公開日:2024年5月23日
寄稿者:Cole Stryker
オペレーショナル・リスクとは、内部プロセス、人、システムの不十分または失敗、あるいは外部要因によって生じる損失の概要を指します。
これは、戦略的リスク、信用リスク、市場リスクと並んで、企業や組織が直面する主要なリスクタイプの1つです。オペレーショナル・リスク管理(ORM)には、潜在的な損失の可能性と影響を軽減するために、これらのリスクを特定、評価、軽減することが含まれます。
これらは、このようなリスクを管理する体制が整っていない場合に、ビジネスを盲目的にしている可能性のあるオペレーショナル・リスクの例のほんの一部です。
どの企業も、規制に遵守できないリスクなど、主に組織のコントロールの範疇にあるものから、予期せぬウイルスの感染拡大など、予測すらできない要因まで、さまざまな種類のオペレーショナル・リスクに直面しています。
例えば、多くのシステムや国にまたがるさまざまな種類の操作が関係するなど、操作が複雑化すると、組織のリスクへの露出が高まり、何らかの操作上の失敗が発生して組織の評判や収益に影響を及ぼす可能性が高くなります。
侵害の特定方法や、セキュリティーAIとオートメーションの影響について説明します。
Gartner®アシュアランス・リーダー向けGRCツール市場ガイド
さまざまなビジネス慣行に伴うリスクの種類はいくつかに分類することができますが、ここでは、さまざまな種類のリスクを分類するために一般的に使用される6つのカテゴリーを紹介します。
これらのリスクは、内部プロセスの効率性と有効性に関連しています。例えば、取引処理におけるエラーや遅延、顧客からの苦情を処理するための不適切な手順、サプライチェーンの混乱、内部統制の失敗などです。
プロセス・リスクを回避するために、組織は人工知能(AI)を活用したオートメーションを導入してワークフローを改善し、速度低下、停止、不足の可能性を減らすことができます。プロセスを文書化することで、上級管理職が改善できる点を把握するのにも役立ちます。
これは「テクノロジー・リスク」と呼ばれることもあり、組織内でのテクノロジーとシステムの使用から生じるリスクを指します。リスク・イベントには、バグ、システム障害、サイバー攻撃またはその他のサイバーセキュリティー障害、データ侵害、不十分なITインフラストラクチャーなどが含まれる場合があります。
システムはさまざまな方法で故障したり侵害されたりする可能性があります。システムが安全で、セキュリティーが確保され、スムーズに稼働していることを保証するのは、最高技術責任者(CTO)、最高情報責任者(CIO)、最高データ責任者(CDO)、およびITマネージャーの責任です。
財務リスクには、オペレーション上のニーズを満たすためのキャッシュフローの不足、不適切な投資、パートナーが組織に対する財務上の義務を果たせないリスクなど、財務上の意思決定による財務損失のリスクが含まれます。
これは、戦略的取り組みから生じるあらゆるビジネス・リスクを説明するために使用される包括的な用語です。合併や買収、新製品の提供、ブランドの変更など、これらすべてのビジネス上の決定には、何らかのリスク要素が伴います。
これらは、組織の管理範疇を超えた外部要因から生じるリスクです。例としては、物理的資産に影響を及ぼす自然災害、政情不安、金融サービスの崩壊、大手金融機関の破綻、突然の規制変更、パンデミックなどが挙げられます。
ビジネスの混乱を引き起こす可能性のあるイベントは、組織の外で常に発生しており、必ずしも防止できるとは限りませんが、それを予測し、迅速に対応して ビジネスの継続性を維持する方法を明確にするのはオペレーション・マネージャーの責任です。
オペレーショナル・リスクの評価は、組織の日常業務に関連するリスクを特定、分析、評価するプロセスです。オペレーショナル・リスクは常に回避できるわけではありません。そのため、オペレーショナル・リスクを評価する目的は、利害関係者がリスクを特定し、リスクのレベルを評価し、リスクを軽減する方法を見つけることになります。
最初のステップは、組織のオペレーション、システム、活動内の潜在的なリスクを特定することです。
これには、情報の収集、組織の目標達成を妨げる可能性のあるオペレーション上の要素とそれに伴うリスクの調査が含まれます。
ブレインストーミング、従業員への聴取、文書レビューをによりリスクを特定できます。
リスクが特定されると、オペレーション・マネージャーはリスクを分析して、リスクの発生可能性と組織への潜在的な影響を評価できます。
これには、各リスクの頻度と重大度を評価し、リスク暴露の許容レベルを決定することが含まれます。
リスク・マトリックス、シナリオ分析、履歴データ分析などのさまざまな分析手法を使用してリスクを評価できます。
リスクを分析した後、組織にとっての重要性に基づいてリスクを評価し、優先順位を付けます。
