運用リスク評価の実行

プロジェクトを使用すると、運用リスク評価の実行に関わるすべてのタスクを容易かつ効果的に整理し、どの程度のリスクに組織が直面するかについて定量化することができます。

最終的にプロジェクトのテストの結果は、組織の固有のリスク残余リスク スコアにロール アップできます。これにより、統制が実施される前後にどの程度のリスクが残っているかの概念がリアルタイムに得られます。

シナリオ

あなたは、ある運用リスク評価プロジェクト全体を所有するリスクマネジメントのリーダーです。チームでは、成熟した緻密なリスク評価プロセスを構築しており、3 段階評価(1-低、2-中、3-高)で複数の次元(発生可能性、影響度、Velocity、脆弱性)にわたりリスクを評価しています。

以前に、プロジェクト テンプレートからプロジェクトを作成しました。ここで、あなたは情報技術の一般統制目標のリスクのうちの 1 つの固有のリスク スコアを評価し、統制または他の軽減要因が実装されない場合に、組織が直面する未熟なリスクを判断する必要があります。

このプロジェクトで各リスクを評価するときに、統制を実装した、どの程度のリスクが残っているかを判断したいとも考えています。最終リスク評価レポートを準備する段になると、この情報が役に立つでしょう。

作業を開始する前に

このチュートリアルでは、運用リスク評価を実施するタスクに関係する、プロジェクトでの重要なエリアについて学びます。

このチュートリアルを始める前に、2 つのことを行う必要があります。

  1. プロジェクトを作成するための適切なアクセス許可があることを確認します。
  2. プロジェクトアプリを開き、運用リスク評価プロジェクトテンプレートを使ってプロジェクトを作成します。

自分のリスク スコアリング フレームワークを定義する

プロジェクトを設定して始めましょう。リスク評価プロセスの第 1 の手順は、エンティティ、部門、または業務単位にわたり使用可能な共通の評価基準(リスク スコアリング フレームワーク)を策定することです。リスクマネジメントリーダーは、通常、リスク スコアリング フレームワークを設定する責任があり、リスクを自分たちで評価する責任を持つか、評価する責任を他のチーム メンバーに委譲するかのいずれかを行うことができます。

  1. Launchpad ホームページ (www.highbond.com) からプロジェクト アプリを選択して開きます。

    すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してプロジェクト アプリに切り替えることができます。

  2. プロジェクト ホームページから、[システム管理]の下の[プロジェクトの種類の管理]をクリックします。
  3. 運用リスク評価]の横で、[編集]、[リスクと統制]タブの順にクリックします。

    このページには数多くの構成オプションがありますが、それについては心配しないでください。[リスク スコアリング係数]セクションに焦点を当ててください。ここで、リスクをプロジェクトでどのように評価するかを定義します。

  4. ページを下に向かって、[リスク スコアリング係数]セクションまでスクロールします。

    影響度、発生可能性、および Velocity のリスク スコアリング係数がすでに設定されています。組織では、3 段階評価を使用して脆弱性のリスクも評価しているため、リスク スコアリング フレームワークの一部として、リスク スコアリング係数をもう 1 つ設定する必要があります。

  5. リスク スコアリング係数の追加]をクリックし、[リスク スコアリング係数 2]セクションに以下のように入力し、ページを下までスクロールして[保存]をクリックします。

    メモ

    + 追加]を 3 度クリックし、[選択肢]の下の点の名前を付けます。

結果 発生可能性、影響度、Velocity、脆弱性のリスク スコアリング係数を使用し、3 段階評価(1-低、2-中、3-高)でリスクを評価するために使用可能なリスク スコアリング フレームワークを定義しました。ここで、リスク スコアリング フレームワークを使用し、固有のリスクの評価を始めることができます。

固有のリスクの評価

プロジェクトでリスクを評価する方法を理解したので、リスクの評価へと進みます。IT を管理する適切な統制環境を確立していない管理に関連するリスクを特別に評価する必要があります。リスクマネジメントチームの他のメンバーと協力して、リスクの影響度を、リスクの発生可能性をと判断しました。また、Velocity を、脆弱性をと判断しました。

  1. [Diligent One インスタンス]ドロップダウンリスト、[プロジェクト]の順にクリックし、運用リスク評価プロジェクトを選択して、[実地調査]タブをクリックします。
  2. 情報技術の一般統制目標の横にある[移動]をクリックし、[リスク コントロール マトリクス]を選択します。
  3. ITC-R.01: 無題のリスク]をクリックし、[リスク評価]セクションに向かって下にスクロールして、次のようにリスクを評価します。

