リスク管理の目的は何ですか？

リスク評価は、機能マネージャーと情報技術管理者の両方が関与するチームが実施する必要があります。業務、ワークフロー、またはテクノロジーの変更については、これらの変更を分析するために定期的なレビューを実施する必要があります。これらの変更によって生じる新たな脅威と脆弱性の結果を判断する必要があります。既存のコントロールの有効性の包括的なテストも必要です。

リスク評価の目的は、情報資産を管理するための適切な戦略と管理を管理者に提供することです。リスク評価の基本的な目標は、常に不確実な意思決定の要素に対処することです。

アクションまたは決定の結果が、何が表示されるか、いつ、その範囲および性質に関して完全に確実である場合、リスクを評価する必要は少なくなりますが、リスクを処理して結果を監視するだけです。意思決定者は、不確実性がどこにあるのか、そしてそれがどのように最適に扱われ、処理されるのかを理解する必要があります。

リスクアセスメントは学際的であり、したがって透明性があり、プロセスへの参加と困難さを通じて、すべての関係者と利害関係者に理解されている必要があります。これは、リスク評価の開始時に、誰がリスク評価プロセスに含まれなければならないかについて熟考する必要があることを示しています。リスクアセスメントは、一般的に一人のショーではありません。複数の関係者が関与しています。

たとえば、実行者（一般的にリスク評価を実行するチーム）、意思決定を行うマネージャーまたは組織は、リスク評価およびこれらの決定の影響を受ける当事者に依存します。これらの関係者間の良好なコミュニケーションは、リスク評価プロセスに不可欠です。

さらに、リスク評価は、いくつかのタイプの専門知識が不可欠である複数の割り当ての存在します。したがって、リスク評価には学際的な関与が必要であり、プロセスについて検討する必要がありました。

リスク評価の準備手順では、ピアレビューと一般参加のための適切なプロセスを使用する必要があります。これらのプロセスは、科学的な客観性、透明性、結論の承認に貢献します。

ピアレビューには、リスク評価文書のドラフトの発行や、受け取った重要なコメントとそれらのコメントに対するリスク評価者の応答を要約した「コメントへの応答」ファイルの発行など、このドラフトで受け取ったコメントの検討などが含まれます。リスク評価者がコメンターによって推奨された立場を外部に持たない理由の論理的根拠を支持します。

関与はまた、彼らの見解が適切に定義され、考慮されることを提供します。リスク評価は、どのレベルのリスクが彼らにとって適切であり、どこで、いつさらなる治療が必要かを決定する必要があるため、使用されるリスク要素の一部が関連する利害関係者の認識と見解を適切に反映することが特に重要です。

リスクの特定中に予想されるように、高度で多様な経験ベースを持つ代表的なグループの関与は、常に最も包括的な分析を提供します。最後に、管理措置の監視に責任を負っている人々は、それらの管理につながるリスク評価に関与することから大きな恩恵を受けます。