リスク・ガバナンスは、従来の直線的なリスク管理から、統合的・参加型・熟考型のプロセスへとパラダイム転換を示します。従来モデルが確率計算に焦点を当てるのに対し、リスク・ガバナンスは、公的・私的セクターにまたがる多様なアクターの協働によって、複雑性・不確実性・曖昧性を特徴とするシステミック・リスクに取り組みます。
現在の研究と実務から得られる最重要のポイントは次のとおりです。
>The Integrative Shift(統合への転換):有効なガバナンスには、事前評価、学際的なアプレイザル、特徴付け、マネジメント、モニタリングという継続的サイクルが必要であり、分断的なアプローチからの脱却が求められます。
>システミック・リスクに対するアダプティブ・ガバナンス:気候変動やパンデミックのようなリスクを管理するには、連鎖的影響に対処するための柔軟で反復的な意思決定と制度的学習が必要です。
>多層的な連携:成功の鍵は、マクロ(グローバル/国家レベルのルール)、メゾ(セクター/都市レベルのプログラム)、ミクロ(地域社会/企業の実装)の整合を図ることにあります。
>参加の必須化:ステークホルダー・エンゲージメントは「あると良いもの」から標準機能へと移行しましたが、参加が単なる形式ではなく変革的なものとなるようにする課題は残ります。
>デジタル・トランスフォーメーション:AIやブロックチェーンを含む新たなデジタル・アーキテクチャが、リアルタイムの監督に向けてガバナンス/リスク/コンプライアンス(GRC)を統合するために、ますます活用されています。"
リスク・ガバナンス:適応的かつ統合的なフレームワーク
さらに読む・ポッドキャストインタビューを聴く・動画要約を見るはこちら -->> https://buff.ly/IHGYv1Y
「取締役会は、(存在する場合には)取締役会のリスク管理委員会の助言を受けつつ、次の仕組みを提供するリスク管理フレームワークを策定します。
・新たに顕在化しつつあるリスクを含むリスクの特定
・組織が直面するリスクの定期的な見直しと、組織のリスク登録簿の更新
・それらのリスクの重要性(マテリアリティ)の判断と、当該リスクが組織に与える影響を最小化するための計画の策定
・重大なリスクに対処するための、組織のリスク管理プロセスおよび手順の策定と更新
・組織のリスク文化が、取締役会のリスク許容度およびリスクの優先順位と整合していることのモニタリング
・組織のリスク管理プロセスおよび手順が実施され、効果的に機能している程度のモニタリング
・リスク管理を担当する組織内の人員のモニタリングおよび評価」
c
リスク委員会。(解説) リスク委員会の更新された役割:
• 経営陣のパフォーマンスを、取締役会が定めたリスク選好の範囲内で運用されているかどうかを含め、組織のリスクマネジメント・フレームワークに照らしてモニタリングする
• 不正やリスク管理の統制崩壊に関わる重大なインシデントおよび「得られた教訓」をレビューする
• 内部監査計画を承認し、リスク管理プロセスの妥当性に関する内部監査のレビュー報告を受領する
• 新たに発生または顕在化しつつあるリスクの源泉、リスク統制および緩和策に関する経営陣の報告を受領する
• リスクマネジメント・フレームワークまたはリスク選好に必要な変更を取締役会に勧告する
• 保険プログラムを監督する。
アクション:
• 更新された解説に照らしてリスク委員会の憲章を見直す
• 開示事項を見直し、必要に応じて更新する。
「リスクを認識し管理することは、取締役会および経営陣の役割において極めて重要な一部です。」 「原則7:リスクを認識し管理する:上場企業は、健全なリスク管理フレームワークを確立し、その有効性を定期的に見直すべきです。」
リスク委員会の役割は通常、次のとおりです。
• 取締役会が設定したリスク選好の範囲内で運用されているかどうかを含め、経営陣のリスク管理フレームワークに対するパフォーマンスをモニタリングすること。
• 不正行為やリスク管理統制の破綻に関わる重大なインシデントおよびそこから得られた「教訓」をレビューすること。
• 組織のリスク管理プロセスの妥当性に関する内部監査のレビューについて、その報告を受領すること。
• 新たに発生しつつある、または新興のリスク源およびそれらのリスクに対処するために経営陣が講じたリスク統制・低減策に関する経営陣からの報告を受領すること。
• 組織のリスク管理フレームワーク、または取締役会が設定したリスク選好に対して実施すべき変更に関し、取締役会へ勧告を行うこと。
• 組織の事業内容およびその事業に伴う保険付可能なリスクを踏まえつつ、組織の保険プログラムを監督すること。
オタワ市(City of Ottawa / Ville d’Ottawa)のエンタープライズ・リスク・マネジメント(ERM)フォローアップ監査は、2022年のERM監査で提示された全ての勧告が、議会向けのERM研修や全社的な不正リスク評価を含め、既に実施済みであることを確認しました。本監査は、リスクが経営層および議会の議論に一層組み込まれるなど、ERMプログラムが成熟しつつある点を強調する一方で、ガバナンスの強化、リスクアペタイトの明確化、不正リスクマネジメントの強化に向けた機会も指摘しています。
アカウンタビリティと継続的な改善の推進に尽力した、オタワ市監査官ナタリー・グージョン(Nathalie Gougeon), CPA, CA, CIA, CRMA 氏と監査事務局に敬意を表します。
「現代的なセキュリティ・リスクマネジメントのアプローチは、リスクを『社会的構築物』として捉え、個々の認知や認知バイアス、人間の行動と組織システムの相互作用によって形作られることを認めます。
このフレームワークのアーキテクチャは、次の4つの独自の柱の上に構築されています。
* レジリエンスの九つの原則:価値創造、動的かつ適応的、人的要因など、九つの原則によりフレームワークが導かれており、セキュリティシステムを構築するための設計基準であると同時に、そのパフォーマンスを測定するためのアシュアランス原則として機能します。
* 具現化された統合:セキュリティを二次的なプロセスとして「後付け」するのではなく、組織のより広範な戦略、調達、ガバナンスの枠組みに統合され、組織の中に具現化されるよう設計します。
* 文化の不可視のドライバー:このハンドブックは、組織文化をセキュリティの基盤層として位置づけ、表層的な規則やアーティファクトよりもはるかに強く、深層の前提が行動や意思決定を不可視のかたちで駆動することを指摘します。
* アジャイル・センスメイキング:固定的で線形のモデルから脱却し、リスクマネジメントのプロセスを反復的かつ再帰的なものとし、不安定な環境における情報ギャップを埋めるために、継続的な「センスメイキング」とセキュリティ・インテリジェンスの能動的な探索を求めます。
最終的に、このフレームワークは単純なチェックリストを超え、重要性と脆弱性の分析という洗練されたサイクルへと進み、組織の最も重要な提供メカニズムの保護を優先しつつ、教訓の促進と継続的改善の文化を醸成します。」
戦略レポート:セキュリティ関連リスクマネジメントにおける統合された文化の醸成
詳細を読む、ポッドキャストインタビューを聞く、またはビデオ概要を見るにはこちら -->> https://buff.ly/2UILJVR
