この規格ページの目次
4
X 0162 : 2008 (ISO/IEC 16085 : 2006)
注記3 あらかじめ定めた期間について,事象の発生確率を推定することができる。
(ISO/IEC Guide 73:2002,3.1.4を参照)
3.3
発生確率(probability)
事象が起こりそうな程度。
注記1 ISO 3534-1:1993,1.1では,発生確率に次のような数学的定義を与えている。
“無作為の事象に伴う0から1までの尺度としての実数。それは,長時間にわたって把握
された発生頻度,又は事象の起こりやすさに関係する。起こりやすさが高い場合,その発生
確率は1に近くなる。”
注記2 リスクを表現する場合,発生確率の代わりに頻度が使用されることがある。
注記3 発生確率に関する起こりやすさは,次のように階級又は階層として選択されることがある。
− めったにない/ありそうもない/あまり多くない/ありそうである/ほぼ確実にある。
(rare/unlikely/moderate/likely/almost certain)
又は
− 考えられない/まずない/わずかである/ときどきである/多分ある/しばしばある。
(incredible/improbable/remote/occasional/probable/frequent)
(ISO/IEC Guide 73:2002,3.1.3を参照)
3.4
プロジェクトリスク台帳(project risk profile)
プロジェクトの現状及び履歴的なリスク関連の情報。プロジェクトにおける個々のリスク要因のすべて
を要約又は集約したもの。
注記 プロジェクトリスク台帳情報は,リスクの時系列的記録及び個々のリスク要因が一緒になった
リスク管理体系,優先順位,リスクに関係した方策,対応状態,緊急時対応計画,並びにリス
ク活動要求を含んでいる。プロジェクトリスク台帳は,個々のリスクについての全リスク要因
からなり,現状及び履歴的リスク状態を含んでいる(3.14及び3.15を参照)。
3.5
リスク(risk)
事象の発生確率と事象の結果との組合せ。
注記1 用語“リスク”は,一般に少なくとも好ましくない結果を得る可能性がある場合にだけ使用
される。
注記2 ある場合には,リスクは期待した成果,又は事象からの逸脱の可能性から生じる。
注記3 安全に関する事象に対しては,JIS Z 8051を参照すること。
(ISO/IEC Guide 73:2002,3.1.1を参照)
3.6
リスクの受容(risk acceptance)
リスクを受容する意思決定。
注記1 “受容する(accept)”という動詞は,名詞“受容(acceptance)”のもつ基礎的な辞書の意味
を引き継いで選ばれている。
注記2 リスクの受容は,リスク基準に依存する。
(ISO/IEC Guide 73:2002,3.4.10を参照)
――――― [JIS X 0162 pdf 6] ―――――
5
X 0162 : 2008 (ISO/IEC 16085 : 2006)
3.7
リスク活動要求(risk action request)
リスクしきい値を超えると判断された一つ以上のリスクに対する,推奨される対応案及びその根拠。
3.8
リスクカテゴリ(risk category)
リスクの等級又は型(例えば,技術的,法的,組織的,安全性,経済的,工学的,費用的,日程的)。
注記 リスクカテゴリは,リスク因子の特性である(3.18を参照)。
3.9
リスク基準(risk criteria)
リスクの重大さを評価するために与えられた判断基準に適用される尺度。
注記 リスク基準は,関連するコスト及び利益,法規制の要求事項,社会経済及び環境側面,ステー
クホルダーの関心事,優先度並びにアセスメントに使用するその他の情報を含む。
(ISO/IEC Guide 73:2002,3.1.6を参照)
3.10
リスク脅威量(risk exposure)
個人,プロジェクト又は組織に現れるリスクによる潜在的損失。リスクが生じるだろうという発生確率
とリスク発生の結果の大きさとの関数。
注記 リスク脅威量は,発生確率と結果の大きさとの積として一般に定義される。すなわち,期待値
又は予期される脅威の程度である。このリスク管理規格は,リスク脅威量の定性的表現を含む,
更に広い視点に立つ。
3.11
リスク管理計画(risk management plan)
リスク管理プロセスの要素及び資源が,組織又はプロジェクトの中にどのように実行されるかという記
述。
3.12
