リスクマネジメント

 

オランダの金融セクターの企業は、コーポレートガバナンス、組織設計、リスク管理の分野における規制を含む、幅広い要件を遵守する必要があります。これには、国内法および規制、特定産業の規制に関する法および規制、そしてコーポレートガバナンス・コードが含まれます。これらの要件は多くの場合詳細であり、特定の分野を対象とし、特定の種類の企業を対象としています。コーポレートガバナンス、組織設計、リスク管理の原則について、簡潔でアクセスしやすく、広く適用可能な概要を作成することで、これらの要件への理解と遵守のレベルを高めることができます。各金融会社の活動、規模、複雑性、リスクプロファイル、公共の利益は非常に多様であるため、すべての金融会社に適用される要件を策定することは不可能です。しかしながら、多くの金融会社に適用されることが判明している一般原則は数多くあります。本稿に含まれるコーポレートガバナンス、組織設計、リスク管理の原則は、そのような一般原則を策定する試みを表しています。このように、IIAオランダ（IIA NL）とNBAの内部監査・政府監査人会員グループ（NBA LIO）は、内部監査員に対し、ガバナンス、リスク管理、および統制プロセスの監査に関する明確な原則を提供したいと考えています。これらの原則は、具体的な状況に基づいて、カスタマイズされた参照フレームワークに翻訳されるべきです。これらの原則は、特定のモデルや特定の仮定、パラダイムに基づくものではなく、関係企業に適用される法律、規制、その他の要件、理論、概念の「最大公約数」に基づいています。具体的な状況においては、法律、規制、その他の要件がこれらの原則を超えているか、あるいはより厳密に適用する必要があるかを判断する必要があります。その場合、それらの要件がこれらの原則に優先します。以下に原則を列挙し、それぞれに説明または詳細を付記します。

FISMAの規定に従い、商務長官はNISTによって開発された基準およびガイドラインに基づき、連邦情報システムに関する基準およびガイドラインを定めます。商務長官は、連邦情報システムの運用効率またはセキュリティを向上させるために必要と判断した範囲で、基準を強制的かつ拘束力のあるものとします。定められる基準には、最低限の情報セキュリティ要件を提供し、連邦情報および情報システムのセキュリティ向上に必要な情報セキュリティ基準が含まれます。

・連邦情報処理標準（FIPS）は、商務長官によって承認され、FISMAに従ってNISTから発行されます。FIPSは連邦機関にとって強制的かつ拘束力があります。FISMAは連邦機関がこれらの基準を遵守することを要求しており、したがって機関はその使用を免除することはできません。

・特別刊行物（SP）は、NISTによって推奨および指針文書として開発・発行されます。国家安全保障プログラムおよびシステム以外の連邦機関は、連邦情報処理標準で義務付けられているNIST特別刊行物に従わなければなりません。FIPS 200は、改訂された特別刊行物800-53の使用を義務付けています。さらに、OMBの方針（FISMAおよび機関のプライバシー管理に関するOMB報告指示を含む）では、国家安全保障プログラムおよびシステム以外の連邦機関は特定のNIST特別刊行物に従う必要があると定めています。

政府は常に国民をリスクから守る重要な役割を担ってきました。しかし近年、リスク管理は政府の業務においてより中心的な位置づけとなっています。主な要因としては、国民に対するリスク対応の困難性への対処、政策立案における早期リスク特定の重要性の認識、プログラム及びプロジェクトにおけるリスク管理、そして民間セクターとの間で行われるリスク移転の複雑な問題などが挙げられます。これらの要因が相まって、政府があらゆる形態のリスクをどのように扱うかについての再評価を迫り、2001年7月には首相が戦略ユニットによる調査を発表するに至りました。

導入部では、戦略ユニット調査の背景を説明し、リスク議論における共通言語を定義し、本報告書で扱われるリスクの複雑さに関する重要な側面を提示しています。