幼稚なパラドクス:資産細分化によるリスク縮小でリスクアセスを捻じ曲げる詭弁家に要注意!
分かりやすい例え話は「1千万円以上の発注は役員決済、それ以下は部長決済」とした場合、発注を全部1千万円以下に分割して全て部長決済で逃げ切る手法。この手法を盾にとって決済区分を決めても意味が無いと主張する詭弁をコンサルの中にも審査員の中にもいるのだから驚く。本旨を外してこの連中は一体何をやっているのかと疑う。今尚現役でやっているのだから注意あれ。
リスクを探す活動をリスクを隠す活動に摩り替えているので、問題が起きたらクライアントは自分で被害を被るしかないのです。特に某審査機関とそれに連携するコンサルには多いように思います。
.*.
幼稚なパラドクスを展開してリスクアセスメントを否定する輩が後を立たない。ISMS(ISO27000)はリスクアセスメントを基本したPDCA型のマネジメント方法論であるにも関わらず、リスクアセスメントの理解が不十分なことを棚に上げて、方法論そのものを否定し始める。
ISMSのセミナーなどに出ると最初にぶつかるのがリスクアセスメント。驚くのはISMS審査員の中にもリスクアセスメントを理解できていない人がいること。審査機関の傾向もありそうだ。やたらベースライン方式を薦める審査員は過剰な負荷を軽減するための手助けかと思ったら実は詳細リスクアセスメントを正しく理解していなかっただけと言うのも有るようだ。
.*.
資産価値×脅威の頻度×脆弱性=リスク値
リスク値は上記の計算式で求めるが受容レベルを設定すること小さなリスクはそのまま受け入れる。
.*.
パラドクスはどのように展開するか。『脅威を細区分(細かく分解)することにより、発生頻度が小さくなり、もたらされるリスク値も小さくなる。結果、全てのリスクは受容される。』
例えば、震度7.00の自身発生頻度、震度7.01の発生頻度、震度7.02の発生頻度と細かく分けてリスク評価をやる分けだ。『どの地震に対しても対策不要が導かれるから、リスクアセスメントの方法論じたいに正当性は無い』と主張する。
火災を例にしても簡単に出来ます。火災の発生頻度を原因別でも現象別でも細かく見ていくとそれぞれの発生頻度は下がるから、いずれ全てのリスクが受容されることになると主張してきます。でも火災はある確率で発生している訳でどの組織もそれなりの対策を実施している。こういう矛盾を持つリスクアセスメントは意味が無いとやる訳です。
こういうパラドクスを弄ぶ詭弁家を時々見かけます。
リスクアセスメントが面倒なものだから、こういう詭弁で以ってリスクアセスメントを手抜きで済まそうとする。馬鹿なコンサルがいて悪乗りしているから始末が悪い。
.*.
さて、如何すればこの詭弁家は退散させられるか?
答えは超簡単。足し算するだけです。リスク値の本質は期待損失(普通は年間期待損失額)です。どのように分解しようとトータルの損失額が減る訳では有りません。トータルが受容できるレベルなら何もしなくて済みますが、実際は受容できないので分解作業を始めるのですが、この分解作業は詭弁のためでなく、施策を有効にするための優先領域を見つけるために行います。
情報資産、脅威、脆弱性をそれぞれどの程度粗くまたは細かく見るかは試行錯誤が必要だろう。キーとなる資産については「粒感」(つぶかん)と表現する人もいる。そのときにポイントとなるのは管理の視点になる。管理者と管理策である。管理者が変わる場合、または管理策が変わる場合は「粒」を変える。
地震なら、建築物の構造の領域は総務部門だろうし、設置された機器類の対策は当該部門となる。機器類の管理者は構造破壊の領域まで見る必要は無い。火災も原因によらず誰が何をするのかで見れば自ずとある塊にならざるを得ない。
.*.
詭弁は手抜きの方便でしかないのが残念。リスク低減のためにどのようにアプローチすべきか紳士に取り組んでもらいたいものだ。
.*.