Microsoft Enterprise リスク管理 (ERM)
Microsoft Enterprise リスク管理 (ERM) は、Microsoft の最も重大なリスクを特定し、組織全体で一貫したリスク管理アプローチを提供します。 ERM には正式なリスク管理方法が含まれます。定義された役割と責任を含むので、継続的な情報を提供し、リスクを軽減するためのタイムリーな意思決定をサポートします。 優れた上級リーダーシップのサポートと関与により、説明責任が確保され、組織のリスクを効果的に管理するという Microsoft の取り組みが強調されます。
ERM は、半年毎にエンタープライズ リスク評価を実行して、Microsoft のリスクを評価します。 これらの評価には、上級リーダーシップ (CEO と直属の部下) と取締役会の監査委員会という 2 つの対象レベルがあります。 ERM 評価では、全社のドメイン・リーダーや各組織の上級リーダーとのディスカッションで得られた情報を活用します。 評価のための主要なインプットは、各リスク ドメインと操作リスク分野の領域の専門家 (SME) から上級リーダーシップに至るまで、Microsoft のさまざまなレベルでのインタビューです。 ERM プロセスでは、リスク ドメイン オーナーの分析情報と、各操作リスク分野のリーダーや SME から得られた分析情報を組み合わせます。 また、リスク指標を監視するリスニング システムや、Microsoft のシステムやプロセスの運用状況を可視化するツールなど、リスク管理プロセスの基礎となる要素からのフィードバックも含まれます。
ERM リスク評価プロセスでは、会社の機会、願望、約束に加えて、Microsoft の目標に対する最も重大なリスクを特定します。 この分析には、運用環境の評価が含まれます。たとえば、ビジネス ユニットからの内部的なリスクの評価や、競争や規制情勢などの外部要因の評価などがあります。 また、以前の監査や評価などの履歴データについても考慮します。 また Microsoft では、業界グループ、フォーラム、およびピア レビューからの知見やフィードバックを適用して、外部リスク環境の全体像を把握します。
リスク評価プロセスには、organization全体の主要な利害関係者とのディスカッションが含まれます。 関係者は、発見されたリスクに対するフィードバックを提供し、Microsoft のリスクの状況を正確に表すようにします。 識別されたリスクに対するアクション プランを確認し、リスクが適切な所有者に割り当てられていることを確認した後、評価は、Microsoft の上級リーダーシップの意見を反映した、取締役会のためのエンタプライズ リスク管理レポートにまとめられます。