監査ガイドライン

 

IFS（International Featured Standards）は「優れた監査実務ガイドライン（Good Audit Practices Guideline）」の新版、Version 2（2026年2月）を発行しました。

本ガイドラインは、あらゆるIFS規格に基づくIFS監査を実施するすべてのIFS監査員を支援するものです。目的は、IFS監査の特性、IFS監査員の役割、およびIFS監査の高い品質と有効性を確保するために従うべき手順を明確に示すことです。注記：

1. 本ガイドラインは、現地監査とリモート監査のパートから成るIFSスプリット監査アプローチにも適用されます。

2. さらに詳しい情報は、該当するIFS規格の規範文書（規格本体およびドクトリン）に記載されています。

IFS認証は製品およびプロセスの認証であり、生産拠点の製造プロセス（関連する製品フローやインフラを含む）が、最終的に安全・法令順守・真正性・適合性を備えたプロセスアウトプット（製品）を生み出しているかを確認することを目的としています。IFS監査は製品およびプロセスに焦点を当て、適切に機能するプロセスを通じて、安全で合法的かつ規定された製品の処理を確実にします。

#IFS #FSSC #auditing #AGP

生成AI

 

昨年は、エージェンティックAIに関する記事をたくさん目にしました。正直なところ、今でも多くの人がその本当の意味を十分に理解していません。

だからこそ、私はメンティーたちにいつも平易な言葉で説明しています—Jamal Ahmedと一緒に行っているAIGP Masteryコースや、Data Privacy Officeでの私のコースで。

というわけで、今回も改めて取り上げます—しかも、実用的なエージェンティックAIフレームワークの初期のひとつを。

1月にはアジア発の初期フレームワークをすでに目にしました。そして今、ここにもうひとつご紹介します。

これは重要です。フレームワークが登場するのは、ある概念がただのバズワードであることをやめ、人々が実際に扱い、議論し、批評し、適用できるものへと変わるタイミングであることが多いのです。

もしエージェンティックAIがまだ抽象的すぎる、あるいは過大評価されていると感じるなら、これは目を通すのに良い資料です。議論を地に足のついたものにし、具体的に考えるための拠り所を与えてくれます。

拙著のご案内:

1. CANADA DATA PROTECTION LAW 2026版（CIPP/C学習ガイド向け）https://a.co/d/gYobVbC

2. European Data Protection Law 2026版（CIPP/E対策向け）https://a.co/d/2Zpe1Na

3. CIPP/A & CIPP/CN 学習ガイド 2024: 香港、シンガポール、インド、中国のデータプライバシー枠組み https://a.co/d/dUvKinY

4. AIGP 学習ガイド：AIガバナンス入門 https://a.co/d/dKbgT4j

5. CIPP/A 学習ガイド 2026: 香港、シンガポール、インド https://a.co/d/4rmYYHw

2月のコース割引%

1) #cippc カナダのデータプライバシー法 著者による対策 https://lnkd.in/djcdpGA7

2) #cippe 欧州データ保護法: 著者による対策 https://lnkd.in/dRxYpBPS

3) #cippa アジア（インド、シンガポール、香港）プライバシー: 著者による対策 https://lnkd.in/d4KKXxU8

4) #cippus 米国プライバシー https://lnkd.in/d3pmmQ_z

免責事項：これらの非公式学習ガイドは、私自身の分析とアプローチを示すものです。これらの書籍はIAPPと共同で作成されたものではなく、IAPPの承認、後援、資金提供、または支援を受けていません。IAPPの公式見解を代表するものでもありません。

リスクマネジメント

 

リスク・ガバナンスは、従来の直線的なリスク管理から、統合的・参加型・熟考型のプロセスへとパラダイム転換を示します。従来モデルが確率計算に焦点を当てるのに対し、リスク・ガバナンスは、公的・私的セクターにまたがる多様なアクターの協働によって、複雑性・不確実性・曖昧性を特徴とするシステミック・リスクに取り組みます。