リスクは通常、重大度と発生可能性に応じて分類されるため、組織はまず最も重要なリスクに対処することにリソースを集中させることができます。
リスク評価には、組織のリスク許容度、規制要件、戦略目標などの要素を考慮することが含まれます。組織は主要リスク指標(KRI)を使用してリスクを定量化します。
リスクが評価され、優先順位が付けられると、組織はリスク管理戦略を策定し、実装して、リスクを効果的に管理し、軽減します。
リスク処理戦略には、リスク回避、リスク軽減、リスク移転、リスク受容などが含まれます。組織は、特定されたリスクの発生可能性と影響を最小限に抑えるために、管理対策と安全対策を講じる場合があります。
オペレーショナル・リスクの評価は継続的なプロセスであり、リスク管理戦略の有効性を維持するために、内部監査を通じてリスクを定期的に監視およびレビューする必要があります。
これには、組織のオペレーション環境の変化を追跡し、導入した管理対策の有効性を評価し、必要に応じてリスク評価を更新することが含まれます。
継続的な監視とレビューにより、組織は変化するリスクに適応し、長期にわたって効果的なリスク管理フレームワークを維持することができます。
リスク選好度、リスク許容度、リスク・プロファールの違いを理解することは、オペレーショナル・リスクを効果的に管理するために不可欠です。
リスク選好は広範囲かつ戦略的であり、リスクを取ることに対する全体的なアプローチを定義します。リスク許容度はより具体的で、特定の領域に対して許容できるリスク・レベルを設定します。リスク・プロファイルは、現在のリスクを取り巻くランドスケープの概要を提供します。
これは、組織が戦略的目標を追求する上で受け入れるリスクの全体的なレベルで、リスクを取ることに対する組織の姿勢と、その中核となる使命および目標を危険にさらすことなく損失のリスクを負う能力を反映し、長期的な目標および戦略と一致しています。これは、「低」から「高」で表現されます。
これは、組織が特定の領域または特定のプロジェクトで受け入れる準備ができている特定のリスク・レベルです。これは、リスク選好度によって設定されたより広範なORMフレームワーク内で、より詳細なしきい値を提供します。リスク許容度は通常、最大許容損失や予算からの差異など、より明確で測定可能な用語で表現されます。
リスク・プロファイルは、組織が現在直面しているリスクの種類とレベルを包括的にまとめたものです。これには、さまざまなリスクの可能性と潜在的な影響、およびそれらの管理方法の評価が含まれます。
リスク・プロファイルは、現在のリスク露出度とリスク管理の有効性を反映し、リスク状況の全体像を提供します。プロファイルは、リスク環境の変化、新たなリスク、リスク管理の有効性を反映するために定期的に更新されます。
リスクが特定され、評価され、優先順位が付けられると、組織はこれらのリスクの軽減に向けて取り組むことができます。このプロセスは、いくつかのカテゴリーに分類されます。効果的なオペレーショナル・リスク管理には、重大性、即時性、その他多くの要因に基づいてリスクへの最適な対応を選択することが含まれます。
オペレーショナル・リスク管理プログラムは、組織が事業運営全体にわたるオペレーショナル・リスクをオールインワン環境で特定、評価、軽減、監視できるように設計されたORMソフトウェアを使用することで強化できます。
ORMプログラムは、さまざまな種類のリスクを捕捉して文書化するための自己評価ツールを提供し、ユーザーがリスク管理を記録できるようにします。リスク管理ソフトウェアは、識別だけでなく、リスク・スコアリング手法やリスク・マトリックスなどのさまざまな分析手法を使用してリスクを評価することができます。
リスクを特定して評価したら、ユーザーはツールを使用してリスクを軽減および管理し、リスクの発生可能性と影響を軽減できます。オペレーション上の損失が避けられない場合、リスク管理プロセスは管理者がインシデントを追跡し、責任と救済策を決定するのに役立ちます。
ソフトウェアは、法律、規制、標準を追跡し、企業にコンプライアンス違反の可能性のある領域を特定するツールを提供するため、コンプライアンス管理にも役立ちます。リスク管理ソフトウェアは、エンタープライズ・リスク管理(ERM)やその他のシステムと統合して、リスク・データを共有し、部門横断的なチーム間のコラボレーションを効率化することもできます。
IBM® OpenPagesは、企業がリスクと規制のコンプライアンス課題を管理できるよう構築された、AI駆動型のガバナンス/リスク/コンプライアンス・プラットフォームです。
OpenPagesオペレーショナル・リスク管理モジュールを使用すると、動的なリスクが発生する世界でも、ビジネス目標を達成できるという確信を得ることができます。
スケーラブルなオペレーションとインテリジェントなワークフローを使用し、IBMはお客様が優先順位を達成し、リスクを管理し、金融犯罪や詐欺と闘い、監督上の要件を満たしながら変化する顧客の要求に対応できるよう支援します。