財務報告評議会(FRC)は、英国コーポレートガバナンス・コードおよび、同コードの要件の対象となる英国企業向けの関連ガイダンスを公表しています。同コードの最新版は2016年4月に公表されました。FRCは、コード自体に加えて、リスク管理と内部統制に関する具体的なガイダンスも公表しています。このガイダンスは、1999年に「ターンブル報告書」として最初に公表され、2005年に更新されました。FRCによるリスク管理ガイダンスの最新版は、「リスク管理、内部統制、および関連する財務・事業報告に関するガイダンス」です。これは2014年9月に公表され、2005年版のターンブル報告書を更新・置き換えるものです。このFRCによる最新ガイダンスは、本報告書ではFRC「リスクガイダンス」と呼ばれています。FRCガイダンスは、リスク管理に対する一般的な認識の高まりと相まって、リスクアペタイトの概念への注目度を高めています。本レポートは、英国コーポレートガバナンス・コードの対象となる企業から提供された、リスクアペタイト・ステートメントへのアプローチと、リスクアペタイトに関する考慮事項が企業の事業戦略に及ぼしている影響に関する情報を分析しています。
エンタープライズ・リスク・マネジメント(ERM)は、不確実性とその組織目標達成への影響を管理することに注力する組織において、不可欠な実践となっています。ERMは、業務面と戦略面の両方の観点から、組織の目標達成に最も関連性の高いリスクに組織が焦点を当てるのに役立ちます。このように、リスクは将来の結果と密接に結びついています。2011年11月にRisk Management Magazineに掲載された「ERMは転換点に達したか?」という記事で指摘されているように、RIMSはリスクを「我々の立場を改善または悪化させる可能性のある不確実な将来の結果」と定義しています。組織が(意識的であろうと無意識であろうと)どれだけのリスクを負うかは、その不確実な将来の結果が組織の立場を実際に改善するか悪化させるかに大きな影響を与えます。したがって、リスク選好度とリスク許容度は、効果的なERMプログラムの重要な要素です。本報告書の目的は、リスクマネジメントの責任者に以下の情報を提供することです。
•
使用される用語の理解と実践的な適用
•
取締役会および経営幹部と共にリスク選好度とリスク許容度を検討する方法に関する実践的なガイダンス
•
リスク管理者が組織に活用または適応できる、リスク選好度とリスク許容度に関するアプローチとステートメントの例
ERMが進化するにつれて、組織はリスク選好度とリスク許容度に関するステートメントの理解、適用、そして活用を深めていくでしょう。RIMSは、本報告書が個々の組織内、そしてより広くはリスク管理担当者間の議論のきっかけとなることを願っています。
エンタープライズ・リスク・マネジメント(ERM)は、不確実性とその組織目標達成への影響を管理することに注力する組織において、不可欠な実践となっています。ERMは、業務面と戦略面の両方の観点から、組織の目標達成に最も関連性の高いリスクに組織が焦点を当てるのに役立ちます。このように、リスクは将来の結果と密接に結びついています。2011年11月にRisk Management Magazineに掲載された「ERMは転換点に達したか?」という記事で指摘されているように、RIMSはリスクを「我々の立場を改善または悪化させる可能性のある不確実な将来の結果」と定義しています。組織が(意識的であろうと無意識であろうと)どれだけのリスクを負うかは、その不確実な将来の結果が組織の立場を実際に改善するか悪化させるかに大きな影響を与えます。したがって、リスク選好度とリスク許容度は、効果的なERMプログラムの重要な要素です。本報告書の目的は、リスクマネジメントの責任者に以下の情報を提供することです。
•
使用される用語の理解と実践的な適用
•
取締役会および経営幹部と共にリスク選好度とリスク許容度を検討する方法に関する実践的なガイダンス
•
リスク管理者が組織に活用または適応できる、リスク選好度とリスク許容度に関するアプローチとステートメントの例
ERMが進化するにつれて、組織はリスク選好度とリスク許容度に関するステートメントの理解、適用、そして活用を深めていくでしょう。RIMSは、本報告書が個々の組織内、そしてより広くはリスク管理担当者間の議論のきっかけとなることを願っています。
リスク選好度は魔法の数字ではなく、常に定量化できるものでもありません。それは、事業の目的と、その目的を達成するためにどのようなリスクを負わなければならないかによって決まります。しかし、これらのリスクは十分に検討され、適切に管理されなければなりません。そのためには、組織は、事業全体にわたって適切と考える許容可能なリスクレベル(すなわち、リスク選好度)に関するガイダンスを提供する必要があります。リスク選好度は、個々のプログラム/プロジェクトだけでなく、業務提供領域全体、そして全体として、リスクポートフォリオ5全体について考慮される必要があります。そうすることで、組織のリスクが適切で、バランスが取れており、持続可能なものとなることが保証されます。2.3 組織レベルではリスク選好度は複雑になる可能性がありますが、特定のリスクレベルでは、リスクが発生した場合の影響とその影響の頻度の両方の観点から、許容可能なエクスポージャー6(結果)のレベルを定義できる可能性が高くなります。更なる措置が必要かどうかを判断するには、残余リスク7と比較する必要があります。許容できるリスクは、悪影響が発生した場合に失われるまたは廃棄される資産の価値、そのような影響に対する利害関係者の認識、リスクをさらに管理するための措置の実施コスト、リスク発生の可能性、そしてリスクの規模によって影響を受ける可能性があります。
組織が管理可能なリスクの量を決定する能力は、リスク選好度を通じて伝えられ、リスク管理を戦略目標と整合させる上で重要な要素として認識されています。リスクの定義と記述に使用される用語、リスクの認識、伝達、解釈の方法が異なることを考えると、組織の文化を真に反映する一貫したリスク選好度を確立することは容易な作業ではないことは明らかです。リスク選好度を表明する必要性は、組織が情報セキュリティを確保し、ステークホルダーの信頼を促進できることを実証するという、ますます高まる要求と結びついています。これらはいずれも、組織が情報セキュリティリスク許容度を確立する必要性を支えるものです。組織がこれをどのように行い、情報セキュリティポリシーに組み込むかは、既存の研究におけるギャップとして特定され、本論文で取り上げるべき点です。文献レビューを構築するための理論的枠組みと、本研究の過程で構築された概念的枠組みを適用することにより、主要なリスクテーマ間の関係性と相互作用を捉え、リスク認識とリスク選好の関係に関する研究におけるギャップを浮き彫りにすることができました。
本研究はケーススタディ組織を用いて実施されました。組織との長期的な関与の中で、リスク成熟度モデルの適用、テーマ別分析、アンケート調査という3つの手法を用いて、インタビューを含む4つの異なるデータグループを分析することができました。これにより、組織のリスクエクスポージャーを把握するために導入されているメカニズムを調査し、リスク許容度を把握・表現するために使用されているツールを特定することができました。
調査結果から、
0 件のコメント:
コメントを投稿