エンタープライズリスクマネジメントの実装

さまざまな種類のリスクの評価は、多くの場合、組織の別々の部分で全く異なるプロセスを用いて管理されます。ERM 部門が業績を上げるには、組織のすべてのエリアに影響を与えるさまざまなリスク レベルを認識する必要があるだけでなく、リスク低減のために使用されているテクニックを理解する必要もあります。この記事では、ストラテジーおよびプロジェクト アプリを使用して、エンタープライズリスクマネジメントを実装する方法について説明します。

この記事は、戦略的目標とリスクの特定に説明されている例に基づいて作成されています。

エンタープライズリスクマネジメントを実装する意味

エンタープライズリスクマネジメントの実装とは、組織が、期待された結果を変え得る現在と新しいリスクを認識し、積極的にリスクに対応できるよう徹底する、継続的かつ進化するプロセスです。

ERM の実装に関わる主なプロセスが 3 つあります。

  • リスクの評価は、業務セグメント、エンティティ、または事業単位にわたり使用可能な共通の評価基準の作成と、どの程度のリスクに組織が直面するかの決定を伴います。
  • リスクの優先順位付けは、事前に定めた目標のリスク レベルと、許容しきい値に対するリスク レベルの比較を伴います。
  • リスク対応は、対応オプションの検査、費用対効果分析の実行、対応戦略の作成、およびリスク対応計画の策定を伴います。

エンタープライズリスクマネジメントを実装する場所

Diligent では、ストラテジーおよびプロジェクト アプリを使用して、リスクを評価、優先順位付けし、リスクに対応します。ERM プログラムでは、価値、ビジョン、および評価に合わせて、市場参入能力と製品のイノベーションにおける成長の課題を加速化し、また常に確実にお客様に最善の体験を提供できるようにします。

全体像

  • リスク ワークショップは、組織内で固有のリスクを協働して評価するために使用でき、その結果は組織のリスク プロファイルに適用できます。
  • 固有のリスク評価が完了したら、構成可能なリスクヒートマップを使用してリスクを視覚化し、目標 (フレームワーク プロジェクトに含まれている) を戦略的リスクにリンクさせることで、リスク対策を定義できます。

固有のリスク評価と予備の対策評価を終了したら、残余リスクを評価し、組織で最も配慮する必要のある領域がよく理解できます。

手順

ツアーに向けて準備完了?

これらの機能を文脈でより詳しく見ていきましょう。

1. リスクを評価する

リスクの評価とは、どの程度のリスクに組織が直面するかの判断を行うエンタープライズリスクマネジメントのプロセスです。多くの組織は、まずリスクを定性的に評価することから始め、次に次第に定量的能力を開発して意思決定の要件に合わせます。

リスク評価基準を策定する

最初のステップは、業務セグメント、エンティティ、または事業単位にわたり使用可能な共通の評価基準を作成することです。これにより、多様なリスク スコアリングを実行し、複数の係数におけるリスクを評価するほか、業界固有のリスク フレームワークに使用されるリスク評価モデルを指定できます。

シナリオ

あなたは、組織にわたり、リスクを論理的に評価する必要のあるリスク プロフェッショナルです。組織では初めてエンタープライズリスクマネジメントを実施するため、発生可能性と影響度に関してリスクを評価することから始めたいと考えています。リスクをスコアリングする方法を設定することで、組織のリスク フレームワークを見本とし、このフレームワークを特定されたすべてのリスクに適用できます。

プロセス

ヘルプ トピック リスク スコアリングの設定

ストラテジーの[設定]内の[スコアリング]セクションに進み、次のリスク スコアリングの基準を策定します。

  • 発生可能性 (3 段階評価: 1-低、2-中、3-高)
  • 影響度 (3 段階評価: 1-低、2-中、3-高)

また、各リスク スコアリング係数の重みを 100% と指定し、影響度と発生可能性の両方の均等な重要性を反映します。

結果

組織にわたるすべてのリスクは、発生可能性と影響度によって3 段階評価を使用して評価できるようになりました。

固有のリスクの評価

固有のリスクは、未対策のリスク、または組織が直面する生のリスク (統制または他の軽減係数が設定されていない場合) の評価から導かれる計算です。固有のリスクの評価には、ストラテジー マップで定義された戦略的目標とリスクの関連付けと、複数のリスク スコアリング係数に関するすべての運用セグメントにわたるリスクの評価が伴います。スコアを指定したら、ストラテジーは固有のリスクを自動的に計算します。