現在の研究と実務から得られる最重要のポイントは次のとおりです。

>The Integrative Shift（統合への転換）：有効なガバナンスには、事前評価、学際的なアプレイザル、特徴付け、マネジメント、モニタリングという継続的サイクルが必要であり、分断的なアプローチからの脱却が求められます。

>システミック・リスクに対するアダプティブ・ガバナンス：気候変動やパンデミックのようなリスクを管理するには、連鎖的影響に対処するための柔軟で反復的な意思決定と制度的学習が必要です。

>多層的な連携：成功の鍵は、マクロ（グローバル／国家レベルのルール）、メゾ（セクター／都市レベルのプログラム）、ミクロ（地域社会／企業の実装）の整合を図ることにあります。

>参加の必須化：ステークホルダー・エンゲージメントは「あると良いもの」から標準機能へと移行しましたが、参加が単なる形式ではなく変革的なものとなるようにする課題は残ります。

>デジタル・トランスフォーメーション：AIやブロックチェーンを含む新たなデジタル・アーキテクチャが、リアルタイムの監督に向けてガバナンス／リスク／コンプライアンス（GRC）を統合するために、ますます活用されています。"

リスク・ガバナンス：適応的かつ統合的なフレームワーク

さらに読む・ポッドキャストインタビューを聴く・動画要約を見るはこちら -->> https://buff.ly/IHGYv1Y

「取締役会は、（存在する場合には）取締役会のリスク管理委員会の助言を受けつつ、次の仕組みを提供するリスク管理フレームワークを策定します。

・新たに顕在化しつつあるリスクを含むリスクの特定

・組織が直面するリスクの定期的な見直しと、組織のリスク登録簿の更新

・それらのリスクの重要性（マテリアリティ）の判断と、当該リスクが組織に与える影響を最小化するための計画の策定

・重大なリスクに対処するための、組織のリスク管理プロセスおよび手順の策定と更新

・組織のリスク文化が、取締役会のリスク許容度およびリスクの優先順位と整合していることのモニタリング

・組織のリスク管理プロセスおよび手順が実施され、効果的に機能している程度のモニタリング

・リスク管理を担当する組織内の人員のモニタリングおよび評価」

c

リスク委員会。（解説） リスク委員会の更新された役割：

• 経営陣のパフォーマンスを、取締役会が定めたリスク選好の範囲内で運用されているかどうかを含め、組織のリスクマネジメント・フレームワークに照らしてモニタリングする

• 不正やリスク管理の統制崩壊に関わる重大なインシデントおよび「得られた教訓」をレビューする

• 内部監査計画を承認し、リスク管理プロセスの妥当性に関する内部監査のレビュー報告を受領する

• 新たに発生または顕在化しつつあるリスクの源泉、リスク統制および緩和策に関する経営陣の報告を受領する

• リスクマネジメント・フレームワークまたはリスク選好に必要な変更を取締役会に勧告する

• 保険プログラムを監督する。

アクション：

• 更新された解説に照らしてリスク委員会の憲章を見直す

• 開示事項を見直し、必要に応じて更新する。

「リスクを認識し管理することは、取締役会および経営陣の役割において極めて重要な一部です。」 「原則7：リスクを認識し管理する：上場企業は、健全なリスク管理フレームワークを確立し、その有効性を定期的に見直すべきです。」

