リスクマネジメント

 

「取締役会は、（存在する場合には）取締役会のリスク管理委員会の助言を受けつつ、次の仕組みを提供するリスク管理フレームワークを策定します。

・新たに顕在化しつつあるリスクを含むリスクの特定

・組織が直面するリスクの定期的な見直しと、組織のリスク登録簿の更新

・それらのリスクの重要性（マテリアリティ）の判断と、当該リスクが組織に与える影響を最小化するための計画の策定

・重大なリスクに対処するための、組織のリスク管理プロセスおよび手順の策定と更新

・組織のリスク文化が、取締役会のリスク許容度およびリスクの優先順位と整合していることのモニタリング

・組織のリスク管理プロセスおよび手順が実施され、効果的に機能している程度のモニタリング

・リスク管理を担当する組織内の人員のモニタリングおよび評価」

c

リスク委員会。（解説） リスク委員会の更新された役割：

• 経営陣のパフォーマンスを、取締役会が定めたリスク選好の範囲内で運用されているかどうかを含め、組織のリスクマネジメント・フレームワークに照らしてモニタリングする

• 不正やリスク管理の統制崩壊に関わる重大なインシデントおよび「得られた教訓」をレビューする

• 内部監査計画を承認し、リスク管理プロセスの妥当性に関する内部監査のレビュー報告を受領する

• 新たに発生または顕在化しつつあるリスクの源泉、リスク統制および緩和策に関する経営陣の報告を受領する

• リスクマネジメント・フレームワークまたはリスク選好に必要な変更を取締役会に勧告する

• 保険プログラムを監督する。

アクション：

• 更新された解説に照らしてリスク委員会の憲章を見直す

• 開示事項を見直し、必要に応じて更新する。

「リスクを認識し管理することは、取締役会および経営陣の役割において極めて重要な一部です。」 「原則7：リスクを認識し管理する：上場企業は、健全なリスク管理フレームワークを確立し、その有効性を定期的に見直すべきです。」

リスク委員会の役割は通常、次のとおりです。

• 取締役会が設定したリスク選好の範囲内で運用されているかどうかを含め、経営陣のリスク管理フレームワークに対するパフォーマンスをモニタリングすること。

• 不正行為やリスク管理統制の破綻に関わる重大なインシデントおよびそこから得られた「教訓」をレビューすること。

• 組織のリスク管理プロセスの妥当性に関する内部監査のレビューについて、その報告を受領すること。

• 新たに発生しつつある、または新興のリスク源およびそれらのリスクに対処するために経営陣が講じたリスク統制・低減策に関する経営陣からの報告を受領すること。

• 組織のリスク管理フレームワーク、または取締役会が設定したリスク選好に対して実施すべき変更に関し、取締役会へ勧告を行うこと。

• 組織の事業内容およびその事業に伴う保険付可能なリスクを踏まえつつ、組織の保険プログラムを監督すること。

オタワ市（City of Ottawa / Ville d’Ottawa）のエンタープライズ・リスク・マネジメント（ERM）フォローアップ監査は、2022年のERM監査で提示された全ての勧告が、議会向けのERM研修や全社的な不正リスク評価を含め、既に実施済みであることを確認しました。本監査は、リスクが経営層および議会の議論に一層組み込まれるなど、ERMプログラムが成熟しつつある点を強調する一方で、ガバナンスの強化、リスクアペタイトの明確化、不正リスクマネジメントの強化に向けた機会も指摘しています。

アカウンタビリティと継続的な改善の推進に尽力した、オタワ市監査官ナタリー・グージョン（Nathalie Gougeon）, CPA, CA, CIA, CRMA 氏と監査事務局に敬意を表します。

「現代的なセキュリティ・リスクマネジメントのアプローチは、リスクを『社会的構築物』として捉え、個々の認知や認知バイアス、人間の行動と組織システムの相互作用によって形作られることを認めます。

このフレームワークのアーキテクチャは、次の4つの独自の柱の上に構築されています。

* レジリエンスの九つの原則：価値創造、動的かつ適応的、人的要因など、九つの原則によりフレームワークが導かれており、セキュリティシステムを構築するための設計基準であると同時に、そのパフォーマンスを測定するためのアシュアランス原則として機能します。

* 具現化された統合：セキュリティを二次的なプロセスとして「後付け」するのではなく、組織のより広範な戦略、調達、ガバナンスの枠組みに統合され、組織の中に具現化されるよう設計します。

* 文化の不可視のドライバー：このハンドブックは、組織文化をセキュリティの基盤層として位置づけ、表層的な規則やアーティファクトよりもはるかに強く、深層の前提が行動や意思決定を不可視のかたちで駆動することを指摘します。

* アジャイル・センスメイキング：固定的で線形のモデルから脱却し、リスクマネジメントのプロセスを反復的かつ再帰的なものとし、不安定な環境における情報ギャップを埋めるために、継続的な「センスメイキング」とセキュリティ・インテリジェンスの能動的な探索を求めます。

最終的に、このフレームワークは単純なチェックリストを超え、重要性と脆弱性の分析という洗練されたサイクルへと進み、組織の最も重要な提供メカニズムの保護を優先しつつ、教訓の促進と継続的改善の文化を醸成します。」

戦略レポート：セキュリティ関連リスクマネジメントにおける統合された文化の醸成

詳細を読む、ポッドキャストインタビューを聞く、またはビデオ概要を見るにはこちら -->> https://buff.ly/2UILJVR

サイバーセキュリティ

 

