COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

こんにちは、丸山満彦です。

COSOが「クラウドコンピューティングのためのエンタープライズ・リスクマネジメント」を公表していますね。。。

ERM - Integrating with Strategy and Performance framework (2017)の原則を活用したクラウドコンピューティングガバナンスの確立のためのロードマップを提供するものということのようです。。。

● The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2021.07.28 (News) COSO Releases New Guidance: Enterprise Risk Management for Cloud Computing

・[PDF] Enterprise Risk Management for Cloud Computing

Introduction	はじめに
Enterprise Risk Management with a Cloud Computing Environment	クラウドコンピューティング環境におけるエンタープライズ・リスクマネジメント
Governance and Culture	ガバナンスと文化
Strategy and Objective-Setting	戦略・目標設定
Performance	パフォーマンス
Review and Revision	レビューと改訂
Information, Communication, and Reporting	情報・コミュニケーション・報告
Conclusion	結論
Appendix A. Roadmap to Cloud Computing	附属書A. クラウドコンピューティングへのロードマップ
Appendix B. Roles and Responsibilities	附属書B. 役割と責任
Appendix C. Glossary and Definitions	附属書C. 用語集と定義

 

Conclusion	結論
Cloud computing is one of many technology options available for organizations to utilize. A structured adoption of cloud computing, including a holistic cloud computing governance program that addresses the associated risks and is incorporated into the ERM program, will enable an organization to derive the most value and enable the organization to achieve its strategic objectives.	クラウドコンピューティングは、組織が利用できる多くの技術オプションの1つです。関連するリスクに対処し、ERMプログラムに組み込まれた全体的なクラウドコンピューティング・ガバナンスプログラムを含む、クラウドコンピューティングの構造的な採用は、組織が最も価値を引き出し、その戦略的目標を達成することを可能にするものです。
For an organization to maintain a competitive edge, it will need to use its IT strategy to empower the business. Integrating cloud computing into the IT strategy and turning the IT organization into a strategic partner can provide many of the tools and framework needed for the organization to succeed.	組織が競争力を維持するためには、IT 戦略を利用してビジネスを強化する必要があります。クラウドコンピューティングを IT 戦略に統合し、IT 組織を戦略的パートナーにすることで、組織が成功するために必要なツールやフレームワークを数多く提供することができます。
Cloud computing risks must be identified and managed in the context of the organization’s broader ERM program. While tasks, processes, and maintenance can be outsourced, accountability for risks cannot. The ownership of the risks will remain with the organization who will need to monitor the internal controls within the organization and of its CSPs.	クラウドコンピューティングのリスクは、組織の広範な ERM プログラムとの関連で特定し、管理する必要があります。タスク、プロセス、およびメンテナンスはアウトソーシングできますが、リスクに対するアカウンタビリティはアウトソーシングできません。リスクの所有権は組織にあり、組織は組織とクラウドサービス提供者の内部統制を監視する必要があります。
In order to use cloud securely, organizations should invest and implement a variety of security tools. The organization will need to leverage available technology to continue to monitor, report, and update assessments of the cloud computing technology, vendors, and ERM program. Senior management and the governing body should also ensure that the internal audit activity has included cloud-based services in its risk-based planning process, to provide independent assurance and advice.	クラウドを安全に利用するために、組織はさまざまなセキュリティ・ツールに投資し、導入する必要があります。組織は、利用可能なテクノロジーを活用して、クラウドコンピューティング技術、ベンダー、およびERMプログラムの評価を継続的に監視し、報告し、更新する必要があります。また、シニアマネジメントと経営陣は、内部監査がリスクベースの計画プロセスにクラウドベースのサービスを含め、独立した保証と助言を提供することを確認する必要があります。
Organizations that have already embarked on the path to cloud computing without an ERM framework can and should still add cloud governance to their processes. Since the cloud governance process should be incorporated into the ongoing activities related to business strategy, IT strategy, and cloud computing, the cloud governance should be continually updated and revised based on new information. If an organization has not created a cloud governance program, it can do so at any time and continue to refresh as changes occur. By incorporating cloud governance into the organization’s cloud computing processes, the organization is better positioned to manage risks that threaten the strategy and objectives of the organization.	ERMの枠組みを持たずにクラウドコンピューティングへの道を既に歩んでいる組織でも、クラウドガバナンスをプロセスに追加することは可能であり、またそうすべきです。クラウドガバナンスのプロセスは、ビジネス戦略、IT戦略、およびクラウドコンピューティングに関連する継続的な活動に組み込まれるべきであり、クラウドガバナンスは新しい情報に基づいて継続的に更新および改訂されなければなりません。クラウドガバナンスプログラムを作成していない組織は、いつでも作成することができ、変更が生じた場合は更新を続けることができます。クラウドガバナンスを組織のクラウドコンピューティングプロセスに組み込むことで、組織の戦略や目的を脅かすリスクを管理する体制が整います。
The use of the COSO Enterprise Risk Management – Integrating with Strategy and Performance framework enables cloud computing to be integrated with the organization’s ERM function. The cloud computing governance approach provides a holistic view of cloud computing throughout the organization. Governance and communication and reporting dovetails with the cloud strategy, performance, and monitoring and revision. This is undertaken with a view that the implementation of cloud computing will coalesce the CSP’s cloud computing governance processes with those of the organization.	COSO ERM - 戦略とパフォーマンスの統合フレームワークを使用することで、クラウドコンピューティングを組織の ERM 機能と統合することができます。クラウドコンピューティングのガバナンスアプローチは、組織全体を通してクラウドコンピューティングの全体像を把握することができます。ガバナンスとコミュニケーション、レポーティングは、クラウド戦略、パフォーマンス、モニタリングと改訂と連動しています。これは、クラウドコンピューティングの導入により、CSPのクラウドコンピューティングガバナンスプロセスを組織のガバナンスプロセスに統合することを視野に入れて実施されます。