前回コラムでは、「リスク」をネガティブな要素としてだけではなく、ポジティブな要素として捉え、「企業価値の維持向上」から「ステークホルダーや社会の利益」へ、「個別のリスク対応」から「全社リスク対応」に変革するエンタープライズ・リスクマネジメント(ERM)として進展してきていることを説明しました。今回は、そのリスク管理がどのような手順で行われるかについて、JISQ2001規格「リスクマネジメントシステム構築のための指針」とエンタープライズを志向して、内部統制のフレームワーク(COSO)を拡大させた「COSO-ERM」を基に解説いたします。─●1「リスクマネジメントシステム構築のための指針(JIS Q2001規格)」JISQ2001規格は1995年に神戸淡路震災をきっかけに、全社的、包括的なリスク管理システムを構築するために作成されたものです。本規格の「リスクマネジメントシステム構築のための指針」では、リスクマネジメント活動に当たって、PDCA(Plan Do Check Action)の面から以下の7原則を定め、リスクマネジメントシステムを構築するための指針を示しています。・原則1:リスクマネジメント方針の明確化・原則2:リスクマネジメントに関する計画の策定・原則3:リスクマネージマントの実施・原則4:リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価・原則5:リスクマネジメントシステムに関する是正・改善の実施・原則6:組織の最高経営者によるレビュー・原則7:リスクマネジメントシステム維持のための体制・仕組みの整備このPDCAサイクルを回して、組織のリスクマネジメントシステムを継続的に改善していくのがリスクマネジメントシステムの原則と言えます。●2「COSO ERM(COSO−エンタープライズ・リスクマネジメント、2004年)」COSO−ERMでは、リスクを企業戦略の策定の中で検討すべきものとして位置づけ、そのポイントと手順を示しています…【執筆:東京大学 情報セキュリティコミュニティ 副代表 林 誠一郎】NTTデータ・セキュリティ | セキュリティ対策コラムhttp://www.nttdata-sec.co.jp/column/ 【関連URL】新たなリスク管理の展開(1)https://www.netsecurity.ne.jp/7_9737.html※ この記事は Scan購読会員向け記事をダイジェスト掲載しました購読会員登録案内http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