ヒント

戦略的リスクの手動でのスコア付けを回避するには、評価ドライバーを使用し、さまざまなリスク評価を自動化することができます。リザルト アプリで作成されたメトリクスをストラテジーのリスク評価にリンクさせて、評価を通知し、事前定義されたメトリクスの範囲に基づき、固有のリスク スコアを自動入力することができます。リスク評価に変更があった場合には、主要な利害関係者に通知できます。

シナリオ

組織のリスク評価基準を設定したので、あなたは固有のリスク、すなわち、統制やその他の軽減係数が設定されていない場合に存在するリスクの評価を始めることができます。このプロセスを始めるために、ラテックス処方リスクを評価したいと考えています。このリスクは、極秘の製法が競合他社の手に入る場合のある可能性を軸として展開するものです。あなたの組織である Vandelay Industries は、このようなことが発生したら、確実に倒産するでしょう。

プロセス

ヘルプ トピック 固有のリスクの評価

まず、ラテックス処方リスク評価を開き、リスクが脅す関連する戦略的目標とそのリスクを関連付けます。次に、発生可能性と影響度に基づく、すべての関連部門にわたりリスクを評価します。

  • 戦略的目標 イノベーション主導型の戦略、国際的拡大、25% (マーケティング) のブランド認知の向上、2 桁の収益増大 (売上)、カテゴリのリーダーシップの維持、正味プロモーター スコアの 35% 超の上昇
  • 部門 研究&開発、オペレーション、営業、マーケティング、財務/法務、人事

結果

ラテックス処方リスクの固有のリスク評価を完了しました。

リスク ワークショップの実施

リスク ワークショップは、追加の情報を収集し、経営陣と事業部門のリーダーと協力してリスクを評価する、協働のオンライン フォーラムを提供します。組織に参加する社外コンサルタントは、リスク ワークショップ機能を使用し、さまざまな利害関係者からの情報を都合に合わせて管理、統合できます。各参加者がリスクのスコアをつけることができ、そのスコアは、単一のリスク プロファイル ビューに適用できる単一のリスク評価に自動的に平均化、集約できます。

ヒント

リスク ワークショップの推進を成功させるためのポイントとなる事柄がいくつかあります。

  • リスク スコアリングの基準の明確な定義を提供する スコアリング リスクへの一貫したアプローチを提供するために、定義がすべての参加者に利用できるよう徹底します。これを最も簡単に行う方法は、リスク スコアリング係数と各スコアのわかりやすい説明を入力することです。この入力作業は、リスク スコアリング設定を構成する際に行えます。これにより、リスク ワークショップの参加者は、リスク スコアリングを行う際に、上記の定義を利用できるようになります。
  • 適切な参加者を選定する ビジネスについて詳しく、特定の事業運営への考察を提供できる各種部門からの担当者を選定する
  • 参加者数を制限する 10 ~ 25 名の参加者を関与させるのがベストプラクティス。多数の参加者を関与させる必要がある場合は、リザルト アプリからアンケートを送信するとより効率的である

シナリオ

あなたは、リスク評価のプロセスにさまざまな利害関係者に協働してもらうよう招待したいと考えていますが、残念ながら、主要な利害関係者を同じ部屋に同時に確保できません。特定されている戦略的レベルのリスクのすべてが、取締役会や経営幹部レベルの管理職によって所有されていますが、一個人は事業の個々の部分の運営状況の包括的な知識は持っていません。事業のさまざまな人から情報を集め、単一の一元的な場所でこれらの情報を都合よく管理する方法が必要です。

プロセス

ヘルプ トピック リスク ワークショップのファシリテーション

まず、リスク ワークショップを作成し、ワークショップの参加者が協働のオンライン フォーラムで評価するリスクを追加します。そこで、関連する参加者を追加し、各参加者にリスク ワークショップを送信します。参加者がスコアリング リスクを終了したら、スコアは単一のリスク評価に自動的に平均化、集約され、あなたは、集約されたリスク評価を組織のリスク プロファイルに適用することを決定します。

結果

組織で特定されたすべてのリスクについて固有のリスク評価が完了しました。

2. リスクの優先順位を付ける

リスクの優先順位付けとは、リスク レベルを事前に定めた目標のリスク レベル、および許容しきい値と比較することで、リスクマネジメントの優先順位を決定するプロセスです。リスクは、財務上の影響度と可能性という点だけでなく、健全性と安全性影響度、評判の影響度、脆弱性、および発現速度をはじめとする主観的な基準に基づいても確認できます。

