大多数の会社がリスクマネジメントを実施し、適切なリスクアセスメントを行っていますが、昨今、どのようなリスクマネジメントフレームワークが自社に合っているか判断することが難しくなりつつあります。

何故なら、リスクマネジメントフレームワークは多種多様であり、内容が異なっているからです。もし、自社の状況に合致しないリスクマネジメントフレームワークを選んでしまうと、そのリスクマネジメントフレームワークを最大限活用することができなくなります。

本記事では、代表的なリスクマネジメントフレームワークについて具体的に解説します。リスクマネジメントフレームワークについて理解を深めたい方は、是非とも参考にしてください。

目次
そもそもリスクマネジメントとは？
リスクマネジメントフレームワークの種類
ITリスクマネジメントフレームワークの種類
リスクマネジメントフレームワークはどんどん活用しよう

一言で表すと、損失を未然に回避または最低限に抑えるための対策プロセス全般を指します。企業活動に伴う様々なリスクを特定し、発生確率や影響度の評価・分析を行います。その際、リスクを評価することで、優先的に対応すべきリスクが明確になりますので、効率的なリスク対策の立案・実行が可能となります。

リスクマネジメントには様々なフレームワークが存在しますが、自社のリスクマネジメント体制を考慮した上でフレームワークを活用することで、より適切かつ効果的にリスクマネジメントを行うことができます。

参照：リスクマネジメントとは？ 意味やその必要性、事例や手順を解説｜アビタスコラム

リスクマネジメントのフレームワークは様々ですが、ここでは代表的なものとして「COSO-ERM」「ISO31000」をご紹介します。これらのフレームワークは公認内部監査人試験でも出題される内容ですので、もし受験を検討されている方や現時点で勉強に励んでいる方は、深く理解して頂く必要があります。

COSO-ERMとは、2004年にCOSO（米国トレッドウェイ委員会支援組織委員会）が発表したERM（Enterprise Risk Management）のフレームワークのことを指します。

COSO-ERMは1992年に公表された内部統制のフレームワークを基に、不祥事などへの対応に重点を置いた考え方を1つの解として公表したものです。2004年の公表から10年以上が経過し、情報テクノロジーの発展やグローバル化に伴い、企業が直面するリスクは更に多様化・複雑化しました。このような経営環境の変化やリスクに対する関心の高まりを受け、COSOは2017年にCOSO-ERMの改訂版を公表しました。

COSO-ERMの大きな特徴として、全社的リスクマネジメントを事業体の戦略策定やパフォーマンス管理と一体化させている点にあります。

この一体化を行うことで、監査対象部門は戦略の中にリスクマネジメントを組み込むこととなるため、全社的なリスクを効率良く識別・管理できるだけなく、経営資源の見直しのきっかけになるなど、様々なメリットをもたらします。

参照：COSO-ERMとは？2017年改訂のフレームワーク内容を解説｜アビタスコラム

ISO31000とは、リスクマネジメントにおける一般的な指針を示した国際標準規格です。主にリスクマネジメントの手法や関連用語が記載されています。部署ごとに異なるシステムを利用している場合、ISO31000を活用することでリスクマネジメントにおける意思統一を図ることも可能です。

COSO-ERMとの大きな違いとして、ISO31000は、リスクを「目的に対する不確かさの影響」と定義している点にあります。つまり、目的を設定することがリスクマネジメントの前提であることを表します。目的の中には、戦略や組織目標なども含むことも可能ですので、この前提を置くことで、監査対象部門が定義付けた目的にリスクマネジメントを織り交ぜることができます。

参照：ISO31000とは？ 他のリスクマネジメント規格との違いも解説｜アビタスコラム

まずは無料の説明会にご参加ください。

ここまでは全社的に適用できるベーシックなリスクマネジメントフレームワークについて解説しましたが、実はITの内容に特化したリスクマネジメントフレームワークも存在します。

今や様々な企業がITシステムを導入し、それに合わせてIT統制を敷いていますが、この一連のITプロセスに合わせてITリスクマネジメントフレームワークを活用することで、より適切で効果的なリスクマネジメントを行うことができます。

ここでは代表的なものとして、NISTが提供する2つのフレームワークとISO / IEC 27001について解説します。

NISTとは、米国国立標準研究所のことであり、NISTサイバーセキュリティフレームワーク(CSF)とは、情報システムにおける情報セキュリティのリスクや統制方法などについて示したフレームワークです。なお、CSFは、Cyber Security Frameworkの略となります。

NISTサイバーセキュリティフレームワークの目的は、組織のサイバーセキュリティリスクマネジメントを改善することです。組織が直面するサイバーセキュリティリスクへの対応方針に応じてセキュリティ対策を継続的に改善しますが、以下の 3 つの要素で構成されています。

1つ目の要素は、「フレームワーク・コア」です。これは、全ての重要インフラ分野に共通するサイバーセキュリティ対策、期待される成果、適用可能な参考情報などを「フレームワーク・コア」として定義しています。

