問題
問56
次の作業a~dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
- a リスク特定
- b リスク分析
- c リスク評価
- d リスク対応
- a, b
- a, b, c
- b, c, d
- c, d
[出典:ITパスポート試験 令和元年度 問56]
スポンサーリンク
正解
正解は「イ」です。
解説
リスクマネジメントには複数のプロセスがありますが、その中でも「リスクアセスメント」は、リスクを把握し、その重要度を評価する一連の流れを指します。リスクアセスメントには以下の3つの作業が含まれます。
- 1. リスク特定(a):想定されるリスクを明らかにする工程です。
たとえば「災害発生によるシステム停止」など、考え得るすべてのリスク要因を洗い出します。 - 2. リスク分析(b):特定したリスクの発生頻度や影響度を数値やランクで評価し、リスクの大きさを把握する工程です。
- 3. リスク評価(c):分析結果をもとに、どのリスクが重大であり、優先的に対応すべきかを判断します。
一方、「リスク対応(d)」は、アセスメント結果に基づいて実際の対処策(回避・移転・低減・受容)を選択・実施するフェーズであり、リスクアセスメントの範囲外です。 したがって、a~cが該当し、正解は「イ(a, b, c)」となります。
ア(a, b):
リスク評価(c)が含まれておらず不十分なため、アセスメントとしては不完全です。
ウ(b, c, d):
リスク対応(d)はアセスメントではなく、リスクマネジメントの別プロセスです。
エ(c, d):
リスク特定(a)が含まれておらず、アセスメントの前段階が欠けています。
難易度
この問題は、リスクマネジメントの工程を正確に理解しているかを問う基本的な知識問題です。言葉の意味さえ覚えていれば難易度は高くなく、初学者でも正答できるレベルです。混乱しやすいのは「リスク対応」が含まれるかどうかなので、区別を明確にすると安心です。
スポンサーリンク
用語補足
リスク特定:
リスクとして考えられるすべての要因を洗い出す作業で、リスクアセスメントの出発点です。例:停電、サイバー攻撃など。
リスク分析:
リスクの発生頻度や影響度を評価し、どのリスクが重大かを数値的に明確にする作業です。たとえば、マトリクス表での評価などがあります。
リスク評価:
分析結果をもとに、リスクへの優先順位を決定するプロセスで、対応が必要なリスクを明確にします。
対策
リスクマネジメントの流れ(特定→分析→評価→対応)を順序で覚えておくと非常に有効です。特に「リスクアセスメントは対応を含まない」ことを意識しておくと、同様の問題で迷うことが少なくなります。図やフローで学ぶとより理解が深まります。
