オペレーショナルリスクマネージャーは、人、内部プロセス、システム、または外部イベントによって発生するエラー、違反、または損害などのオペレーショナルリスクを管理します。オペレーショナルリスクは、軽微な人的ミスによる損失リスクなどの小さなものから、重大な不正行為による倒産リスクなどの大きなものまでさまざまです。

オペレーショナルリスクマネージャー

オペレーショナルリスクマネージャーは、組織のリスク体制を管理するオペレーショナルリスクチームの一員です。リスク体制は、会社の現在のリスクプロファイルです。オペレーショナルリスクマネージャーは、次のタスクを実行する必要があります。

オペレーショナルリスクフレームワークを定義

堅牢なリスク管理フレームワークを定義することで、組織のオペレーショナルリスクを効果的に管理します。このフレームワークは、リスクを特定し、それらのリスクを軽減するためのコントロールフレームワークを定義するのに役立ちます。リスク管理フレームワークは、次のコンポーネントで構成されています。

• リスク識別
• リスク測定または採点
• リスク軽減
• リスクのレポートおよび監視

ライブラリを設定

次を実行して、包括的なライブラリを設定します。

• リスクステートメントの作成：リスクステートメントは、重大度または相対的な優先度について全員が合意に達することができる方法でリスクを記録するために使用されます。
• コントロール目標の作成：コントロール目標は、リスク軽減コントロールの目標または目的を定義します。これらのコントロールには継続的な監視が必要です。
• エンティティクラス、エンティティタイプ、およびエンティティの定義：エンティティの詳細については、「Understanding entities (エンティティについて)」を参照してください。
• アップストリームおよびダウンストリームエンティティの定義。

最初のステップは、チームがリスクについて具体的に理解できるようにリスクステートメントを設定することです。たとえば、リスクを単にサイバーセキュリティリスクと呼ぶのは具体的ではありません。サイバーセキュリティリスクは、人によって意味が異なります。そのため、サイバーセキュリティを定義する一般的なステートメントがリスクステートメントとして作成されます。リスクステートメントとその階層を作成するには、リスクの影響度、リスクのある資産、およびリスクのソースを明確に定義します。リスクステートメントを定義し、その階層を作成することで、リスクスコアが集計され、完全なリスクステータスを得ることができます。

定期的にリスクアセスメントを実施

組織のポリシーに従って年次リスクアセスメントを実行します。また、リスク登録が更新され、正確であることを確認します。リスクアセスメントスコープを作成し、アセスメントをスケジュールします。リスク登録の詳細については、「リスクワークスペース でのリスク登録」を参照してください。

リスクイベントを記録および監視

リスクイベントは、組織内で発生する潜在的または実際の財務的および財務以外の損失、ニアミス、および利益です。リスクを効果的に管理するには、リスクイベントを監視し、根本原因を分析し、修正タスクを追跡することが不可欠です。組織は、リスクイベントを使用して損失を把握し、改善領域を分析してそれ以上の損失を削減します。完全なイベント情報をキャプチャし、将来のリスクを軽減するための追加のコントロールを提案するために、損失イベント登録を維持する必要があります。

主なリスクインジケーターを定義

企業のリスク体制を継続的に監視します。リスクとコントロールの継続的な監視には、主要なリスクおよびコントロールインジケーターの特定と作成が含まれます。これらのインジケーターのサポート情報は、自動データ収集または手動タスクによって収集できます。インジケーターの結果は、コントロールの問題を作成し、リスク体制の変化を知らせ、監査アクティビティとコントロールテストのサポート情報を提供するために使用されます。インジケーターのしきい値に違反している場合は、それぞれのステークホルダーにエスカレートする必要があります。

問題とインシデントを管理

脅威となる環境、プロセス、またはシステムに変更があると、問題が作成されます。問題には、インシデントまたは損失を防ぐためのアクションが必要です。インシデントは、成功した結果であるか、負の影響を及ぼすイベントです。オペレーショナルリスクマネージャーは、問題とインシデントを表示、作成、および管理できます。問題とインシデントの追跡、適切なクローズ、修正、および監視を確実に行います。

オペレーショナルリスク体制を通知

データを効果的かつ正確にレポートするためのダッシュボードを定義します。エグゼクティブおよびオペレーショナルリスクチームの責任者と共有できる必要なレポートを作成する必要があります。レポートとダッシュボードは、組織全体の集計されたアセスメント結果が企業の上位のオペレーショナルリスクの特定に確実に役立つようにします。

次の表に、オペレーショナルリスクマネージャーのロールで実行する主要なタスクを示します。

表 : 1. オペレーショナルリスクマネージャーのタスク

アクティビティ	タスク
オペレーショナルリスクフレームワークを定義	リスクステートメントを作成 リスクワークスペースでリスクフレームワークを作成 リスクワークスペースでリスクステートメントをコントロール目標に関連付ける
オペレーショナルリスク体制を通知	リスクワークスペースの Advanced Risk アセスメントのオペレーショナルリスクヒートマップ クラシック版リスクアセスメントのリスクヒートマップ
重大なインシデントと問題を監視	問題を表示、作成、管理
主なリスクインジケーターを定義	リスクインジケーター、コントロールインジケーター、およびインジケーターテンプレート
年次リスクアセスメントプロセスを実施	リスクアセスメント方法論を構成 要素を作成 リスクアセスメントスコープを作成 リスクワークスペースでリスクアセスメントをスケジュール リスクワークスペースで高度なリスクアセスメントを実行
損失イベントの記録とそこからの学習を促進	リスクイベントを管理 リスクワークスペースでリスクイベントを作成 リスクワークスペースでリスクイベントを分析 リスクワークスペースでリスクイベントエントリを作成
集計されたリスクレポートを作成	Risk Management アプリケーションにおけるレポート

次の画像は、オペレーショナルリスクマネージャーのビューを示しています。