リスク委員会の役割は通常、次のとおりです。

• 取締役会が設定したリスク選好の範囲内で運用されているかどうかを含め、経営陣のリスク管理フレームワークに対するパフォーマンスをモニタリングすること。

• 不正行為やリスク管理統制の破綻に関わる重大なインシデントおよびそこから得られた「教訓」をレビューすること。

• 組織のリスク管理プロセスの妥当性に関する内部監査のレビューについて、その報告を受領すること。

• 新たに発生しつつある、または新興のリスク源およびそれらのリスクに対処するために経営陣が講じたリスク統制・低減策に関する経営陣からの報告を受領すること。

• 組織のリスク管理フレームワーク、または取締役会が設定したリスク選好に対して実施すべき変更に関し、取締役会へ勧告を行うこと。

• 組織の事業内容およびその事業に伴う保険付可能なリスクを踏まえつつ、組織の保険プログラムを監督すること。

オタワ市（City of Ottawa / Ville d’Ottawa）のエンタープライズ・リスク・マネジメント（ERM）フォローアップ監査は、2022年のERM監査で提示された全ての勧告が、議会向けのERM研修や全社的な不正リスク評価を含め、既に実施済みであることを確認しました。本監査は、リスクが経営層および議会の議論に一層組み込まれるなど、ERMプログラムが成熟しつつある点を強調する一方で、ガバナンスの強化、リスクアペタイトの明確化、不正リスクマネジメントの強化に向けた機会も指摘しています。

アカウンタビリティと継続的な改善の推進に尽力した、オタワ市監査官ナタリー・グージョン（Nathalie Gougeon）, CPA, CA, CIA, CRMA 氏と監査事務局に敬意を表します。

「現代的なセキュリティ・リスクマネジメントのアプローチは、リスクを『社会的構築物』として捉え、個々の認知や認知バイアス、人間の行動と組織システムの相互作用によって形作られることを認めます。

このフレームワークのアーキテクチャは、次の4つの独自の柱の上に構築されています。

* レジリエンスの九つの原則：価値創造、動的かつ適応的、人的要因など、九つの原則によりフレームワークが導かれており、セキュリティシステムを構築するための設計基準であると同時に、そのパフォーマンスを測定するためのアシュアランス原則として機能します。

* 具現化された統合：セキュリティを二次的なプロセスとして「後付け」するのではなく、組織のより広範な戦略、調達、ガバナンスの枠組みに統合され、組織の中に具現化されるよう設計します。

* 文化の不可視のドライバー：このハンドブックは、組織文化をセキュリティの基盤層として位置づけ、表層的な規則やアーティファクトよりもはるかに強く、深層の前提が行動や意思決定を不可視のかたちで駆動することを指摘します。

* アジャイル・センスメイキング：固定的で線形のモデルから脱却し、リスクマネジメントのプロセスを反復的かつ再帰的なものとし、不安定な環境における情報ギャップを埋めるために、継続的な「センスメイキング」とセキュリティ・インテリジェンスの能動的な探索を求めます。

最終的に、このフレームワークは単純なチェックリストを超え、重要性と脆弱性の分析という洗練されたサイクルへと進み、組織の最も重要な提供メカニズムの保護を優先しつつ、教訓の促進と継続的改善の文化を醸成します。」

戦略レポート：セキュリティ関連リスクマネジメントにおける統合された文化の醸成

詳細を読む、ポッドキャストインタビューを聞く、またはビデオ概要を見るにはこちら -->> https://buff.ly/2UILJVR

サイバーセキュリティ

 

セキュリティインテリジェンスサイクル：リスクデータの収集と整理。リードリスクストラテジストは、正式なインテリジェンスサイクルをリスク評価プロセスに統合し、「ノイズの多い」データや静的なデータにとらわれないようにする必要があります。この統合がなければ、組織は事後対応に終始してしまいます。インテリジェンスサイクルは、脅威アクターの意図と能力を積極的に予測することを可能にし、組織が防御的な姿勢から戦略的優位性を獲得することを可能にします。

リスク特定におけるHUMINTとOSINT

リスク特定は、その基盤となるデータの堅牢性によってのみ実現されます。私たちは、2つの主要なインテリジェンスストリームを統合する必要があります。

• ヒューマンソースインテリジェンス（HUMINT）：関係構築、インタビュー、直接観察を通じて、動機や行動に関する重要な洞察を得る。これは、セキュリティ関連リスクにおける「人的要因」を理解するために不可欠です。