具体的には、「識別」「防御」「検知」「対応」「復旧」の 5 つの機能に分類し、これら5つの機能の下に複数のサブカテゴリを設け、当てはめていきます。これらの機能をまとめて考慮することで、効果的なITリスクマネジメントを行うことができます。

2つ目の要素は、「フレームワーク・インプリメンテーションティア」です。 これは、組織におけるサイバーセキュリティリスクへの対応状況を評価する際の指標を定義したものです。

この指標は大きく4段階に分けられます。ティア１は「部分的である」、ティア２は「リスク情報を活用している」、ティア３は「繰り返し適用可能である」、ティア４は「適応している」という指標となります。

この指標を全社的に共有し、適宜当てはめていけば、サイバーセキュリティリスクへの対応状況を社内に浸透させ、全社的に対応することが可能となります。

これは、フレームワークのカテゴリ及びサブカテゴリに基づき、サイバーセキュリティリスクに対する期待される効果を現します。具体的には、サイバーセキュリティリスクへの対応状況において「あるべき姿」と「現在の姿」をまとめたものとなります。例えるなら、As-Is / To-Be分析と同じようなものだと考えると良いです。

この「あるべき姿」の策定については、組織のビジネス上の要求、リスク許容度、割当可能なリソースなどに基づいて決定します。その際、フレームワーク・コアの機能、カテゴリ、サブカテゴリの到達地点を調整し、分析できるようにすることで、「あるべき姿」がより具体的かつ実現すべきものとなります。

この3つの要素からわかる通り、CSFは、サイバーセキュリティに対して、論理的で分析的に考えることができるフレームワークになっていることがわかります。

参照：政府情報システムにおける サイバーセキュリティフレームワーク導入に関する 技術レポート

NISTはCSFだけでなく、AIに特化したサイバーセキュリティフレームワークも作成しています。これを「NIST AI 100-1AI リスクマネジメントフレームワーク（AI RMF 1.0）」といいます。RMFとは、リスクマネジメントフレームワークの略となります。

このフレームワークは、2パートによる構成となっています。

パート1では、主に組織が AI に関連するリスクをどのようにフレームワーク化できるかについて解説されています。その上で、AI のリスクに何があるかを分析し、信頼できるAI システムの特徴に、「妥当性」「信頼性」「安全性」「セキュリティ」「レジリエンス」などを挙げています。 つまり、これらの特徴を満たすAIシステムは、信頼できて、十分な状態であると定義しているということです。

パート2では、主にフレームワーク・コアとプロファイルについて定義し、構成されています。基本的にCSFのような構成となっていますが、定義している機能と意味が異なります。

AI RMFのフレームワーク・コアは、「GOVERN」「MAP」「MEASURE」「MANAGE」 の4つの機能で構成されており、これらに付随して、カテゴリーとサブカテゴリーが設定されます。「GOVERN」は組織の AI リスクマネジメントプロセスや手順の全段階に適用される一方、「MAP」「MEASURE」「MANAGE」 の各機能は、AIシステム固有のコンテクストや AIライフサイクルの特定の段階で適用することが可能です。

参照：NIST AI 100-1AI リスクマネジメント フレームワーク(AI RMF 1.0)

最後は、「ISO / IEC 27001」について解説します。ISO/IEC 27001とは、情報セキュリティマネジメントシステム (ISMS) の国際規格です。ISMSとは、Information Security Management Systemの略となります。

このフレームワークの特徴として、情報セキュリティを機密性・完全性・可用性の3つに分けて、これらをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。

「機密性」とは、アクセス権限を持つ者と持たない者を明確に区別し、権限のない者がアクセスさせようにするといったものです。「完全性」とは、情報自体に改ざんがなく、整合性のとれた正確な状態を保証するといったものです。「可用性」とは、アクセス権限を持つ者が、必要な時にいつでも情報にアクセスできるようにするといったものです。

英語にすると、機密性はConfidentiality、完全性はIntegrity、可用性はAvailabilityであり、これらの頭文字を繋げて「情報セキュリティのCIA」と呼ばれています。

参照：概要 | ISO/IEC 27001（情報セキュリティ） | ISO認証 | 日本品質保証機構（JQA）

自社の状況に合致したリスクマネジメントフレームワークを選択することで、そのリスクマネジメントフレームワークは最大限効果を発揮します。

もし、初めてリスクマネジメントフレームワークを使用するという場合は、手探り状態になってしまうところもあるかと思いますので、色んなリスクマネジメントフレームワークを使おうとせず、1つに絞って使用することをお勧めします。

実際にリスクマネジメントフレームワークを使用してみると、良かった点や改善点などが色々見えてくるかと思います。自社の状況に合わせて改良することもできれば、別のリスクマネジメントフレームワークを使用することも可能です。

是非、自社の状況に合致したリスクマネジメントフレームワークを模索してみてください。最後までお読みいただきありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。