リスク評価

 

サードパーティリスク管理の一要素であるベンダー管理は、外部ベンダーまたはサプライヤーとの取引に伴うリスクの評価と管理に特に重点を置いています。ベンダー管理プログラムは、ビジネス目標の達成をサードパーティサービスに依存しているあらゆる組織にとって不可欠です。包括的なプログラムを構築することで、組織はサードパーティとの関係に関連するリスクを特定、評価、軽減することができます。また、ベンダー管理プログラムにより、組織はベンダーの選定、監視、評価プロセスを改善し、サードパーティプロバイダーから期待されるサービスとコミットメントを確実に受けられるようになります。この文書の目的は、ベンダー管理プロセスの重要な要素を明らかにし、該当する場合は、SOC 2®レポート1がそのプロセスとどのように整合しているかについて説明することです。この文書の主な対象読者は、ベンダー管理プログラムの導入（または改善）を検討しており、この文書をベストプラクティスのフレームワークとして使用する組織です。この文書は、ベンダー管理プログラムに関する統制とプロセスをレビューする監査人やその他の第三者プログラム評価者が、すべての期待される領域が期待どおりに設計、実装、運用されていることを確認するために使用することも意図されています。

リスクヒートマップは、リスクを格付けし、リスク評価プロセス全体を通じて議論や意思決定を可能にするために使用される、視覚的で、多くの場合色分けされたツールである。 広範な企業リスクマネジメントプロセスの一環として実施されるにせよ、より焦点を絞った内部統制プロセスとして実施されるにせよ、各リスクをマッピングすることは、リスクマネジメントに取り組む上で重要なステップである。 この評価には、財務的及び非財務的な性質を持つ特定されたリスクの可能性と潜在的影響を評価することが含まれる。

 "

組織が管理可能なリスクの量を決定する能力は、リスク選好度を通じて伝えられ、リスク管理を戦略目標と整合させる上で重要な要素として認識されています。リスクの定義と記述に使用される用語、リスクの認識、伝達、解釈の方法が異なることを考えると、組織の文化を真に反映する一貫したリスク選好度を確立することは容易な作業ではないことは明らかです。リスク選好度を表明する必要性は、組織が情報セキュリティを確保し、ステークホルダーの信頼を促進できることを実証するという、ますます高まる要求と結びついています。これらはいずれも、組織が情報セキュリティリスク許容度を確立する必要性を支えるものです。組織がこれをどのように行い、情報セキュリティポリシーに組み込むかは、既存の研究におけるギャップとして特定され、本論文で取り上げるべき点です。文献レビューを構築するための理論的枠組みと、本研究の過程で構築された概念的枠組みを適用することにより、主要なリスクテーマ間の関係性と相互作用を捉え、リスク認識とリスク選好の関係に関する研究におけるギャップを浮き彫りにすることができました。本研究はケーススタディ組織を用いて実施され、組織との長期的な関与の中で、リスク成熟度モデルの適用、テーマ別分析、アンケート調査という3つの手法を用いて、インタビューを含む4つの異なるデータグループを分析することができました。これにより、組織のリスクエクスポージャーを把握するために導入されているメカニズムを調査し、リスク許容度を把握・表現するために使用されているツールを特定することができました。

リスク選好とは？

1.4 組織の「リスク選好」には様々な定義がありますが、いずれも組織がどのような種類のリスクをどれだけ取る意思があるかという点に集約されます。リスクは機会と脅威の両面から考慮する必要があり、通常は金銭に限定されるものではありません。組織の能力、パフォーマンス、そして評判にも必ず影響を与えます。

このガイドでは、オレンジブックにおけるリスク選好の定義を採用しています。「組織がいかなる時点においても受け入れ、許容し、またはさらされる覚悟のあるリスクの量」

1.5 リスク選好とは、長期的なリターンが短期的なリターンよりも大きいと見込まれる、十分に検討されたリスクを取ることです。