06
06.1
06.1.1
一般
06.1.1a)
06.1.1b)
「リスク&オポチュニティ」
これでワンフレーズです。リスクだけでも実はリスク&オポチュニティなんですが、普通リスクは悪い意味で使われることが多いので、敢えて、リスクとオポチュニティとセットで用語にしているのですね。だから、ここのリスクはネガティブに振れるリスクでポジティブに振れるリスクはオポチュニティとしているだけです。
従来のリスク(下振れも上振れも含む)と本質は同義です。
しかしながら、実際問題ではオポの部分の評価は難しい。リスクを小さく見る裏返しだからだ。既存の管理策を評価することがISO化のときに明記されたが、これもオポの一環と見て差し支えない。
リスクもオポも不確実なものであり、リスク低減あるいはオポ実現にはそれを確実にする施策が求められる。
狭義の発想でいくなら、リスクは現在の管理策の脆弱性評価であり、オポは新たな管理策への期待値評価である。
新たな管理策に対する脆弱性評価はリスクの部、既存の管理策に対する脆弱性が別要因で下がる、また脅威が別要因で下がるならオポに入る。
-
テナントが手を打つのでなくビルオーナーが入館システムを改善するのはオポです。改悪の場合はリスク。
脅威そのものの変動を見る。従来はどちらかといえば脅威は管理対象外として評価は一面的だった。
6.1.1b)
旧バージョン8.3予防処置が消えたといって騒いでいる人が居るがその輩は旧バージョンの理解が出来ていなかった可能性がある。もともと旧バージョン規格は重複していたのですよ。「リスクアセスメント」(リスク対応も含め)と「予防処置」と「事業継続管理」は基本的に被って(かぶって)いましたから。
もう一つの勘違いは、PDCAサイクルの中での予防処置の位置づけを動的に見るか静的にみるかの違いです。リスクアセスを年1回のイベントに位置づけてしまった人は今回は混乱することでしょう。
5 年前
