リスク分析対策計画表の「責任者・期限・費用」はどう書く?簡易記入で済ませる方法は?
「リスク対応計画表」の「リスク対応計画欄(責任者、期限、費用)」について、人的工数のみでリスク対応計画表をたてる必要がない場合、リスク対策の見直しを行った責任者、実施日を記載すればよいのでしょうか?
シートの使い方が混乱してしまっております。
リスク対応計画の運用、およびシートの記入方法について解説いたします。
結論から申し上げますと、費用が発生しない場合は「なし(人的工数のみ)」と記載して問題ありません。また、小規模な対策であれば別途「計画書」を作成せず、計画表内の欄に「誰が・いつまでに・(必要なら)いくらで」行うかという簡易計画を記載するだけで十分です。
1. 管理レベルの使い分け
リスク対応計画としては、「リスク分析対策計画表」のリスク対応計画の欄に記載する方法、と「リスク対応計画書」を作成する方法の2つが存在します。
当初は、個々に「リスク対応計画書」を作成するように規定していたのですが、小規模対応まで計画書を作成するとなると、煩雑になることから、規程内で例として「※ヶ月以上の期間が必要なもの」に該当する場合といった条件を設けて、いわゆる対応が多岐にわたる場合のみ「リスク対応計画書」にて計画するようにしました。
よって、ほとんどの小規模リスク対応は、「リスク分析対策計画表」のリスク対応計画の欄にて、実施責任者(誰が)と実施期限(いつまでに)、費用(いくら)で実施するといった、簡易計画になります。
- リスク分析対策計画表(簡易計画):
通常の小規模な対策。表内の「責任者」「期限」「費用」を埋めるだけで計画完了とします。 - リスク対応計画書(詳細計画):
実施に数ヶ月を要するもの、多額の費用がかかるもの、または複数の部署が関与する複雑な対策が必要な場合のみ作成します。
サンプルの「PMSリスクマネジメント規程」では、事務局の負担を軽減するため、対策の規模に応じて管理方法を分ける運用を推奨しています。
2. 各項目の記入例(人的工数のみの場合)
「費用」の欄で手が止まってしまう場合は、以下のように記載してください。
- 責任者:
その対策を確実に実行する役割の人(例:情報セキュリティ責任者、部署長など)。 - 期限:
対策を完了させる目標日。 - 費用:
「なし」あるいは「人的工数のみ」と記載。
3. 運用のコツ
Pマーク審査においては、「誰がいつまでに対策を完了させるか」という意思決定が記録されていることが重要です。
もし既に対策が終わっている軽微なものであれば、計画段階の記録として「責任者・期限」を入れ、実績欄に「完了日」を記載することで、一つの行で計画から完了までのエビデンスを完結させることができます。
