リスクアペタイト
リスクアペタイト とは何ですか?
リスクアペタイト戦略目標を追求する上で組織が取りに行く、または受け入れる用意があるリスクの総量と種類で、取締役会と上級経営層が定めるもの。
リスクアペタイトは、価値創造のために組織がどれだけのリスクを取るかを戦略レベルで表現します。通常はリスクアペタイトステートメントとして文書化され、財務損失、顧客影響、規制エクスポージャ、サイバーインシデントなどのカテゴリを、高レベルの定性表現で扱います。このステートメントはリスクトレランス、統制への投資、対応方針の判断指針となり、事業部門の指標やキーリスク指標 (KRI) に展開されます。戦略・脅威環境・規制の変化に応じて、取締役会と経営層が責任を持って策定・見直します。COSO ERM や ISO 31000 などのフレームワークにおける中核要素です。
● 例
- 01
「規制対象の個人データの不正開示は一切容認しない。」
- 02
「合意した範囲内であれば、新規デジタル商品による中程度の財務変動は受け入れる。」
● よくある質問
リスクアペタイト とは何ですか?
戦略目標を追求する上で組織が取りに行く、または受け入れる用意があるリスクの総量と種類で、取締役会と上級経営層が定めるもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスクアペタイト とはどういう意味ですか?
戦略目標を追求する上で組織が取りに行く、または受け入れる用意があるリスクの総量と種類で、取締役会と上級経営層が定めるもの。
リスクアペタイト はどのように機能しますか?
リスクアペタイトは、価値創造のために組織がどれだけのリスクを取るかを戦略レベルで表現します。通常はリスクアペタイトステートメントとして文書化され、財務損失、顧客影響、規制エクスポージャ、サイバーインシデントなどのカテゴリを、高レベルの定性表現で扱います。このステートメントはリスクトレランス、統制への投資、対応方針の判断指針となり、事業部門の指標やキーリスク指標 (KRI) に展開されます。戦略・脅威環境・規制の変化に応じて、取締役会と経営層が責任を持って策定・見直します。COSO ERM や ISO 31000 などのフレームワークにおける中核要素です。
リスクアペタイト からどのように防御しますか?
リスクアペタイト に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスクアペタイト の別名は何ですか?
一般的な別名: リスクアペタイトステートメント。
● 関連用語
- compliance№ 938
リスクトレランス
特定の目的やリスクカテゴリに対して許容できる変動幅で、リスクアペタイトから導かれた定量・定性の具体的な閾値で表現したもの。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 383
全社的リスクマネジメント(ERM)
戦略・財務・業務・コンプライアンス・サイバーといった全社のリスクを、事業目標に沿って統合的に識別・統治・対応するアプローチ。
- compliance№ 939
リスク対応
組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
- compliance№ 923
残留リスク
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
- compliance№ 557
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。