リスク管理プロセス(risk management process)
製品又はサービスのライフサイクル全体にわたるリスクを系統的に識別し,分析し,対応し,監視する
連続的なプロセス。
3.13
リスク管理システム(risk management system)
リスクを管理運営することに関係する,組織の管理システムの一連の要素。
注記1 管理システムの諸要素には,戦略的な計画策定,意志決定及びリスクを処理するためのその
他のプロセスを含むことがある。
注記2 リスク管理システムは,組織の文化を反映する。
(ISO/IEC Guide 73:2002,3.1.8を参照)
3.14
リスク台帳(risk profile)
リスクの現状及び履歴的なリスク状態情報の時系列的記録。
3.15
リスク状態(risk state)
――――― [JIS X 0162 pdf 7] ―――――
6
X 0162 : 2008 (ISO/IEC 16085 : 2006)
現在のプロジェクトのリスク情報。リスク情報は,個々のリスクに関連している。
注記1 個々のリスクに関する情報は,現状の説明,原因,発生確率,結果,推定の尺度,推定の確
証,対処,しきい値及びリスクが,いつそのしきい値に達するだろうかという推定を含み得
る。
注記2 推定とは,発生確率及び結果の推定のことをいう。
3.16
リスクしきい値(risk threshold)
ステークホルダーの行動の引き金となる条件。
注記 それぞれのリスク,リスクカテゴリ又は異なるリスク基準に基づいたリスクの組合せに対し,
異なったリスクしきい値を定義してもよい。
3.17
リスク対応(risk treatment)
リスクを変更するための方策を,選択及び実施するプロセス。
注記1 リスク対応という用語は,それ自身,方策として使用されることがある。
注記2 リスク対応の方策には,リスクの回避,最適化,移転又は保有を含むことがある。
(ISO/IEC Guide 73:2002,3.4.1を参照)
3.18
リスク因子(source)
結果をもたらす可能性が潜在する物事又は行動。
注記 安全の分野においては,リスク因子はハザード(JIS Z 8051:2004を参照)に該当する。
(ISO/IEC Guide 73:2002,3.1.5を参照)
3.19
ステークホルダー(stakeholder)
リスクに影響を与え,リスクの影響を受け,又は影響を受けると認識する個人,グループ又は組織。
注記1 意思決定者もまた,ステークホルダーである。
注記2 ステークホルダーとは,利害関係者も含むが,更に広い意味をもつ[利害関係者(interested
party)は,ISO 9000:2000の3.3.7を参照]。
(ISO/IEC Guide 73:2002,3.2.1を参照)
4 この規格の適用
この規格は,JIS X 0160:1996及びJIS X 0170とともに利用することを容易にするため,同じプロセス記
述の取決めを多く使用している。ここに規定されているリスク管理ライフサイクルプロセスは,アクティ
ビティの集合体として分割され,更に,それぞれのアクティビティに対する要求は,タスクの集合体とし
て定義されている。この規格において,第1階層の細分箇条(X.1)はプロセスを表し,第2階層の細分箇
条(X.X.1)はアクティビティを表し,その下の細分箇条(X.X.X.1)はタスクを表す。
このリスク管理規格は,製品及びサービスに対する取得,供給,開発,運用及び保守を支援している。
この規格の適用において,特定のライフサイクルプロセスモデルを要求するものではない。
プロジェクトレベルのリスク管理は,組織的レベルでリスク管理がプロセスと一緒に運用されていると
き,最も効果的である。このリスク管理規格のプロセス,アクティビティ及びタスクは,組織の他のリス
ク管理業務及びシステムに統合されるのが望ましい。組織のリスク管理プロセスが存在しないならば,こ
――――― [JIS X 0162 pdf 8] ―――――
7
X 0162 : 2008 (ISO/IEC 16085 : 2006)
の規格は,その構築のガイドとして有効であるかもしれない。
さらに,規格の適用がシステム及びソフトウェアのリスクを対象とするならば,そのプロセスは,組織
の問題管理のやり方と統合されなければならない。例えば,緊急時対応計画が実行されなければならない
事象が発生したときである。リスク対応のアクティビティは,他のプロジェクト管理のアクティビティと
同様に管理されるのが望ましい。
リスク管理が最も効果的なのは,測定プロセスと統合されるときである。JIS X 0141は,システム工学・
