By: adminPosted on

リスク管理プロセスとは何か、なぜそれが必要なのか?

リスクは、あなたの目標を達成する能力を改善または低下させる可能性のあるあらゆる種類の不確実性を表します。 これは、プロジェクト、財政、セキュリティとプライバシー、および環境に影響を与えるリスクを含む、多くの形を取ることができます。 肯定的なリスク(機会)または否定的なものの両方については、リスクと報酬のバランスを理解するための意図的なアプローチが必要です。 この記事では、組織に悪影響を及ぼす可能性のあるリスクを管理するためのプロセスに焦点を当てています。

最近の歴史は、リスク要因が企業や個人の運営方法に与える影響、そしてそうし続けることができるかどうかを強調しています。 競合他社よりも優れたリスクをナビゲートする能力は、確かに企業の成功に貢献します。 そうしないと、おそらく回復を超えて、災害を綴る可能性があります。

これらの理由から、実績のある一貫したリスク管理プロセスを適用することが重要です。 組織の目標、目的、および内部/外部のコンテキストを理解する強固な基盤の上に構築された場合、リスク管理プロセスは、組織の成功を確実にするのに

リスク管理プロセスの5つのステップは何ですか?

多くの知識団体がリスク管理を文書化しているが、おそらく最もよく知られているのは国際標準化機構(ISO)のものである。 ISO31000規格であるRisk management–Guidelinesには、さまざまなリスクについての通信、管理、監視方法に関する広範な情報が含まれています。 このプロセスは、どのタイプのエンティティでも基本的に同じであり、次の5つのステップで構成されています:

この記事は、

リスク管理とは何か、なぜそれが重要なのかの一部です。

  • ガバナンス、リスク管理、コンプライアンス(GRC)
  • リスク回避
  • リスクマップ(リスクヒートマップ)

  1. リスクを特定する。
  2. それぞれの尤度と影響を分析します。
  3. 企業目標に基づいてリスクの優先順位を決定する。
  4. リスク条件を治療(または対応)する。
  5. 結果を監視し、必要に応じて調整するためにそれらを使用します。

これらの手順は簡単ですが、すべてのビジネスには、リスクの管理と監視方法に影響を与えるユニークな要因があります。 これらの要因を決定して適用するには、さまざまなリスクの全体的な管理を計画、実行、追跡するための包括的なアプローチの一環として、リスク管理

リスク管理プロセスの5つのステップ
図1. 効果的なリスク管理プロセスには、これらの5つのステップが必要です。

また、リスク管理プロセスの目標は、広範な枠組みの中で、すべてのリスクを完全に排除するのではなく、目標を考慮して許容可能なリスクレベルを決定し、それらのリスク要因を合意された境界内に保つように努めることであることに留意することも重要である。 以下の手順は、特定のアクションを決定して適用するのに役立ちます。

リスクの特定

最初のステップは、潜在的なリスク自体を決定することです。 それにはいくつかの文脈が必要です:何が間違っているのかを考えるためには、何が正しく行かなければならないのかから始める必要があります。

あなたの目標と目標、そしてそれらを可能にするさまざまなリソースや資産のレビューでプロセスを開始します。 リスク実務家は、多くの場合、それらの目標を妨げる可能性があるものについて考えるためにトップダウン、ボトムアップアプ

トップダウン部分は、障害を受けてはならないミッションクリティカルなプログラム(小売店での販売取引や工場での製造プロセスなど)を考慮し、それらのプログラムを障害する可能性のある条件を一覧表示する。

ボトムアップの部分については、様々な既知の脅威源(地震、ランサムウェア攻撃、景気後退など)を考慮し、それらが企業にどのような影響を与えるかを

リスクは、定義上、目的に影響を与える不確実性であるため、リスクは影響がある場合にのみリスクです。 リスクに影響を与えるほど、優先順位は高くなります。 その優先度の分析は次のステップで行われますが、最初に測定できるシナリオを作成するには、さまざまなリスク要因を考慮する必要があります。

