エンジニアのためのリスクマネジメント入門
https://gyazo.com/1dc106c15e48e95b8b2b270e99328a17
著者
出版年
1章:なぜリスクマネジメントなのか
保険会社を源流とし、損失にのみ着目する「伝統的なリスクマネジメント」と、企業経営のための損失と利益両方を扱う「現代的なリスクマネジメント」がある。
「利益(プラス面)のリスク」というのはイメージが湧きにくい。リスクというのが暗黙的にマイナスのイメージをもっているからかな。
「予想との違い」と考えると、見積りにおいて早く終わりすぎることも見積りを誤っているということと同じかな。
大企業とベンチャー企業では、リスクマネジメントにかけなければいけないコストも考え方も違う。
クラウドサービスの利用においては、自分たちでコントロールできる要素を明らかにして、その前提でリスクマネジメントをする必要がある。
先進的なリスクマネジメントへ
プロセスを定義することによって画一的なリスクマネジメントをすることはできない時代。
リスクマネジメントのフレームーワークを策定する団体も、プロセスを定義するのではなく、より概念的なものを定義するようになった。
リスクマネジメントの専門家ではないエンジニアが取り組むのであれば、まずは「リスクとはなにか」「リスクマネジメントとはなにか」を理解しよう。
所属する組織のリスクマネジメントに関する成熟度や、リスクマネジメントの重要度をよく理解して、それらの程度に応じたリスクマネジメントを導入していくことが重要です。
2章: リスクマネジメント
リスクとは?
ISO 31000 では「目的に対する不確かさの影響」
むずかしい…
p31の図を自分なりに解釈すると
現在の状態からあるべき状態に向かうにあたり、上振れするものを「機会」、下振れするものを「脅威」と呼ぶ。その両方が「リスク」である。
https://gyazo.com/9ca4f201023053f72de825f4bd6b3b29
リスクの大きさは「発生可能性」と「影響度」のマトリクスで整理する。
固有リスクと残余リスク
固有リスクとは、特定の業務やプロセスにおいて、何もコントロールを実施しない場合に生じるリスクを指します。
残余リスクとは、固有リスクにコントロールを実施した結果、残存するリスクのことです。
リスクの「コントロール」には4つのパターンがある。
保有
低減
回避
移転
リスクマップ(マトリクス)でそれぞれのリスクをどうコントロールするか決める。リスクをすべて潰すのではなくて「コントロールする」のだ。
https://gyazo.com/cd96003b5f6cb90dc7a00142b6798c89
リスクマネジメントの「3線管理」
内部監査室との関係が正直良くわからないと思っていたが、この整理はとても納得できたのでよかった。
第1線: いわゆる現場の部門。リスクの洗い出しやコントロール、PDCAサイクルを回す。
第2線: 会社のリスクマネジメントを行う部門。リスク管理部、法務部、経理財務部など。第1線のPDCAサイクルが正しく回っているかをモニタリングする。
第3線: 第三者。内部監査を行う部門。第1線や第2線では組織内外と利害関係が生じるため、その結果として正しくリスクマネジメントが行われていない状態になってしまう場合がある。そのため、第三者として利害関係のない部門が第1線と第2線をモニタリングする。
3章: トラブル事例に学ぶ フィンテック時代のリスクマネジメント
最近の事例を見ながら、どういう観点で対策が練られているのかを解説してくれる。
社ではポストモーテムを読む会をたまにやっているが、それの業界版のような感じだ。
闇雲にリスクを潰そうとしたり、コストを度外視して対策をたてればよいわけではないというのをはっきりと書いているのが印象的だった。
リスクの発生可能性を低減させる「防止的コントロール」と、リスクの影響度を低減させる「発見的コントロール」
両方組み合わせてリスクをコントロールする
防止的コントロールは効果が高いが高コスト、発見的コントロールは比較的低コスト
この概念を整理できたのはとてもよかった。
4章: リスクマネジメンプロフェッショナルへのキャリアパス
リスクマネジメントの国際標準や資格などの紹介があって、キャリアとして考えて無くても索引として使えるので便利。
身近なところだと、J-SOXへの言及もあってよかった。