Risk Management概要

GRC

Risk Managementとは

Risk Managementは、影響度の高いリスクを継続的に監視・特定し、リスクに基づいた的確な意思決定を支援するためのアプリケーションです。インシデントへの対応時間を効果的に短縮し、ビジネスの成長を守ります。

また、リスク評価、リスク指標、そしてリスクに関する課題管理といった一連のプロセスを、体系化されたワークフローでスムーズに進めることができます。

Risk Managementがもたらす3つのメリット

このアプリケーションを導入することで、企業は以下のような大きなメリットを享受できます。

  1. 迅速な意思決定を実現 自動計算されるリスクスコアに基づき、対応すべき業務の優先順位を明確化。最もクリティカルなリスクから先に対応することで、迅速かつ合理的な意思決定が可能になります。
  2. パフォーマンスの向上 部門横断的な業務プロセスの中にリスク管理を自動で組み込むことで、作業が中断されることなく、シームレスな業務遂行を実現します。
  3. 効果的なリスクの可視化と共有 リアルタイムの分析情報と、役職や役割に応じたダッシュボードにより、経営層から現場担当者まで、あらゆるレベルでの報告がこれまで以上に簡単かつスピーディになります。モバイルにも対応しているため、いつでもどこでも必要な情報にアクセスし、的確なアクションを取ることが可能です。

Risk Managementの役割

効果的なリスク管理は、特定部署だけで完結するものではなく、組織全体での協力が不可欠です。Risk Managementでは、主に以下のような役割の人々が連携します。

  • 監査委員会、IT運営委員会(ステコミ):全社的なリスク管理方針の監督・承認。
  • リスクオフィサー(リスク管理責任者):リスク評価を実施し、事業運営上の潜在的な問題点を特定する中心人物。
  • 全階層の管理職:自身の担当業務プロセスに潜むリスクを特定し、リスクオフィサーを支援。

主な活動ステップ

主要な役割が特定されたら、次の項目を特定します。

  1. 許容リスクレベルの決定: 組織として「どこまでのリスクを受け入れるか」を定義します。
  2. ポリシーの策定: リスクを分類・管理するための「リスクフレームワーク」や「リスクステートメント」を策定します。
  3. 評価・対応手順の開発: リスクをどのように評価し、対応するかの具体的な手順を定めます。
  4. 統制(コントロール)の導入: リスクに晒される度合い(エクスポージャー)を低減するための対策を定期的に実行します。
  5. 効果測定: リスクエクスポージャーの変化や改善度合いを測定し、次のアクションに繋げます。

Risk Managementの主な機能

https://www.servicenow.com/docs/bundle/yokohama-governance-risk-compliance/page/product/grc-risk/concept/c_RiskManagementProcess.html

1. リスクの登録と管理

  • リスク管理と台帳: すべてのリスクフレームワーク、リスクステートメント(個々のリスク定義)、そして組織内で発生しうる潜在的なリスクを一元管理する「リスク台帳」を提供します。
  • リスクイベント管理: 実際に発生した、または発生しそうになった「ニアミス」を含む金銭的・非金銭的な損失や、逆に利益となった事象までを管理できます。

2. 評価と分析

  • リスク階層とスコアリング: 運用リスク、ITリスク、戦略リスクといった異なる種類のリスクを階層構造で管理。下位のリスク評価が完了すると、スコアが自動的に上位階層へ積み上げ集計され、より戦略的な意思決定を支援します。
  • 柔軟なリスク評価: シンプルな調査形式の「クラシックリスク評価」から、より高度で統合的な「Advanced Risk Assessment」まで、目的に応じた評価手法を選択できます。
  • GRCワークベンチ: ServiceNowの強みであるCMDB(構成管理データベース)情報を活用し、システムやアプリケーション間の関係性を可視化。リスクがどの範囲に影響を及ぼすかを正確に把握できます。

3. 継続的な改善サイクルの実現

  • 各種指標によるモニタリング: KRI(重要リスク指標)やKCI(重要コントロール指標)を設定し、リスクや統制状況を継続的に監視。指標の閾値超過をトリガーに、自動で課題を起票することも可能です。
  • 課題管理と修正プロセス: 監査での指摘事項や、モニタリングで発見された問題は「課題」として登録され、修正完了まで一貫してトラッキングされます。
  • ポリシーの例外適用: やむを得ずコンプライアンス要件を満たせない場合に、一時的な「例外適用」を申請・承認するワークフローを管理できます。

4. 他製品との連携

  • Vulnerability Response連携: セキュリティ運用チームが利用する「Vulnerability Response」と連携。事業インパクトの大きい脆弱性をリスク情報と掛け合わせることで、対応の優先順位付けを高度化します。
  • 分析とレポーティング: Performance Analyticsのダッシュボードを使えば、リスク管理状況を様々な角度から可視化。データに基づいた改善活動を促進します。

参照

Risk Management:https://www.servicenow.com/docs/bundle/yokohama-governance-risk-compliance/page/product/grc-risk/concept/c_RiskManagementProcess.html

Exploring Risk Management:https://www.servicenow.com/docs/bundle/yokohama-governance-risk-compliance/page/product/grc-risk/concept/c_RiskManagementProcess.html

コメント

タイトルとURLをコピーしました