■リスクとはなにか?
「リスク」の定義を統一することの重要性について
JISQ31000では「リスク」を「目的に対間する不確かさの影響」と定義しています。
これは、情報セキュリティ分野でリスクを「ある脅威が脆弱性につけ込み損害を与える可能性」と定義する場合と違って、「リスク」のイメージがわかりにくく、人によって「リスク」の認識に違いが発生することがわかりました。
また「リスクがもたらす影響」の解釈についても、JISQ31000では「組織の目的の達成に影響を与える要素」と捉えています。従来のリスクマネジメントの概念「リスクは組織の存続に影響をもたらすもの」と若干異なっていました。
このことは「リスク」および「リスクがもたらす影響」の定義について、「リスクがもたらす影響とは好ましくない結果になるもの」と言う一般的なとらえ方と、JISQ31000:2010が「リスクがもたらす影響」には「好ましくない結果」だけでなく「好ましい結果」も含まれるとする概念の差異にあると考えられます。
リスクの影響を管理するということは、JISQ31000によれば、期待値からの乖離を管理することであって、乖離とはマイナスだけでなくプラスも含まれるのだとすると、「リスクがもたらす影響」と「好ましい結果」との間に生じるミスマッチ感が解消されるのではないかと言う議論がありました。
このようにJISQ31000:2010を活用する際、「リスク」の定義について、プラスの乖離(好ましい結果)という概念を入れて考えを統一することが重要になると考えました。
*リスクの影響を管理することで好ましい結果に到達する事例
○営業目標の管理:①状況分析 ②目標達成のための手段、役割の決定 ③活動の進捗管理
