リスクの操作
ビジネスの意思決定で発生し得る不確実性や機会がリスクとなることがあります。組織の日常的な機能に影響を与え得るリスクもあります。組織の業務を円滑に進めるために、これらのリスクを特定し、軽減する必要があります。
どのようなタイプのリスクがあるでしょうか。
次のような多くのカテゴリーのリスクがあります (ただしこれらに限定されるわけではありません)。
- コンプライアンスおよび規制リスク:新しい規則や法律の導入など
- 財務リスク:ビジネスローンの金利上昇や顧客の不払いなど
- オペレーショナルリスク: 主要機器の故障や盗難など
それぞれのリスクを特定し、関連するライブラリ オブジェクトに関連付け、評価する必要があります。そこで、組織はこれらのリスクに優先順位を付け、これを軽減する最良の方法を決めることができます。
リスクの追加
リスクマネージャーでリスクを追加するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- [+ リスクを追加]をクリックします。
- [リスクを追加]パネルで、リスクの名前を入力します。
- 必要なその他の詳細を追加し、次のいずれかをクリックします。
- [
- リスクを追加]をクリックすると、リスクが保存されパネルが閉じます。 [
- 保存および新規を追加]をクリックすると、リスクを保存して別のリスクを追加できます。
結果 追加後、リスクが作成されます。
- 省略可能。リスク名をクリックして詳細なリスクのページを表示し、詳細をさらに追加します。
リスクの所有者を追加または変更する
リスクの所有者を追加または更新するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- リスクリストから、所有者を追加または更新するリスクの名前をクリックします。
[詳細]タブが開きます。
- [リスク所有者]フィールドで、ユーザーを選択し、[変更を保存]をクリックします。
結果 リスクは選択されたユーザーに割り当てられ、割り当てられたユーザーには電子メールの通知が送信されます。
さまざまなワークフローを経てのリスクの移行
リスクを作成したら、ニーズや要件に基づいて、さまざまなワークフローの状態へとリスクを進展させていくことができます。一部のワークフローの状態では、リスクを前進させるために、いくつかのフィールドに入力して基準を満たす必要があります。
リスクの状態を下書きから特定、そして分析に移行させるには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 操作するリスクの名前をクリックします。
[詳細] タブで、詳細なリスクのページを開きます。
- リスクについての情報を、ID、説明、所有者の情報とともに入力し、[変更の保存]をクリックします。
- 右上の[特定]をクリックします。
結果 ワークフローの状態は「特定」に変更されます。
- リスクに関する必要なすべての詳細が入力されたことを確認したら、[検証] をクリックします。
結果 ワークフローの状態が分析に変更されます。
メモ
上記の手順に従って、ニーズに応じてワークフローの他の状態へとリスクを進展させていくことができます。
リスクをさまざまなオブジェクトにリンクさせる
リスクは、組織全体のさまざまな資産および他のライブラリ オブジェクトと関連しています。この関係を把握し、リスクとこれらのオブジェクトをリンクさせることで、オブジェクトへのリスクの影響度を正確に計算できるようにすることが重要です。
リスクを別のオブジェクトにリンクさせるには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 操作するリスクの名前をクリックします。
[詳細] タブで、詳細なリスクのページを開きます。
- [関連] タブに移動して、以下を実行します。
- 資産をリンクするには、[資産をリンク] をクリックします。
[資産をリンク] ダイアログボックスが開きます。
- 資産のタイプと資産を選択します。
- [資産をリンク] をクリックします。
結果 資産はリスクにリンクされます。
- 統制をリンクするには、[統制をリンク] をクリックします。
[統制をリンク] ダイアログボックスが開きます。
- 統制のタイプと統制を選択します。
- [統制をリンク] をクリックします。
結果 統制はリスクにリンクされます。
