2026年2月23日月曜日

リスクマネジメント

 

r

ガバナンス、モニタリング、継続的改善 ― リスク選好枠組みはクローズドループのシステムです。取締役会は「逸脱や緊張」を失敗ではなく、枠組みが機能している証拠として捉える必要があります。緊張が見られないということは、RAS(リスク選好声明)が実際のトレードオフに適用されていないことを示唆します。


ガバナンスの四つの柱:


• 承認:RASと戦略の整合性に関する取締役会レベルでの正式な承認。

• 測定:実際のリスクプロファイルを選好に対して定期的かつ一貫して報告。

• 監視:プロファイルが目標から逸脱した際の逸脱や緊張への対処。

• 学習:実装データやSTPAで特定された「未知の未知」に基づく枠組みの更新。

RASは、特定のトリガー(Airmic, 2017)に基づいて更新しなければなりません。これには、規制変更、資本コストの変動、物言う株主からの圧力、需給の変動が含まれます。


リスク選好の枠組みとオペレーション統合

詳しく読む、ポッドキャストのインタビューを聴く、またはビデオ概要を見るにはこちら →→ https://buff.ly/HkCep2a

2026年2月21日土曜日

リスクマネジメント

 


本研究は、アンケート調査と財務報告書の分析を組み合わせることで、監査人や財務アナリストが大規模インフラプロジェクトにおけるリスクの大きさと発生頻度を特定・評価できるようにするものです。調査結果は、ヘッジ、予備費、官民パートナーシップ(PPP)などの現在のリスク管理戦略が、財務的不確実性の特有のニーズに対応するにはしばしば不適切であることを示しています。本研究は、リアルタイムのデータ分析と多様なリスク評価ツールの組み合わせに依拠する、包括的な金融リスク管理フレームワークの必要性を提言します。

著者の皆さまに感謝します:@Bipin Chauhan @Dhanya K. A. @Rashmi Soni @J. Bamini Anu Jossy Joy @Sudip Chakraborty

2026年2月20日金曜日

サイロ化

 


サイロ化の高い代償:システム的脆弱性の分析。区分化は必然的に「戦略的盲目」を生みます。リーダーシップはしばしば、ある部署での優れた業績—たとえば受賞歴のある安全プログラム—が、そのまま組織全体の安全につながると誤って仮定する罠に陥ります。実際には、局所的な卓越はしばしばシステム全体のもろさを覆い隠します。壊滅的なリスクを招く5つのシステム的な故障点を認識する必要があります。


サイロとサブオプティマイゼーション


各分野が自分たちの懸念に孤立して対処すると、結果的にサブオプティマイゼーション(部分最適化)に陥ります。これは、ある部門が自部門のパフォーマンスを最適化する一方で、より広いシステム全体の犠牲を伴ってしまう場合に起こります。たとえば流域管理では、ある機関が洪水被害コストのモデリングだけに厳密に焦点を当てることがあります。これは狭義の財務目標は達成しますが、同時に社会的福祉や生態系の健全性を損ない、最終的にはコミュニティ全体のレジリエンスを弱体化させかねません。


連鎖的リスクの取りこぼし


孤立した手法はサブシステムを独立した存在として扱い、現代の社会技術システムを特徴づける「波及効果」を無視します。たとえば分散型金融(DeFi)では、スマートコントラクトの不具合といった個別のリスクチャネルに注目する一方で、エコシステム全体にまたがる構造的な脆弱性を見落とすと、脆弱性が時間とともに蓄積・同期していく様子をリーダーが把握できなくなります。


マルアダプテーションと誘発リスク


真空状態で設計された介入は、しばしばマルアダプテーション(不適応)を招きます。これは、あるリスクへの対応が、意図せず別の場所にリスクを生み出したり移転したりする場合に起こります。これらの「誘発リスク」は、あるセクターを今日守る一方で、その負担を別のセクターや将来世代へと押しやるときに生じます。例として、排水路を確保するために農薬・化学薬品を使用することが挙げられます。局所的な洪水問題は解決するかもしれませんが、不可欠な湿地の長期的な劣化を誘発します。


リスク・セキュリティ・セーフティ・レジリエンス科学における方法論的孤立の克服

2026年2月18日水曜日

生成AI


 ISO 42001の包括的ガイド


Advisera Expert Solutions Ltd のこの42ページのガイドは、人工知能管理システム(AIMS)の最初の国際標準であるISO/IEC 42001:2023の詳細なステップバイステップの説明を提供しています。


ガイドは以下のことを説明しています:

- 実践におけるAIガバナンスの意味(リスクと管理)

- 標準の各項目(4から10)の詳細な説明

- 付録Aの38 士官管制

- 必須の文書作成(リスク登録簿、申請書、インパクト評価など)

- 証明書取得の段階とタイムライン。


🎯 このガイドは、AIを開発または使用している企業で、組織的な構造を求めている企業向けです。

サイバーセキュリティ

 


サイバー防衛という高リスクの舞台では、多くの組織が「備えの演劇」に陥っています。#cybersecurity の演習を、実質のないコンプライアンス作業—チェックリストを埋めるだけの活動—として扱い、根拠のない安心感に浸ってしまうのです。いざ現実の危機が発生すると、そうした組織では往々にして、チームは身動きが取れず、コミュニケーション経路は分断され、技術的な手順書は時代遅れになっています。

「セキュリティの見せかけ」から本当の運用上の強靭さへ移行するには、計画ライフサイクルの中にレジリエンスをあらかじめ織り込む必要があります。ENISAのサイバーセキュリティ演習手法は、その変革のための設計図を提供します。これは、単なる訓練を超え、体系的な能力構築へと導くために設計されたエンドツーエンドのフレームワークです。


サイバーセキュリティ演習オリエンテーション・ハンドブック:任務の中で自分の立ち位置を見つける

2026年2月17日火曜日

リスクマネジメント

 


リスクのフレームワークは、提供していないものによって評価されがちです。


ISO 31000 はその好例です。チェックリストやスコアリングモデル、認証基準を与えてはくれません。代わりに、業界・領域・規格をまたいで機能するリスクの考え方の枠組みを与えてくれます。


本記事では、ISO 31000 の本来の使い方、ISO 27001 とのつながり、そしてその前提が欠けたときに多くの導入がなぜ苦戦するのかを解説します。