[本のメモ] エンジニアのためのリスクマネジメント入門
仕事の方で必要になり、リスクマネジメントについてしっかり調べてみようと、「エンジニアのためのリスクマネジメント入門」を読んでみました。これは良い本だと二回読みました。メモを残しておきます。
伝統的なリスクマネジメント・・・損失に関するリスク(マイナス面のリスク)を取り扱う
現代的なリスクマネジメント・・・利益に関連するリスク(プラス面のリスク)も取り扱う。Enterprise Risk Management (ERM)とも言う。
COSOキューブ
※この COSO キューブは古い版。古い版が無効なわけでも、新しいものが無条件にいいわけでもない。古い版は単純なため大事なことが見えやすい。
ERM
全社的なリスクマネジメント:社員全員がリスクマネジメント活動に参加
統合的なリスクマネジメント:全業務がリスクマネジメントの対象。伝統的なリスクマネジメントでは特定の業務だけが対象だったが、現代的なリスクマネジメントでは全業務が対象という違いがある。
リスクマネジメントのメリデメ
厳密にやる:品質が上がる、スピードは落ちる
疎かにする:品質は下がる、スピードは上がる
先進的なリスクマネジメント
環境の変化
・自社だけで完結する業務は少なくなった。オフショアの利用、サプライチェーン、クラウド、、業務委託が多くなった。リスクマネジメントに自社以外に委託先も含めないとリスクのコントロールができなくなっている。
・時代の速い変化
リスクマネジメントも改訂が必要になる頻度が速くなっている。しかしリスクマネジメントの改訂は容易ではない。
業務やプロセスの多様化、複雑化
↓
画一的なコントロールが効きづらくなっている。当てはまりにくくなっている。
↓
プロセスベースから 原則主義のモデル へ変化
原則主義では抽象的な原則を読み、解釈し、自身に当てはめて考える必要あり
→ 難易度が高くなっている。フレームワークも抽象的でわかりづらいものになっている
例えばリスクマネジメントの国際規格 ISO 31000 は原則主義で書かれているのでわかりづらい内容になっている。
リスクの定義 (ISO 31000)
リスク:目的に対する不確かさの影響
影響:期待されていることからの乖離(プラスもマイナスもどちらも考える)
目的:様々な側面、分野を持つことがある。様々なレベルで適用されることがある。
※わかりづらいが、これって目的?と思うものでも目的としていい。レベルとは社長から現場の担当までということ
一般にリスクは、リスク源、起こり得る事象、それらの結果、起こりやすさとして表される。
リスクという言葉が原因を表していたり、結果を表していたり、確率を表していたりよくわからないなと思っていたが、ISO 31000 の定義ではリスクは結果の方に重点がある。ただし「一般的には」ということで原因、事象、結果、確率全部リスクと呼んでるよと書いている。
有価証券報告書の「事業などのリスク」は参考になる。
リスクの洗い出しや評価の手法
・リストアップによる包括的なリスク検出法
・プロセスチェックによるリスク検出法
・シナリオアプローチによるリスク検出法
・財務・会計データに基づくリスク検出法
・詳細調査によるリスク検出法
・比較分析によるリスク検出法
本の方では手法について一つ一つ簡単に解説している。
金融庁の 「金融機関のシステム障害に関する分析レポート」 を題材に、事例に基づくリスクコントロールの説明。
金融機関のシステム障害に関する分析レポート
2021年版
2020年版
2019年版
リスクマネジメントをキャリアにしようとする人へのアドバイス
事業会社(1線、2線、3線)、監査法人、リスクコンサル会社
仮説検証アプローチについて簡単な説明
各種フレームワークの概要説明
COSO
COBIT
ISO 31000
