100日チャレンジ18日目です。
ベネッセの個人情報漏えい、震災時などに業務を止めない枠組みなどITが業務に必要になればなるほど何かが起きた時の影響は大きいです。企業の情報及び情報システムの最高責任者であるCIOにとって穏やかではいられないテーマです。
リスクは適切に管理することが重要
リスク管理は経営においてもプロジェクト管理においても重要です。一方でリスクを全くとらないと大きな成長や成功が見込めませんので、とれる範囲のリスクを適切に把握・管理していくことが必要です。在庫と同じで少なすぎてもよくなくて適切な管理が大事です。
ITリスクの分類
ITリスクを分類すると、全社的な対応が必要な情報セキュリティ、災害リスク以外にも、戦略リスク、投資リスク、人材リスク、プロジェクトリスク、契約リスクなどがあります。
戦略リスクとは戦略の不整合や実行不足。
投資リスクとは投資評価の不備や活用不足。
人材リスクとは採用や人材育成に関するリスク。
プロジェクトリスクとは個別のプロジェクト管理に関わる部分と複数のプロジェクト整合含めた全体的なリスク。
契約リスクは開発・運用に関わる外部ベンダーとの契約不備による不利益。
後ろ向きにならずにリスク管理を
どうしても守りの側面が強く、余裕がない時には優先度が下がりがちです。CIOとしては経営や事業側から強く言われるリスクに目がいきがちですが、発生確率と影響を評価して優先付けをしておく必要があります。発生した後で言うことは誰でもできるので発生した時にどういう対処をしていたのか説明できる状態にしておくことが重要なのだと思います。