ソフトウェア工学及び管理に関する専門分野に適用できる測定プロセスを規定している。JIS X 0141で規
定されている測定プロセスは,リスクの特定と定量化との助けとなるこの規格で規定されたリスク管理ア
クティビティ及びリスク管理タスクとともに機能する。
5 ライフサイクルにおけるリスク管理
リスク管理は,常にリスクを識別し,分析し,対応し,監視することを目的とする。リスク管理の実施
に成功すると,次の状態になる。
a) 行われるリスク管理の範囲が決定されている。
b) 適切なリスク管理戦略が定義され,実行されている。
c) リスクの発生時及びプロジェクトの進行中,リスクが識別されている。
d) リスクは分析され,これらのリスクに対応するための資源を利用する優先度が決定される。
注記 ここでの“資源”は,人員,予算などの,いわゆる“経営資源”を指している。
e) リスク対策は,リスク状態の変化及びリスク対応アクティビティの進ちょく(捗)を決定するために,
定義され,応用され,総合的に評価される。
f) リスクの影響を是正し,避けるために,優先度,発生確率及び結果に基づいて,適切な対応が取られ
る。
5.1 リスク管理プロセス
リスク管理プロセスは,製品又はサービスのライフサイクルを通じて,体系的にリスクを扱う連続した
プロセスである。
このプロセスは,次のアクティビティから成り立つ。
a) リスク管理の計画及び実行(図1の2)
b) プロジェクトリスク台帳の管理(図1の3)
c) リスク分析の実施(図1の4)
d) リスク監視の実施(図1の6)
e) リスク対応の実施(図1の5)
f) リスク管理プロセスの評価(図1の7)
リスク管理プロセスを,図1に示す。“5リスク対応の実施”が“1技術及び管理のプロセス”の一部で
ある,と仮定されていることに注意すること。
以降の説明での丸数字は,図1での丸数字と同じである。
――――― [JIS X 0162 pdf 9] ―――――
8
X 0162 : 2008 (ISO/IEC 16085 : 2006)
1技術及び管
情報の要求
1技術と管理のプロ
フィードバック
セス理のプロセス
管理の決定
5リスク対応の実施
プロジェクトリスク台
帳及びリスク活動要求
4リスク分析の
実施
3プロジェ
クトリスク
2リスク管理の
台帳の管理
計画及び実行
6リスク監視の
実施
プロジェクトリスク台帳
7リスク管理プロセ
改善活動 スの評価
図1−リスク管理プロセスのモデル(参考情報)
ステークホルダーが参加する“1技術及び管理のプロセス”は,リスク管理プロセスが支援しなくては
ならない情報要求事項(すなわち,ステークホルダーが,情報に基づいて,リスクを含めた決定をするた
めに必要とする情報)を定義する。これらの情報要求事項は,“2リスク管理の計画及び実行”アクティビ
ティと“3プロジェクトリスク台帳の管理”アクティビティとの両方に引き渡される。“2リスク管理の計
画及び実行”アクティビティで,リスク管理が行われるであろう一般的な指針に関する方針,使用される
手順,適用される特定の技術,及びリスク計画に関連した他の問題が定義される。
“3プロジェクトリスク台帳の管理”アクティビティで,過去から現在までのリスク管理及びリスク状
態情報が得られる。プロジェクトリスク台帳は,すべての個別のリスク台帳(すなわち,個別のリスクに
関する過去から現在までのリスク情報)のすべてを含む。言い換えると,すべてのリスク状態を含む。
プロジェクトリスク台帳の情報は,“4リスク分析の実施”アクティビティを通して絶えず更新され,維
持される。そして,それはリスクを識別して,リスクの発生確率及び結果を決定して,リスク脅威量を決
定し,リスクしきい値を超えているリスクに対して,リスク対応を推奨するリスク活動要求を準備する。
推奨リスク対応は,他のリスク状況及びリスク対応状況とともに,レビューのために管理プロセスに送
られる(5)。管理プロセスでは,受容できないと判明したリスクに対して,どのようなリスク対応が実行
されるかを決定する。リスク対応計画が,対応を必要とするリスクのために作られる。これらの計画は,
――――― [JIS X 0162 pdf 10] ―――――
次のページ PDF 11
JIS X 0162:2008の引用国際規格 ISO 一覧
- ISO/IEC 16085:2006(IDT)
JIS X 0162:2008の国際規格 ICS 分類一覧
JIS X 0162:2008の関連規格と引用規格一覧
- 規格番号
- 規格名称