結果ITC-R.01: 無題のリスク]の固有のリスクを評価しました。固有のリスク スコアと残余リスク スコアの両方が自動的に更新されます。現時点では、残余リスク スコアが固有のリスク スコアと同じです。リスクに関連する統制がテストされておらず、運用状況が有効であると確認されていないためです。

リスクを軽減するよう策定されている統制を指定する

プロジェクト テンプレートを使用する利点は、事前に構築されたリスク コントロール マトリクスがすでに同梱されていることです。そのため、ここでは適切な統制がリスクに関連付けられていること、および各統制に適切な重要度が割り当てられていることを確認することだけが必要です。

  1. ページを上にスクロールし、[リスク コントロール マトリクス]タブをクリックします。
  2. ITC-R.01: 無題のリスク]の横で、[統制の関連付け]をクリックします。

    適切な統制(ITC-01ITC-02、および ITC-03)がリスクと関連付けられていることを確認します。各統制には指定された 100% の統制の重みがありますが、あなたはこの情報が正確でないと判断しています。

  3. 次の統制の重みを更新し、[保存]をクリックします。
    • ITC-01 25%
    • ITC-02 25%
    • ITC-03 50%

結果 どの統制がリスクを軽減するために策定されているかを指定し、各統制によって軽減されるリスクの割合(%)を示しました。

統制の有効性を評価する

あなたのリスクと統制の関連性は正確に設定されています。ここでは、各統制をテストして、運用の有効性を評価する必要があります。1 つ以上の統制の運用状況が有効である場合は、残余リスク スコアは固有のリスク スコアより低くなります。

  1. 統制評価]タブをクリックします。
  2. ITC-01]の横で[表示/編集]をクリックし、ページを下にスクロールして、[この統制は有効?]から[有効]フィールドを選択し、[保存]をクリックします。
  3. ITC-02ITC-03 に対し、手順 1 と 2 を繰り返しますが、ITC-02有効ITC-03非有効としてマークします。

結果 各統制の運用状況の有効性を評価しました。ITC-01 と ITC-02 は "合格"と定義されている一方で、ITC-03 は "不合格" として定義されています。

残余リスクを表示する

最後は容易な手順です。統制を実装したあと、どの程度のリスクが残っているか確認しましょう。

  1. リスク コントロール マトリクス]タブ、[ITC-R.01: 無題のリスク]の順にクリックします。
  2. 評価]セクションまでページを下にスクロールし、残余リスク スコアを表示します。

結果 残余リスク スコアは固有のリスク スコアの 50% です。すべての統制が運用状況は有効していた場合は、残余リスク スコアは 0.0 になることでしょう。すなわち、実装されている統制はリスクを 100% 下げていることになります。ただし、3 つの統制の 2 つのみが合格であったため(ITC-01ITC-02の重要度の両方が 25%)、実装されている統制はリスクを 50% 下げていることになります。

ディスカッション

運用リスク評価を実行しました。ここでは、次の手順、そして固有のリスクと残余リスクを集約レベルでレポートするオプションについて習得します。

次の手順

統制を有効、または非有効であると判断した理由を証明するには、各統制評価の[評価の結果]セクションに記入し、リザルト アプリからファイルをアップロードしたり、証拠をリンクさせたりして、サポート ドキュメントを追加します。このシナリオでは、統制評価の 1 つ(ITC-03)が失敗したため、問題のログを記録して、この例外を注記することもできます。

リスク評価の自動化

運用リスク評価を実行することは、時間を要する、手動のプロセスである場合があります。効率を上げるためには、評価ドライバーを作成し、リスク評価を自動化することができます。こうして、変化により素早く対応し、適時に適切な人に情報を提供することができます。

詳細については、「運用リスク評価の自動化」を参照してください。

より大きな概念は何ですか?

以前は、単一のリスク(ITC-R.01: 無題のリスク)に対して固有のリスク スコアと残余リスク スコアをレビューしていました。しかしながら、固有のリスク レベルでのレポートは非常に詳細です。多くの場合、集約レベルで固有のリスクと残余リスクをレポートする必要があります。たとえば、単一の目標のすべてのリスクにわたり、またはそのプロジェクトのすべてのリスクにわたり、集約された固有のリスクと残余リスク スコアをレポートする必要がある場合があります。

目標レベルでの集約リスク スコアの表示

そのプロジェクトの[進捗]をクリックすることで、単一の目標のすべてのリスクにわたり、集約された固有のリスクと残余リスク スコアを表示できます。

プロジェクト レベルでの集約リスク スコアの表示

リザルト]タブをクリックすることで、そのプロジェクトのすべてのリスクにわたり、集約された固有のリスクと残余リスク スコアを表示できます。