状態ごとにリスクを整理する

各リスクを状態に割り当て、リスク軽減のワークフローで現在の進捗状況を定義することで、リスクを整理できます。各状態はリスク プロファイル内の別々の列に表示されます。リスク評価、および組織のリスク許容レベルとリスク選好度に基づき、ある状態から別の状態へリスクを移動することができます。

シナリオ

各特定されたリスクが組織にわたり評価されたので、あなたは組織のリスク軽減ワークフローに基づき、リスクを整理し、これをさまざまな進捗状況または状態に割り当てたいと考えています。

プロセス

ヘルプ トピック 状態へのリスクの割り当て

リスクの評価と組織のリスク許容度に基づき、特定の状態から別の状態へリスクを移動します。特定のリスクでは、リスクを受け入れたり転送したりする継続時間を指定します。時間枠を指定すると、特定のリスクを簡単にあとで再評価できます。

結果

リスク プロファイルを次のように設定します。

リスクを視覚化する

リスクの視覚化により、組織に影響を及ぼすリスクの総体的なビューを確立して伝えることができます。リスク ヒートマップは、多くの場合、組織の健全性に関する戦略的な意思決定ができるように、リスクの潜在的な発生可能性と影響度を伝えるために使用されます。ストラテジー ヒートマップは、組織でリスクの集約を視覚化するためにも使用され、優先度のリスクを軽減するためにリソースをどこで提供するかについて意思決定を通知する手助けができます。

シナリオ

あなたは、リスクに優先順位を付ける必要がありますが、全組織にわたりすべてのリスクを比較することは挑戦であることが分かっています。リスクの視覚化により、リスク評価の結果を表せるようになるだけでなく、適切なリソースをそれに応じて展開できるように組織のどのエリアが最も懸念されるかを判断できることが分かります。

プロセス

ヘルプ トピック リスク ヒートマップの理解

既定のリスク ヒートマップを開き、予備の重点領域としてどのリスクを検討すべきかを定めます。懸念が大きい分野はリスク ヒートマップの右上の四分円状で表され、懸念が小さい分野は右下の四分円状で表されます:

結果

リスク ヒートマップに基づき、組織にとって最も懸念するリスクを素早く決めることができます。

3. リスクに対応する

リスクに優先順位付けをした後は、リスク対応計画を定義し、残余リスクを評価する時間になります。ERM 機能は、リスクに最も近い前線の運用業務担当者によって拡張される必要があります。これは、プロジェクトからの運用リスクと統制データをストラテジーの戦略的リスクに接続することで実施されます。このハイブリッドのトップダウンとボトムアップのアプローチは、年次評価で特定されるすべてのリスクの包括的な対象範囲に到達する機会を与え、組織で適切な社員の専門知識を活用することで説明責任を組み込みます。

リスク対策の定義

リスク対策とは、リスクを軽減するために組織が実施する対策です。対策には、取り組み、プログラム、ポリシー、または統制目標などがあります。これはプロジェクトで作成し、ストラテジーで戦略リスクにリンクすることができます。この結合により、年次のリスク評価中に特定されたすべての運用リスクを確実にカバーでき、組織がどの程度よくリスクの軽減を行っているかを判断することができます。

ヒント

予備の対策評価により、1 つのリスクの低減にリソースを投入しすぎていると示される場合があります(対策% >= 100%)。このような場合には、リスク評価により、特定のリスクに対する対策の量を低減し、そのリスク対策に関係するリソースの量を縮小する潜在的な機会が示されます。

シナリオ

リスクの優先順位付けプロセスの結果として、あなたは、組織にとって主な懸念となるリスクがラテックス処方リスクであることを特定しました。固有のリスク ヒートが 70.3% であることから、リスクが適切に軽減されるように、調整された取り組みを行う必要があることが分かっています。保証チームとの緊密な協力を始めて、ラテックス処方が盗まれる発生可能性と影響度を低減する対策を定義します。

プロセス

ヘルプ トピック リスク対策の定義

保証チームは、プロジェクト アプリで Latex Facility Security Review プロジェクトを作成し、次の目標を定義します。

物理セキュリティが適切に外で維持されるように徹底する

ストラテジーでは、ラテックス処方リスクを開き、[対策]タブに進み、プロジェクトで最近作成された目標を[ラテックス処方]リスクにリンクさせます。

結果

関係が、ストラテジーの戦略リスクとプロジェクトのリンクされた目標間で定義されることにより、保証とテスト結果を追跡し、残余リスクを評価することができます。

残余リスクの評価

固有のリスクを評価し、リスクの対応方法を定義したあとは、対策でリスクが削減された量を評価する予備の対策評価を実施します。これにより、組織のリスク選好度を超えて企業がリスクにさらされる領域を特定できます。残余リスクの評価では、対策パーセントを指定し、どの程度の対策で固有のリスクが減るかを定義する必要があります。対策パーセントは、保証を提供するために統制がテストされる前の、実施されている対策の取り組みの予想有効性に基づきます。