セキュリティインテリジェンスサイクル：リスクデータの収集と整理。リードリスクストラテジストは、正式なインテリジェンスサイクルをリスク評価プロセスに統合し、「ノイズの多い」データや静的なデータにとらわれないようにする必要があります。この統合がなければ、組織は事後対応に終始してしまいます。インテリジェンスサイクルは、脅威アクターの意図と能力を積極的に予測することを可能にし、組織が防御的な姿勢から戦略的優位性を獲得することを可能にします。

リスク特定におけるHUMINTとOSINT

リスク特定は、その基盤となるデータの堅牢性によってのみ実現されます。私たちは、2つの主要なインテリジェンスストリームを統合する必要があります。

• ヒューマンソースインテリジェンス（HUMINT）：関係構築、インタビュー、直接観察を通じて、動機や行動に関する重要な洞察を得る。これは、セキュリティ関連リスクにおける「人的要因」を理解するために不可欠です。

• オープンソースインテリジェンス（OSINT）：公開されている情報を体系的に活用し、新たなトレンド、進化する脅威アクターの戦術、そして競争環境の変化を追跡すること。 「

セキュリティ関連リスクの管理：企業、重要インフラ、コミュニティ、商業価値から国家安全保障まで

詳細はこちら、ポッドキャストインタビューの視聴、または解説ビデオの視聴はこちら >> https://buff.ly/dncS7XK

汚職防止ガバナンス

 

OECD（経済協力開発機構）およびOCDEの本稿は、企業がリスク評価に取り組む際に、汚職防止コンプライアンス・プログラムの有効性を評価・強化するために用いている手法やツールの現状を整理し、支援することを目的としています。企業が評価に取り組む動機となる要因を示し、評価を実施するために必要なリソースと能力に言及し、さらに、経時的な進捗をモニタリングするために活用できるツールについて検討しています。OECDおよびバーゼル・ガバナンス研究所が収集したデータと机上調査に基づき、本稿は、公的部門と民間部門の双方において、強固な反汚職の規範と基準の促進に資するものです。M

ISO27001

1.1 この演習の目的

ISO 27001:2022 ISMS 導入ハンズオン演習へようこそ！この包括的な演習は、ISO/IEC 27001:2022 規格に基づく情報セキュリティマネジメントシステム（ISMS）の導入について、実践的で現実に即した経験を提供することを目的としています。

理論や暗記のみに焦点を当てた従来型の研修とは異なり、この演習では、現実的な（架空の）企業を相手にする ISMS 導入コンサルタントの役割を担っていただきます。実際に意思決定を行い、本物の文書を作成し、現実的なトレードオフに向き合い、情報セキュリティの専門家が日々の業務で直面する課題を体験します。

この演習は、初心者や ISMS 導入が初めての方を主な対象としており、参加にあたって長年の経験は必要ありません。各ステップを明確な手順、実践的な例、有用なヒントで丁寧に案内しつつ、十分な自由度も確保するよう慎重に構成されています

「ISO 27001、NIS2、DORA、リスク管理、AI など」と自分を位置づけると、結局みんなと同じに聞こえてしまいます。競争の激しい市場でクライアントが選ぶのはジェネラリストではありません。業界や特有の課題を理解しているスペシャリストです。 私の最新の記事では、本当の経験、市場の需要、そして長期的な焦点を組み合わせて、コンサルティングのニッチをどのように定義するかを解説しています。さらに、私が初期の段階で、ISO 27001に実務としての銀行経験を掛け合わせて自らの立ち位置を築いた方法、そしてそれがなぜ差を生んだのかも紹介しています。 https://drive.google.com/file/d/1GlozSUg-mia-x5Kxlnphrb1s8UjMm_hr/view?usp=drivesdk

リスクマネジメント

 

r

ガバナンス、モニタリング、継続的改善 ― リスク選好枠組みはクローズドループのシステムです。取締役会は「逸脱や緊張」を失敗ではなく、枠組みが機能している証拠として捉える必要があります。緊張が見られないということは、RAS（リスク選好声明）が実際のトレードオフに適用されていないことを示唆します。

ガバナンスの四つの柱：

• 承認：RASと戦略の整合性に関する取締役会レベルでの正式な承認。

• 測定：実際のリスクプロファイルを選好に対して定期的かつ一貫して報告。

• 監視：プロファイルが目標から逸脱した際の逸脱や緊張への対処。

• 学習：実装データやSTPAで特定された「未知の未知」に基づく枠組みの更新。

RASは、特定のトリガー（Airmic, 2017）に基づいて更新しなければなりません。これには、規制変更、資本コストの変動、物言う株主からの圧力、需給の変動が含まれます。

リスク選好の枠組みとオペレーション統合

詳しく読む、ポッドキャストのインタビューを聴く、またはビデオ概要を見るにはこちら →→ https://buff.ly/HkCep2a

統合マネジメントシステム

 

Google翻訳はよくできている。

リスクマネジメント

 

本研究は、アンケート調査と財務報告書の分析を組み合わせることで、監査人や財務アナリストが大規模インフラプロジェクトにおけるリスクの大きさと発生頻度を特定・評価できるようにするものです。調査結果は、ヘッジ、予備費、官民パートナーシップ（PPP）などの現在のリスク管理戦略が、財務的不確実性の特有のニーズに対応するにはしばしば不適切であることを示しています。本研究は、リアルタイムのデータ分析と多様なリスク評価ツールの組み合わせに依拠する、包括的な金融リスク管理フレームワークの必要性を提言します。

著者の皆さまに感謝します：@Bipin Chauhan @Dhanya K. A. @Rashmi Soni @J. Bamini Anu Jossy Joy @Sudip Chakraborty