- リスク評価をリンクさせるには、[リスク評価をリンク] をクリックします。
[評価をリンク] ダイアログボックスが開きます。
- リスク評価のタイプと評価を選択します。
- [リスク評価をリンク] をクリックします。
結果 リスク評価がリスクにリンクされます。
- 資産をリンクするには、[資産をリンク] をクリックします。
メモ
- 上記と同じ手順に従って、リスクを、他のリスク、プロセス、目標など、別のライブラリ オブジェクトとリンクさせることができます(これらのオブジェクトがリスク マネージャーで構成されている場合)。
- リスクの行を展開し、[関係を追加]をクリックすることによっても、ホームページからオブジェクトに素早くリンクできます。これはリスクをどのエンティティにもリンクしていない場合にのみ当てはまります。
- オブジェクトを相互にリンクすると、双方向リンクが作成されます。例:リスクを統制にリンクすると、リンクされたリスクは統制の[関連]タブに表示され、統制はリスクの[関連]タブに表示されます。双方向でリンクが機能しない場合は、サポートにお問い合わせください。
リスクと他のオブジェクトとのリンクの解除
さまざまな資産および他のライブラリ オブジェクトとのリスクの関係のリンクを解除できます。
リスクの関係のリンクを解除するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 操作するリスクをクリックします。
[詳細] タブで、詳細なリスクのページを開きます。
- [関係] タブに移動して、リンクを削除するオブジェクトの上でリンク解除アイコン
をクリックします。[関係のリンク解除] ダイアログボックスが開きます。
- [オブジェクトのリンク解除] をクリックします。
結果 リンクがリスクから削除されます。
リスクを組織単位に関連付ける
リスク マネージャーのリスクと組織単位の間に関係を作成します。組織単位は企業の基礎を構成するものであり、さまざまな会社セグメントにわたって多様な組織エンティティを結び付けています。この階層は、部門および事業単位の詳細も保存します。1 つのリスクを複数の組織単位に関連させることができます。
リスクを組織単位と関連付けるには、以下を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが表示されます。
- 更新するリスクの名前を選択します。
リスクの詳細ページが表示されます。
-
[詳細]タブの[関連した組織単位]フィールドで、リスクを関連付ける事前構成済みの任意の組織単位を検索して選択します。
-
[選択内容を適用]を選択します。
-
[変更を保存]を選択します。
結果リスクが更新されます。リスク マネージャーのホームページにおいて、[組織単位]列で特定のリスクと関連付けられた組織単位を確認できます。
メモ
組織単位の階層は、組織のシステム管理者によって事前に構成されています。組織構造の階層について詳しくは、システム管理者にお問い合わせください。システム管理者は、プラットフォーム設定で事前に構成した組織単位のリストを表示できます([プラットフォーム設定]に移動し、[組織構造]をクリックします)。組織単位について詳しくは、「組織単位の概要」を参照してください。
リスクの評価
リスクが特定され、検証され、異なるオブジェクトに関連付けられたら、リスクを評価し、リスクスコアを計算できます。リスクを評価して、組織に対するリスクの潜在的な脅威レベルを評価する必要があります。評価をトリガーすることによりそれを実行できます。
リスクを評価するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 評価するリスクをクリックします。
詳細なリスクのページが開きます。
- 上部の右側で、[評価] をクリックします。
結果 リスクにリンクされているオブジェクトに基づいて評価が生成されます。詳細については、「評価の生成方法
」を参照してください。
メモ
リスク評価は[リスクイベント評価]タブから手動で追加することもできます。
評価の生成方法
評価は、資産や統制などの他のエンティティとのリスクの関連付けに基づいて生成されます。
- リスクが資産のみに関連付けられている場合は、リスクイベント評価のみが生成されます。
- リスクが資産と統制の両方に関連付けられている場合、リスクイベント評価と統制評価の両方が生成されます。