• オープンソースインテリジェンス（OSINT）：公開されている情報を体系的に活用し、新たなトレンド、進化する脅威アクターの戦術、そして競争環境の変化を追跡すること。 「

セキュリティ関連リスクの管理：企業、重要インフラ、コミュニティ、商業価値から国家安全保障まで

詳細はこちら、ポッドキャストインタビューの視聴、または解説ビデオの視聴はこちら >> https://buff.ly/dncS7XK

汚職防止ガバナンス

 

OECD（経済協力開発機構）およびOCDEの本稿は、企業がリスク評価に取り組む際に、汚職防止コンプライアンス・プログラムの有効性を評価・強化するために用いている手法やツールの現状を整理し、支援することを目的としています。企業が評価に取り組む動機となる要因を示し、評価を実施するために必要なリソースと能力に言及し、さらに、経時的な進捗をモニタリングするために活用できるツールについて検討しています。OECDおよびバーゼル・ガバナンス研究所が収集したデータと机上調査に基づき、本稿は、公的部門と民間部門の双方において、強固な反汚職の規範と基準の促進に資するものです。M

ISO27001

1.1 この演習の目的

ISO 27001:2022 ISMS 導入ハンズオン演習へようこそ！この包括的な演習は、ISO/IEC 27001:2022 規格に基づく情報セキュリティマネジメントシステム（ISMS）の導入について、実践的で現実に即した経験を提供することを目的としています。

理論や暗記のみに焦点を当てた従来型の研修とは異なり、この演習では、現実的な（架空の）企業を相手にする ISMS 導入コンサルタントの役割を担っていただきます。実際に意思決定を行い、本物の文書を作成し、現実的なトレードオフに向き合い、情報セキュリティの専門家が日々の業務で直面する課題を体験します。

この演習は、初心者や ISMS 導入が初めての方を主な対象としており、参加にあたって長年の経験は必要ありません。各ステップを明確な手順、実践的な例、有用なヒントで丁寧に案内しつつ、十分な自由度も確保するよう慎重に構成されています

「ISO 27001、NIS2、DORA、リスク管理、AI など」と自分を位置づけると、結局みんなと同じに聞こえてしまいます。競争の激しい市場でクライアントが選ぶのはジェネラリストではありません。業界や特有の課題を理解しているスペシャリストです。 私の最新の記事では、本当の経験、市場の需要、そして長期的な焦点を組み合わせて、コンサルティングのニッチをどのように定義するかを解説しています。さらに、私が初期の段階で、ISO 27001に実務としての銀行経験を掛け合わせて自らの立ち位置を築いた方法、そしてそれがなぜ差を生んだのかも紹介しています。 https://drive.google.com/file/d/1GlozSUg-mia-x5Kxlnphrb1s8UjMm_hr/view?usp=drivesdk

リスクマネジメント

 

r

ガバナンス、モニタリング、継続的改善 ― リスク選好枠組みはクローズドループのシステムです。取締役会は「逸脱や緊張」を失敗ではなく、枠組みが機能している証拠として捉える必要があります。緊張が見られないということは、RAS（リスク選好声明）が実際のトレードオフに適用されていないことを示唆します。

ガバナンスの四つの柱：

• 承認：RASと戦略の整合性に関する取締役会レベルでの正式な承認。

• 測定：実際のリスクプロファイルを選好に対して定期的かつ一貫して報告。

• 監視：プロファイルが目標から逸脱した際の逸脱や緊張への対処。

• 学習：実装データやSTPAで特定された「未知の未知」に基づく枠組みの更新。

RASは、特定のトリガー（Airmic, 2017）に基づいて更新しなければなりません。これには、規制変更、資本コストの変動、物言う株主からの圧力、需給の変動が含まれます。

リスク選好の枠組みとオペレーション統合

詳しく読む、ポッドキャストのインタビューを聴く、またはビデオ概要を見るにはこちら →→ https://buff.ly/HkCep2a