第 1 ディフェンスラインを強化する、 優れた統制フレームワークを構築する方法

Galvanize

これまで多くの組織が、組織のリスクを特定し、低減し、管理するために 3 つのディフェンス ライン(3LoD)モデルに倣っています。 このフレームワークは 3 つの個別体制をとる仕組みです。

  • 第 1 ディフェンスライン:最高統制責任者(COO)(とマネージャーのチーム)を含む部門。リスクを掌握し、管理するチーム
  • 第 2 ディフェンスライン:リスクマネジメント、コンプライアンス、統制などのさまざまなリスクを監視する部門
  • 第 3 ディフェンスライン:独立した監査(内部監査)を実施する部門

包括的なリスクマネジメント プロセスの構築には、3LoD に携わる 3 つすべての部門が不可欠です。しかし、今や、フレームワークは一昔前ほどわかりやすくありません。 業界の規制や、サーベンス・オクスリー法(SOX)などの法律は、財務統制に限らない、あらゆるオペレーショナル リスク要因に関連して導入が必要な各種統制のレベルに厳しい規則を設けています。 そしてサイバーセキュリティの脅威がさらに広まり、サードパーティ リスクが不確実性を強める中、リスク予測は刻一刻と変わり得る状況です。

組織の様々な部門がリスクマネジメントにそれぞれの考え方を持っており、加えて部門間で常に明確な意思疎通ができているとは限りません。 それどころか、PwC Digital Trust Insights Survey では、調査回答企業の内 49% に相当する組織が、リスク、監査、コンプライアンス、サイバーセキュリティ対策チームは組織全体のリスクに対する共通認識を連携して醸成できていないと回答しています。 こうした意思疎通の溝が、新興リスクや正しく評価されていないリスクの特定および軽減の面で、組織を不利な状況に立たせています。

1LoD の改善

優れた協力体制を構築することは、1LoD を強化し、コンプライアンス重視から真のリスクマネジメント重視に考えをシフトしていく第一歩です。 このシフトとは、具体的に、コンプライアンスのチェックリストに注力するだけでなく、サイバーセキュリティ、サードパーティ、評判、オペレーショナル リスクなど、組織が直面するかもしれないあらゆるリスクを調査してまとめることを指しています。

リスクをまとめ、包括的な統制フレームワークを構築し、リアルタイムでリスクのエコシステムを追跡しやすくなるプロセスや技術を導入すれば、組織に損害を与える前に問題や改善策を特定して、リスクマネジメントチームにかかる負担を減らせます。

これには、会社で展開する 1LoD がリスクマネジメント プロセス全体の基準を設け、3LoD の内の残りのディフェンスラインがその基準で構築したフレームワークを確実に導入するように働きかけなければなりません。 通常、チームによって成功のベンチマークが異なります。このため、統一されたベンチマークを使用する場合のように、包括的なリスク分析を行えません。 組織のリスクマネジメント体制の効果を高めるために、1LoD は一連のベストプラクティスと共通の手順を導入する必要があります。

1LoD のベストプラクティス

組織の最高統制責任者はリスクマネジメントチーム全体に方向性を打ち出し、別チームと協力してリスク事案を評価し、管理し、低減するために組織が取り入れられるフレームワークを構築しなければなりません。 以下は、そのフレームワークで検討を要する重要な要素の一部です。

  • コンプライアンス要件と規制要件を特定し、このような要件が業務プロセスにどのように影響するのかを判断する
  • リスク選好度、各リスクを低減するためにどの程度設備投資をするかを決める
  • リスク 一覧、リスク評価スコアカード、リスク測定方法を取り入れたリスクマネジメント特定プロセスを策定する
  • 部門全体のコンプライアンスおよびリスクマネジメントの問題に対応するためのトレーニング プログラムと手順を確立する
  • 社内の命令系統を策定し、重要な役割の社員を採用する

フレームワークの一環として、企業は、問題を手作業で特定し、対応する際に 3LoD に依存する程度を減らすためのテクノロジーを導入する必要があります。 あるリスク要因が上がったらアラートを送信したり、自動応答を生成したりする自動化トリガーを設定することで、反復作業を手作業でする手間を減らし、人的エラーが起こる可能性を低減できます。 技術と人間のアナリストが連携して、データを裏付け、潜在的な問題まで深く掘り込んでいくと、専門家が確実に専門とする戦略分析に時間をかけられるようになります。

適切な統制フレームワークを導入してリスクマネジメント プロセスを最適化する方法について詳しくは、Galvanize の eBook をダウンロードしてご覧ください。

eBook:

統制の導入と効果的な統制

金融機関では常に財務データとアクセスが厳しく統制されています。 しかし、金融取引以外の取引よりも制限とコンプライアンス要件の厳格化が求められているため、近年は最高統制責任者の役割が変わりつつあります。 サイバーセキュリティ違反、不正行為、サードパーティのリスク要因が一般化し、オペレーション コンプライアンス要件が厳しくなっているため、金融機関は、すべてのオペレーショナル リスク要因に対する厳しい統制を維持するためのポリシーを構築し、施行するための専門のリーダーシップの役割を導入することが重要です。

この eBook では、以下のことを考察します。

  • CCO と 3LoD の役割の変遷
  • どれほど複雑であっても、統制を統制する方法
  • KCI を成熟度の指針とする方法

eBook をダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン