ガバナンスの主な目的は、組織が目標を達成し、効率的に運営され、ステークホルダーに価値を付加できるようにすることです。ガバナンスの主な目的は、組織への投資を通じて価値を生み出すことです。これには、組織の目標に沿った戦略的決定を下すこと、リソースが効果的に使用されること、組織の活動が持続可能で長期的な利益をもたらすことが含まれます。統制とリスク認識を作成することはガバナンスの重要な側面ですが、これらは戦略的投資を通じて価値を生み出すというより広い目標に役立ちます。この概念は、ISO/IEC 38500 や COBIT (情報および関連技術の管理目標) などのコーポレート ガバナンスのフレームワークや標準に見られる原則と一致しています。

リスクの特定は、リスクを認識し、ビジネス目標への影響を理解するために重要です。その理由は次のとおりです。
* 企業に対する過去の脅威と可能性のある脅威のレビューを提供します。これはリスク識別の一部ですが、主な目的は網羅されていません。過去の脅威のレビューは、過去のリスクを理解するのに役立ちますが、現在および将来のリスクの認識と理解には役立ちません。
* リスクが認識され、ビジネス目標への影響が理解されていることを確認します。これがリスク特定の本質です。これは、潜在的なリスクを特定し、これらのリスクがビジネス目標の達成にどのように影響するかを理解するのに役立ちます。リスクを認識することで、組織はリスクが現実化する前に積極的に対処できます。
* リスク レジスターで、企業のビジネス プロセスへの潜在的な影響を詳細に記録できます。これはリスク識別の結果ですが、最も重要なのはリスクの認識と理解です。
したがって、リスクの特定は、リスクを認識し、ビジネス目標への影響を理解することを保証するため、非常に重要です。

* リスク報告の理解:
* リスク報告が現在のリスク管理能力を正確に反映するには、特定されたすべてのリスク、その重大度、および組織への影響を包括的に表示する組織の現在のリスク プロファイルに基づく必要があります。
* リスク報告の構成要素:
* リスク管理フレームワーク(A)は、リスクを管理するための全体的なアプローチとガイドラインを提供しますが、リスクの現状を反映するものではありません。
* リスク許容度 (C) は、組織が受け入れるリスクのレベルを定義しますが、現在管理されているリスクの詳細は定義しません。
* 現在のリスクプロファイル:
* リスク プロファイルは、新たなリスク、既存のリスクの変化、およびこれらのリスクを管理するために実施されている制御の有効性など、現在のリスクの詳細なスナップショットを提供します。
* これは、効果的なリスク報告のためにリスク状況の動的かつ最新のビューの重要性を強調する ISO 31000 や COSO ERM などのフレームワークのガイドラインと一致しています。
* 結論：
* したがって、現在のリスク管理能力を反映するには、リスクレポートは企業のリスクプロファイルに基づく必要があります。

管理目標とは、管理活動が達成しようとする特定のターゲットまたは目標です。管理目標の主な目的は、組織のセキュリティ、正確性、効率性に関する要件を満たす方法でビジネス プロセスが実行されるようにすることです。具体的には、管理目標は次のようになります。
* 望ましい結果を定義する: 資産の保護、データの整合性の確保、規制の遵守など、コントロールを実装した場合に期待される結果を説明します。たとえば、コントロールの目標は、金融取引が正確に記録および報告されるようにすることです。
* 制御アクティビティのガイド:制御目標は、制御アクティビティの設計と実装に役立ちます。
これらの活動は、望ましい結果を達成する上で効果的であることを確認するために、制御目標に対して測定されます。
* リスク管理のサポート: 管理目標は、リスクを効果的に軽減するために管理する必要があるものを特定するのに役立つため、リスク管理フレームワークに不可欠です。管理目標は、管理のパフォーマンスを測定するためのベンチマークを提供します。
参考文献:
* ISA 315 ガイドライン 5 およびガイドライン 6 では、IT 制御のコンテキスト内で制御目標を理解して定義し、リスクに適切に対処してビジネス プロセスを効果的にサポートすることの重要性について詳しく説明しています。
* SAP 財務モジュールおよびレポートには、資産の保護、正確な財務報告の保証、規制要件への準拠を目的としたさまざまな制御目標が含まれています。

組織内の優れたリスク文化は、いくつかの特徴によって識別できます。提供されるオプションには次のようなものがあります。
* オプションA: 企業は否定的な結果から学び、根本原因に対処する
* このオプションは、リスク管理に対する積極的かつ継続的な改善アプローチを反映しています。これは、組織がインシデントに対応するだけでなく、インシデントから学び、根本的な問題に対処する対策を実施して再発を防止することを示しています。このアプローチは、リスク管理のベスト プラクティスと一致しており、成熟したリスク文化を示しています。
* オプションB: 企業はリスク管理機能内でリスクと事実に関する議論を可能にする
* リスクに関するオープンな議論を促進することは重要ですが、それは主に企業がコミュニケーション環境をサポートしていることを示します。ただし、必ずしも企業が否定的な結果から学んだり、根本原因に対処したりするための具体的な行動をとっていることを示すものではありません。
* オプションC: 企業はリスクのプラス面とマイナス面を重視する
* リスクのプラス面とマイナス面の両方を強調することは、バランスの取れた見方を提供するという点で有益です。ただし、これだけに焦点を合わせると、過去の失敗から学んだり、問題の根本原因を修正したりするために講じられた措置の証拠は得られません。
結論: オプション A は、組織が過去の失敗から学び、問題の根本原因に対処することでリスク管理プロセスを改善することに取り組んでいることを示しているため、優れたリスク文化を示す最良の指標です。