NIST省庁間レポート(NISTIR)8286A–“企業リスク管理(ERM)のサイバーセキュリティリスクの特定と推定”–リスクシナリオの開発に関するガイダンスを提供します。 報告書によると、負のリスクを記述するためには、次の四つの要素が存在する必要があります(図を参照2):

  1. 影響を受ける貴重な資産またはリソース;
  2. その資産に対して行動する脅迫的行為の原因、
  3. その脅威源が行動することを可能にする既存の条件(または脆弱性)、および
  4. その脆弱性を悪用

これらの構成要素を使用することで、分析、ソート、処理する幅広いリスクシナリオを構成することができます。 シナリオとしてリスクを記述することは、リスクの状況を伝え、リスクの可能性と影響を分析するのに役立ちます。 また、どのように対応するかを検討することも容易になります。 例としては、”製造工場は熱帯低気圧による停電の影響を受け、数日間工場の操業が中断される”などがあります。”

負のリスクの属性
図2. 負のリスクは、これらの4つの属性を持つものとして定義されます。

後知恵は決して完璧ではありませんが、将来どのようなリスクイベントが発生する可能性があるかについての有用な洞察を提供します。 特に、類似の企業が直面しているリスク、それらを可能にした条件、およびリスクが組織にどのように影響を与えたかについての見出しを確認する

リスクカテゴリ

様々なタイプのリスクを考慮する際には、それらをカテゴリに整理することが有用であるかもしれません。 この分類により、特定のトピックに精通している個人またはチームが、各タイプのリスクを考慮して追跡することができます。 例えば、リスク管理ガイダンスを提供する専門組織の共同イニシアチブであるTreadway Commissionのスポンサー組織委員会は、リスクを次の四つの分野に編成するこ:

  • 戦略的リスク(評判、顧客関係、技術革新など)、
  • 財務および報告リスク(市場、税、信用など)、
  • コンプライアンスおよびガバナンスリスク(倫理、規制、国際貿易、プ、情報と技術のセキュリティとプライバシー、サプライチェーン、労働問題、自然災害)。

リスクのカテゴリは、管理者がリスク対応について伝達し、追跡し、調整するときに情報を統合するのにも役立ちます。 リスクカテゴリごとに、シナリオを開発するための意図的なプロセスは、リストが十分に包括的であることを保証します。 シナリオの視覚化と評価に役立つ多くのツールが用意されています。 例としては、次のものがあります:

  • プロジェクトリスクのリスクブレークダウン構造(例:”リスク内訳構造(RBS)を使用してリスクを理解する”)、
  • サイバーセキュリティリスクの脅威ツリー(Carnegie MellonのOCTAVE Allegro方法論など)、および
  • 投資リスクを考慮するためのDelphi演習。

この最初のステップであるリスク識別の最後の要素は、調査結果をリスクレジスタに記録することです。 リスクレジスタは、後続のステップ全体でさまざまなリスクを通信して追跡する手段を提供します。 上記のNISTIR8286レポートでは、このようなレジスタの例と、リスク管理プロセスステップの結果の多くを記録するサンプルリスク詳細テンプレートを提供し

リスクの可能性と影響の分析

上記のように、リスクは影響がある場合にのみリスクであるため、リスク管理プロセスの第二段階は、リスクが発生する可能性があり、測定可能な影響があることを分析することです。

リスク分析には科学全体がありますが、本質的にこのステップは、リスク事象が発生する確率の計算と、それが起こった場合の結果の影響の推定です。 多くの場合、即時の影響がありますが、他の後続の結果もある可能性があるため、計算でこれらの要因のそれぞれを考慮することが重要です。 患者の健康記録を含むラップトップの損失を考えてみましょう-すぐに財産の損失がありますが、その患者情報の損失は、紛失したデバイスのコストをはるかに上回る罰金、訴訟、評判の損害をもたらす可能性があります。

リスク分析には、計算の一部として時間係数を含める必要があります。 財務報告システムはしばしば重要と見なされますが、税務準備期間中には、その完全性と可用性のニーズが特に重要になる可能性があります。 リスクイベントの頻度は、考慮すべきもう一つの時間ベースの要因です。

