リスクの評価
リスクの評価とは、どの程度のリスクに会社が直面するかの判断を行う企業リスク マネジメントのプロセスです。リスクの評価は、会社が不確実性に直面した場合のマイナス影響の評価に全面的に焦点を絞る一方で、潜在的な機会を特定するためにも使用できます。
評価基準の策定
リスク評価プロセスの第 1 の手順は、業務セグメント、エンティティ、または事業単位にわたり使用可能な共通の評価基準を策定することです。
エンタープライズリスクマネジメントを会社または部門が初めて経験する場合は、発生可能性と影響度に関してリスクを評価することから始めることができます。評価プロセスを効率化し、会社のリスク プロファイルをさらに分析できたら、脆弱性や速度をはじめとする追加的な次元におけるリスクの評価を開始することもできます。
評価基準の策定の詳細については、リスク スコアリングの設定を参照してください。
固有のリスクの評価
固有のリスクは、対処されていないリスクの評価から派生する計算です。これは、統制またはその他の軽減要因を設定していない場合に会社が直面する生のリスクです。
固有のリスクの評価方法
会社が定義したリスク スコアリング フレームワークに基づいて、固有のリスクを評価します。
固有のリスクの評価では次のことを行います。
- ストラテジー マップで定義された戦略的目標にリスクを関連付ける
- 複数のリスク スコアリング係数を使い、すべての運用セグメントにわたってリスクを評価する
以下の表は、固有のリスクを評価するために使用できる 2 つのアプローチを示したものです。
アプローチ | 用途 | 情報 |
---|---|---|
リスク ワークショップを使用してリスクを協業によって評価する | Diligent One 内でリスク スコアリングについて検討して協業する会社 | |
リスク プロファイルでリスクを個別に評価する | Diligent One プラットフォーム外で検討した後に手動でデータをリスク プロファイルに入力する会社 | 固有のリスクの評価 |
リスク評価を自動化するには、評価ドライバーを使用します。 | リスク評価を自動化するとともに、変更が発生したら主要な関係者に通知しようとしている会社 | 戦略リスク評価の自動化 |
リスク対策の定義
リスク対策とは、リスクを軽減するために会社が実施する対策です。対策には、取り組み、プログラム、ポリシー、または統制目標などがあります。これはプロジェクト アプリで作成し、ストラテジー アプリで戦略的リスクにリンクさせることができます
リスク対策の定義方法は?
固有のリスクを評価したあとは、リスク対策を定義できます。リスク対策は、プロジェクト アプリの目標を、ストラテジー アプリの戦略的リスクにリンクさせて定義します。このようにリンクさせることで、プロジェクトから保証情報とテストの結果を集約し、ストラテジーで残余リスクを評価することができます。
詳細については、リスク対策の定義を参照してください。
残余リスクの評価
残余リスクは、統制および他の軽減要因が設定された後に残るリスクの量を評価して得られる計算です。残余リスクは、会社の最も高いリスク領域を示し、それに応じてリソースを展開できるようにするうえで重要になります。
残余リスクの評価方法
固有のリスクを評価し、リスクの対応方法を定義したあとは、対策でリスクが削減された量を評価する予備の対策評価を実施します。これにより、会社のリスク選好度を超えて企業がリスクにさらされる領域を特定できます。
残余リスクの評価では、対策パーセントを指定し、どの程度の対策で固有のリスクが減るかを定義する必要があります。対策パーセントは、保証を提供するために統制がテストされる前の、実施されている対策の取り組みの予想有効性に基づきます。
残余リスクを評価する手順については、残余リスクの評価を参照してください。
機会と対比した、リスクの特定
固有のリスク評価と予備の対策評価を終了したら、会社で最も配慮する必要のある領域がよく理解できます。会社に最も影響を与えるリスクを監視し、対策によってリスクの影響を十分低減できるようにします。
予備の対策評価により、1 つのリスクの低減にリソースを投入しすぎていると示される場合があります(対策% >= 100%)。このような場合には、リスク評価により、特定のリスクに対する対策の量を低減し、そのリスク対策に関係するリソースの量を縮小する潜在的な機会が示されます。