ヒント

パーセントを 0~100% の範囲で指定します。対策 % の合計は、100% を超える追加となる場合があります。ただし、100% を超える対策合計は、組織は、リスク対策の改訂を検討すると、リスク対策に関わるコストを削減可能であることを示す場合があります。

シナリオ

ラテックス処方リスクと、物理セキュリティの目標間で関係を定義したので、あなたは対策がどの程度リスクを低減するかを評価する予備の対策評価を実行する必要があります。評価により、組織のリスク選好度を超えて企業がリスクにさらされる領域を特定できます。

プロセス

ヘルプ トピック 残余リスクの評価

まず、対策パーセントを指定し、どの程度の対策で固有のラテックス処方リスクが低減するかを定義します。保証を提供するために統制がテストされる前に、対策パーセントを、実施されている対策の取り組みの予想有効性に基づいて決定します。

結果

各パーセントを入力すると、運用セグメントに関連付けられたすべての対策の対策 % が自動的に更新します。残余リスク スコア残余リスク ヒートの値も自動的に更新します。残余リスク評価の結果に基づき、リスクを受け入れるか、回避するかを選択できます。

プロセスレベルのリスクと統制の範囲を決定し、評価する

戦略的リスク評価の結果に基づき、保証チームは、マイクロレベルまたはプロセスレベルのリスクと統制の計画と範囲決定のほか、プロジェクト アプリで調書とコミュニケーションの一元化を開始できます。各契約は、最終報告書を構成する背景、目標、範囲を使って計画でき、計画ファイルは必要に応じて添付できます。評価チームは、組織が遵守することを選択するリスク フレームワークに基づいた数値評価を使用してリスクを定量化するほか、統制の有効性を評価、および問題を記録し、組織の主な統制が予想される運用リスクをどの程度効果的に緩和しているかを示すために定量化データを表し、リソースを最も高いリスク領域に割り当てることができます。

ヒント

プロジェクトで統制テストから証拠を統合して、取引データをストラテジーの戦略的リスクに戻して集約し、このデータを使用して、経営陣や取締役への推奨事項をバックアップします。

シナリオ

ラテックス処方リスク対策の一環として、対策が機能していることを徹底する必要があります。すなわち、ラテックス処方リスクが適切に対策が取られており、リスクを軽減しない効果のない手続きにリソースを消費していないという保証が必要となります。

プロセス

ヘルプ トピック 手続きの実行および統制のテスト

対策の有効性を判断するには、保証チームは、 物理セキュリティが適切に外で維持されるように徹底する目標の下で一覧化される各手続きをテストします。

  • 3-01 窓は無理な侵入から保護される材質で構成されているか、その材質でカバーされている必要があります。これらの材質から構成されていない窓は、侵入検出システムで保護されていなくてはなりません。IDS は応答サービスに警告を出し、15 分以内に対応します。
  • 3-02 週末は、施設の主要玄関 (デンバーの南 1 (DV1) とロサンゼルスの南 2 (LA1)) のみがキー カードでの入館が許可されています。
  • 3-03 視覚的監視は、作業時間外はいつでも維持されます。
  • 3-04 照明は、無許可の行為を検出できる十分な強度のものとします。

保証チームは、各手続きに 25% の重みも付けます。すなわち、手続きが軽減するリスクの割合が 25% ということになります。

結果

保証チームは、各手続きの評価を把握し、手続き 3-02 を実行する結果として問題を特定します。

次の手順

リスクをレポートし、監視する方法を習得する

ストラテジー、プロジェクト、およびリザルト アプリの組み合わせを使用すると、戦略的リスクに関連する保証とテスト結果を追跡し、データを統合してリスクの監視を手助けするほか、さまざまなレポートを生成して関係利害関係者と共有することができます。

詳細については、リスクのレポートと監視を参照してください。

アカデミーのコースを受講する

STRAT 100 学習パスを受講して、引き続きこの記事で紹介したコンセプトに関する知識を確立しましょう。

アカデミーは、Diligent のオンライントレーニングリソースセンターです。Diligent One サブスクリプションのユーザーは、アカデミーコースを無償で受講できます。詳細については、アカデミーを参照してください。