複合保証プログラムに十分に成熟した環境が整っていますか?

複合保証プログラムに十分に成熟した環境が整っていますか?

2020 年 6 月 4 日 | リスク

Galvanize

組織というものはリスクに精神を集中させて競争の優位に立ち続けなければなりません。しかし、チームで細分化された業務に取り組むとなると、実際にリスクを目の前にした時にはうっかり見過ごしてしまうこともあります。 複合保証プログラムは、このような時に役立ちますが、CAE は組織のリスク文化とリスク管理のアプローチがこれに対応できるだけ十分成熟しているのかをまず尋ねなければなりません。

(複合保証モデルとその背景について詳しくは、ホワイトペーパー「複合保証とは?」で説明しています。 複合保証がもたらすビジネス上の価値、リスク管理をどう支えることができるのか、そして 3 つのディフェンス ライン モデルで機能する仕組みをわかりやすくまとめたものです。)

複合保証の導入は 1 つのプロジェクトとして取り組むものです。ほかのプロジェクトのように、脇道に逸れることもあれば失敗することもありますし、時間や資金を費やさなければなりません。 つまり、事業で目にするほかの業務と何ら変わりません。CAE はリスクベースのアプローチをとり、組織のリスク管理の成熟度を評価する必要があります。

「リスク管理プロセスが十分に成熟していれば、複合保証の導入はその分簡単に済みます。」

成熟度を判定する 5 つの質問

複合保証への第一歩は、現状の成熟度を把握することです。 これにより、複合保証の必要性を確立して概略にまとめやすくなり、次のことができるようになります。

  • ソリューションの構想を練る
  • ソリューションを計画する
  • ソリューションを導入する
  • 複合保証を運用する

このブログでは、成熟度の分析について特に詳しく説明していきますが、ほかのステップについては Galvanize のホワイトペーパー 「複合保証の導入」をご覧ください。

複合保証の導入プロセス

組織のリスク管理の成熟度を評価するため、5 つの側面に注意して目を向ける必要があります。

1. 貴社にはどのようなリスク文化がありますか?

組織のリスク文化は、リスクの対処方法のみならず、従業員の姿勢や行動にも触れます。 リスク文化とリスク選好度は組織の意思決定を形作り、そしてその文化が職位などの階層に限らずすべてに反映されます。

リスク回避型の傾向が強い組織は、根拠や数値データなく早急な意思決定を行うことを嫌います。 一方で、リスク許容度の高い組織はリスクを進んでとり、意思決定スピードは速く、適切なリスク評価を行うことなく行動に移す傾向があります。

経営陣のサポートからデータを活用した意思決定まで、組織のリスク文化は、複合保証のプログラムがどの程度上手く機能するかという点に大きな影響を与えます。

2. 従業員の方々はリスクをどの程度意識していますか?

従業員が組織におけるリスクの管理方法とその管理の程度を理解せず、そして優先することもなければ、導入したプログラムは失敗に終わります。 従業員がメールのフィッシングメールをクリックしてしまう、サードパーティ ベンダーを適切に審査しない、または優れた人材の確保と保持ができないなど、リスクは組織のどこにでもあるものです。 保証はリスクと非常に密接な関係があります。そのため、従業員と定期的にやりとりを行い、ビジネス上のリスクを適切に管理していく必要があることを意識させなければなりません。

3. 貴社にはしっかりとしたリスク管理プロセスがありますか?

リスクと保証は密接に連動していると申し上げた通り、リスク管理プロセスが十分に成熟していれば、複合保証の導入はその分簡単に済むというのは当然のことです。 成熟したリスク管理とは、プロセスをしっかりと定義し、文書化し、機能させ、そして精練させていることをいいます。 ここに挙げたすべての環境を揃えている幸運な一握りの方については、これらが揃っていない方たちと比較すれば非常にスムーズに事を運べることでしょう。

4. リスクと統制で使用する言語はなんですか?

ツールの名前をこじつけたり、他の方法でプロセスを展開したり、果てはまったくのでたらめに KPI の報告をするわけにはいきません。 当然のごとく、リスクとコンプライアンスには共通の言語が必要です。 Sam C. J. Huibers が IIA の Research Foundation (研究振興財団) に向けて出した 複合保証についての自身の研究論文の中で、複合保証の結果とは、組織全体のリスクと問題を表す「1 つの言語であり、1 つの声であり、そして 1 つの見方」であるべきだと文にしたためています。

5. 適切なリスク管理ソフトウェアをお持ちですか?

専門的な技術を持たずして、素晴らしいプロセス、分類法、そして統合されたリスクと統制を踏襲する持続的に運用可能なリスク管理システムを提供することは非常に難しいことです。 組織での技術の使われ方が、複合保証の持続可能性を左右します (こうした統合能力を有する リスク管理と統制のプラットフォームをすでにお持ちであれば、導入は簡単に行えるでしょう)。

リスク管理の成熟度を評価する方法

複合保証は、10年以上も前に導入されているにも関わらず、未だに比較的新しいコンセプトであるかのように話されています。 複合保証の採用は断片的であり、多くの組織がその実施に四苦八苦しています。 だからこそ、CAE は複合保証の導入に関して成功するか失敗するかを決定づけるあらゆる要因に目を向ける必要があります。ここに挙げる以外にもまだまだあります。 複合保証プログラムに関して組織の環境が整っているかの評価について様々な視点から理解し、組織のリスク管理の成熟度を評価する方法を知るには、以下のホワイトペーパーをご覧ください。

ホワイト ペーパー:

複合保証の導入

以下の項目について順を追って説明していきます。

  • 複合保証プログラムの必要性を立証する
  • ソリューションの構想を練り、計画する
  • プランを導入する
  • プログラムを運用する

ホワイト ペーパーをダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン