ITパスポート過去問 平成31年度(2019年)問1
リスクアセスメントを三つのプロセスに分けるとすると, リスクの特定, リスクの評価ともう一つはどれか。
選択肢
- ア:リスクの移転
- イ:リスクの回避
- ウ:リスクの低減
- エ:リスクの分析
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスクアセスメントは、リスクの特定、リスクの分析、リスクの評価の3つのプロセスで構成されます。最初にリスクを洗い出して(特定)、次に発生確率や影響度などからリスクの大きさを見積もり(分析)、最後に基準と比較して対策の優先順位などを決めます(評価)。
Point
この問題は、リスクアセスメントを構成する3プロセス(特定・分析・評価)を用語として正確に区別できるかを確認する問題です。あわせて、リスクアセスメント(把握と判断)と、リスク対応(回避・低減・移転などの実施)を混同しないことがポイントです。
解くために必要な知識
この問題を解くには、リスクアセスメントの構成プロセスと、リスク対応の手法の違いを理解している必要があります。
用語の整理
リスクアセスメントの3プロセス
| プロセス | 内容 |
|---|---|
| リスクの特定 | 組織や業務、システムに存在するリスクを洗い出します。例として、情報漏えい、停止、改ざんなどの事象を挙げます。 |
| リスクの分析 | 特定したリスクについて、発生確率や影響度などを調べ、リスクの大きさを把握します。 |
| リスクの評価 | 分析結果を基に、対応が必要か、どれを優先して扱うかなどを決めます。 |
リスク対応との違い
リスク対応は、リスクアセスメントの結果を受けて、実際に対処方法を選び実施する活動です。
| 用語 | 内容 |
|---|---|
| リスク対応 | 回避、低減、移転、保有などの方法でリスクに対処します。 |
| リスクの回避 | リスクの原因となる活動そのものをやめます。 |
| リスクの低減 | 対策を行い、発生確率や影響度を下げます。 |
| リスクの移転 | 保険、契約、外部委託などにより損失の負担を第三者へ移します。 |
選択肢ごとの解説
- ア:不正解
リスクの移転は、保険加入や外部委託などで損失の負担を他者に移すリスク対応です。リスクアセスメント(特定・分析・評価)のプロセス名ではありません。
- イ:不正解
リスクの回避は、リスクの原因となる活動を中止するなどしてリスクを発生させないようにするリスク対応です。アセスメントの工程(特定・分析・評価)とは区別します。
- ウ:不正解
リスクの低減は、管理策を導入して発生可能性や影響度を下げるリスク対応です。リスクアセスメントで優先度などを決めた後に選択、実施されます。
- エ:正解
リスクの分析は、発生可能性や影響度などを見積もってリスクの大きさを把握する工程です。「リスクの特定」「リスクの評価」と並ぶ、リスクアセスメントのプロセスに該当します。
まとめ
リスクアセスメントは、リスクの特定、リスクの分析、リスクの評価の3つのプロセスで構成されます。最初にリスクを洗い出して(特定)、次に発生確率や影響度などからリスクの大きさを見積もり(分析)、最後に基準と比較して対策の優先順位などを決めます(評価)。
ストラテジ系 > 企業と法務 > 企業活動
リスクの移転は、保険加入や外部委託などで損失の負担を他者に移すリスク対応です。リスクアセスメント(特定・分析・評価)のプロセス名ではありません。
リスクの回避は、リスクの原因となる活動を中止するなどしてリスクを発生させないようにするリスク対応です。アセスメントの工程(特定・分析・評価)とは区別します。
リスクの低減は、管理策を導入して発生可能性や影響度を下げるリスク対応です。リスクアセスメントで優先度などを決めた後に選択、実施されます。
リスクの分析は、発生可能性や影響度などを見積もってリスクの大きさを把握する工程です。「リスクの特定」「リスクの評価」と並ぶ、リスクアセスメントのプロセスに該当します。