多くの組織は、それらの価値を表現するために一般的な、または定性的な用語を使用します。 たとえば、リスクを伝えるために”高リスク”や”低確率”などの用語を使用したり、赤-黄-緑の配色を使用したりすることがよくあります。 組織は、リスク分析に対するより科学的で具体的な定量的アプローチの恩恵を受ける可能性があります。 たとえば、Open GroupのOpenFAIR標準でインスタンス化されたFactor Analysis of Information Risk(FAIR)アプローチを使用して、推定のための色よりも役立つ可能性のある詳細なリスク計算を実

定性的および定量的リスク分析の両方を実行するための数十の方法があり、その多くはISO/IEC(International Electrotechnical Commission)standard31010,”Risk management–Risk assessment techniques.”この出版物は、技術”は、ISO31000に記載されているように、より一般的には不確実性とその影響を理解する必要があるときはいつでも、リスクを特定、分析、およ”

企業目標に基づいた優先順位付け

リスク分析の結果により、リスクの重要性に基づいてリスクをソートし、ランク付けすることができます。 リソースは限られている可能性が高いため、優先順位付けは、最も可能性が高く、最も影響力のあるリスクを強調するのに役立ちます。 これらの結果をリスクマップに反映することは、各リスクの相対的な重要性を視覚化するのに役立ち、他の利害関係者、特にそれらのリスクに対応す

リスクの最初の優先順位付けは、可能性と影響の組み合わせに基づいている可能性がありますが、最終的な順位は、これらの利害関係者にとって重要 たとえば、顧客の信頼が企業にとって重要な価値であるとリーダーシップが表明している場合、顧客に影響を与える可能性のあるリスクを強調するこ

費用対効果の高い方法でリスクを扱う

リスクの優先順位付けされたリストを設定して、次のステップは、それらのリスクを治療するために利用可能なオプションを評価し、許容可能なレベルのリスクを達成するために様々な方法とコントロールを適用することです。 これを行うには、次のようないくつかのオプションがあります:

  • リーダーシップのリスク選好度に基づくリスクがすでに許容可能なレベルにある場合、それ以上の治療は必要ありません。
  • 影響の一部を他のエンティティと共有することが可能な場合(例:、保険会社、外部サービスプロバイダー)、その後、リスクの一部は、そのように転送することができます。
  • 各リスクの可能性または影響を許容可能なレベルに減らすのに役立つ、実用的で様々な管理、技術および管理上のリスク管理が適用される場合。
  • これらのリスク対応方法のいずれも適用できない場合、リスク管理者は、シナリオを考慮することを可能にする活動またはエクスポージャーを排除することによってリスクを回避しなければならない。

適用される方法が効果的かつ費用対効果の高いものであることを確認することが重要です。 このアプローチは、銀行がインクペンを保護するために20セントチェーンを使用し、現金準備を保護するために百万ドルの金庫を使用する理由を説明し リスクを治療するために必要なリソースは、保護されている資産に見合ったものでなければなりません。

リスク管理結果の監視

上記の各ステップの後でさえ、リスクが組織のリーダーによって確立された限界内にとどまることを確実にするために、結果 リスク条件は急速に変化し、資産価値は変動し、利害関係者の好みは変化する可能性があります。 モニタリングの重要な部分は、組織に影響を与える可能性のあるリスク目標や変更に向けた進捗状況について、管理者や上級リーダーに通知することで このサイクルは、W.Edwards Deming博士が普及したPDSA(Plan-Do-Study-Act)サイクルに似ており、リスク管理プロセスの継続的な改善を可能にします。 組織全体のさまざまなチームがリスクを特定、分析、対応するためのアクションを実行すると、結果は次のイテレーションに通知し、精緻化します。

結論

これらのステップを適用することにより、より広範なガバナンスと管理の枠組みの中で、組織は有害な影響を与える可能性のあるリスクを一貫して特定し、費用対効果の高い治療を優先し、結果を監視して継続的な改善を維持することができます。

コメントを残す

メールアドレスが公開されることはありません。