- リスクが統制のみに関連付けられている場合も、リスク評価と統制評価の両方が生成されますが、命名規則などでいくつかの違いがあります。
例:「ウイルスの脅威」というリスクを追加し、それが資産と統制の両方に次のように関連付けられているとします。
- 資産 - ノート PC
- 統制 - ウイルス対策ソフトウェア
[評価] をクリックして評価の生成をトリガーすると、次のようになります。
- ワークフロー進捗状況が評価に変更されます。
- リスク評価が生成され、次の命名規則に従います: <リスク名> - <評価名>。たとえば、「ウイルスの脅威 - ノート PC」などとします。
- リスク評価は、リスクと資産の両方に関連付けられています。リスク評価は、[リスク]ページの[リスクイベント評価]タブや、資産管理アプリの資産の[評価]タブから見ることができます。
- リスクの次のフィールドがリスク評価にコピーされます:[リスク ID]、[リスクの説明]、[リスク所有者]。
- 統制評価が生成され、次の命名規則に従います: <統制名> - <リスク名> - <資産名>。たとえば、「ウイルス対策ソフトウェア - ウイルスの脅威 - ノート PC」などとします。
- 統制評価は、統制、リスク、および資産に関連付けられています。統制評価は[統制]ページの[評価]タブに表示されます。
- リスクの次のフィールドが統制評価にコピーされます:[統制 ID]、[統制の説明]、[統制の所有者]。
リスク スコアの計算
リスクスコアを計算するには、以下の 2 とおりの方法があります。
- デフォルト構成を使用する デフォルト構成を使用してリスクスコアを計算します。例:発生可能性フィールドと影響度フィールドは 3 x 3 マトリクス(低、中、高)で設定されます。このメソッドを使用すると、一度に 1 つのリスク (またはリスク評価) のリスクスコアを計算できます。詳細については、デフォルト構成を使用するを参照してください。
- カスタム構成を使用する 式をカスタマイズして、リスクおよび評価スコアを計算できます。このメソッドを使用すると、一度に複数のリスク (またはリスク評価) のスコアを計算できます。詳細については、リスク マネージャーでのリスクと評価のスコアリングの構成を参照してください。
デフォルト構成を使用する
評価をトリガーしたら、リスクスコアを計算できます。これは、リスクとリスク評価レコードの両方で固有のリスクスコアを計算することによって行うことができます。
固有のリスク スコアを計算するには、リスクの影響度と発生可能性を知る必要があります。参照用に以下のテーブルを確認してください。
| 発生可能性 | 高 |
中 |
高 | 高 |
|---|---|---|---|---|
| 中 |
低 |
中 | 高 | |
| 低 |
低 |
低 | 中 | |
| 低 | 中 | 高 | ||
| 影響度 | ||||
デフォルト構成を使用してリスク評価のリスクスコアを計算するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 操作するリスクをクリックします。
詳細なリスクのページが開きます。
- [リスクイベント評価]タブに移動し、リスク評価の名前をクリックして開きます。
- 必要な情報を記入したことを確認し、右上の[評価]をクリックします。
結果 ワークフローの状態が評価に変更されます。
- 右上で、[スコア] をクリックします。
結果 リスク スコアが計算され、[固有のリスク スコア]フィールドに表示されます。
メモ
[スコア]をクリックする前に、[影響度]フィールドと[発生可能性]フィールドが入力され保存されていることを確認してください。
- [承認]をクリックして、リスクスコアを確定します。
結果 リスクスコアが確定され、ワークフローの状態が監視に変更されます。
- 省略可能。[再評価] をクリックすると、評価を再び開始できます。
リスクの削除
リスクを削除するには、以下の手順を実行します。
- リスク マネージャー アプリを開きます。
リスク マネージャーのホームページが開きます。
- 削除するリスクをクリックします。
詳細なリスクのページが開きます。
- 右上の[その他のオプション
]をクリックし、それから[削除]をクリックします。 - 確認ダイアログボックスで、[削除] を再度クリックします。
結果 リスクが削除されます。
次の手順
リスクを軽減するための統制の操作を開始できます。詳細については、統制の操作を参照してください。
