Solid Steps to More Successful Management of IT-Related Business Risk
Mr.Brian Barnier.jpg

Introduction
Efficient and effective management of business risk has become key to driving improved business performance. The more dependent business becomes on IT, the more important IT-related business risk management is to business performance. Yet, too many organizations are wasting too much time and effort on IT risk management while not sufficiently reducing risk to business performance.
Risk management in “steady state” often wastes 20-40% of time and budget. Organizations in planning stages can easily waste over 50% of their resources in unnecessary churn. Missteps in risk surveys, risk registers/inventories/logs, self-assessments, risk warning indicators, and more at least waste precious resources. Worse, they distract from potentially serious threats and can blind an organization to opportunities.

Seminar Outline
This two day seminar (8-4) will cover:
・Risk management in daily life
・Begin with the business
・Seeing the system
・Getting the foundation right-don’t build a house on sinking sand
・5 steps-make it simple, make it insightful, make it matter
・Right tool for the job
・Risk evaluation
     ・Stop the insanity-really (dangers and distractions in frameworks,
       terminology, heat maps, RCSAs, KRIs, risk registers,
       reporting and more)
     ・Scenario analysis-heart of risk management
     ・Engaging with the business, step by step in a scenario workshop
・Risk response-taking action, not pushing paper
・Risk reaction-it’s not about capes, it’s about prevention and readiness
・Personal action planning-your difference in your organization
     ・Step by step based on your current situation

Objectives
This workshop is designed to help you learn how to:
・Understand the importance of making risk simpler in order to more easily manage change and complexity.
・Understand the 5 step risk management cycle: How it is faster and easier, and better engages the organization.
・Define an environment, understand the factors in an environment
・Understand types of capabilities, the factors that create capabilities and how to document this in a way that provides the basis for building shared understanding across the business of both the risks and need for risk management
・Understand the dynamics of the risk to the business and engaging the business in managing risk to their business objectives
・Create life-like, realistic stories that are based on real causes in the real world
・Identify key warning signs of unfolding situations
・Identify roots of effective risk responses
・Apply the right tool for the job
・Manage to processes, decisions and outcomes
・Shape business cases for improvement
Bonus:
・Make risk management fun
・Shape a career path by leveraging risk management skill

Prerequisites
Sufficient experience with IT-related risk management to be wondering, isn’t there an easier way to enable more business benefit?

Pre-reads:
To help you get more from the program, these materials are suggested:
・Read “Real Scenarios for Real Risk Management” from Corporate Board Member https://www.boardmember.com/Article_Details.aspx?id=7032
・Review your organization’s business objectives (financial and operational) overall and key initiatives
・Review your organization’s business environment (economic, buyers, competitors, partners, suppliers, distributors, political/regulatory, technology trends)
・Review your organization’s business capabilities (skills, business and IT processes, technology, intellectual property)
・Review your organization’s business dependencies on IT (IT alignment to business, business-IT investment portfolio, architecture diagrams, system diagrams, continuity dependency diagrams, application maintenance and change records (especially those used for understanding what business process will be unavailable when changes are made)
・Review your organization design, especially to understand how IT provides support to business lines, functions and geographic regions
・Understand how improvement-oriented management support functions such as business process improvement, quality improvement, program/project management, enterprise architecture, transformation initiatives and risk management relate to each other
・Class text is The Operational Risk Handbook (Harriman House, 2011), optional to bring.

Program Level
Intermediate
14 CPEs.

Instructor Bio:
Brian Barnier, brings a unique perspective to business-IT management. With a split career between “the business” and IT, he works to bridge two sets of needs to get greater business benefits from IT. He also has a unique vantage point because of his experience in practical projects, best practices committees, research and teaching professional education across industries and countries. Named one of the first three distinguished Fellows of OCEG, he served on the OCEG Redbook Review Committee, co-authored ISACA’s Risk IT Based on COBIT, served on the COBIT 5 development workshop team, the IIA Risk Leadership Summit and BITS/FS Roundtable committees, including the Shared Assessment Program. He has penned over 100 articles, serves on the editorial panels of the Taylor & Francis EDPACS newsletter, ISACA Journal, and Association for Financial Professionals Risk! newsletter, contributed to Risk Management in Finance (Wiley, San Francisco, 2009) and is the author of The Operational Risk Handbook (Harriman House, London, 2011). He twice chaired ISACA’s IT GRC Conference and is co-developer of the Auditing of IT Risk program for NA CACS. Early in his career, he served in financial services regulatory policy in state government. A global businessperson with Finance, Operations and Product Management experience, he has also led teams to nine technology patents.
He can be reached at brian@valuebridgeadvisors.com


(参考訳)

IT関連のビジネス・リスク管理を成功させる確実な1歩

イントロダクション
効率的で効果的ビジネス・リスクの管理はビジネス成果の改善に向けて重要な要素になっている。ビジネスがITにより依存してきており、IT関連のビジネス・リスク管理がビジネス成果にますます重要になってきている。しかし未だに多くの組織ではITリスク管理に無駄な時間と努力を費やしている一方で、ビジネス業績の改善の為に十分なリスクの削減が行われてはいない。
リスク管理は定常状態では、しばしばその時間と予算の20%から40%を浪費している。 プランニング段階にある組織では、容易に50%以上のリソースを不必要な取引に浪費している。リスク調査の誤った手順、リスクの登録、棚卸し、ログ、自己評価、リスクの警告、指針、そしてそれ以上に貴重なリソースを浪費しており、更に悪いことには、それにより潜在的脅威を認識出来ず、組織に改善のための機会を見えなくしている。

セミナー概略
2日間のセミナー(8-4)で述べる事柄
・日常生活のリスク管理
・ビスネスを開始
・システムを見る
・基礎的な権利を得る-沈む砂の上には家を立てない
・5つのステップ-シンプルに、内容が見えるように、根拠を持つ
・仕事に対して正しいツール
・リスクの評価
     ・狂気に陥らない-本当に ( フレームワークの中の危険と集中の欠如、専門用語、ヒートマップ RCSAs
       “リスク管理自己評価”,リスク登録、レポーティング、その他)
     ・シナリオ分析-リスク管理の肝
     ・ビジネスにかみ合わせる、シナリオワークショップに順次
・リスク対応-アクションを取る、書面/文書を押し付けない
・リスク反応 -それは「岬」ではなく、予防と準備についてである
・個人のアクション・プラン-組織内に於けるあなたの特異性
     ・あなたの現在の立場によるステップ・バイ・ステップ

目的
ワークショップは以下を学ぶことを手助けするようにデザインされている
・より簡単に変化や複雑さを管理するためにリスクをシンプル化する事
の重要性の理解
・5ステップのリスクマネジメントサイクルの理解: どれ程早く簡単により効果的に組織に適応させる事が出来るか
・環境の定義、環境要素の理解
・能力のタイプの理解、能力の生成及びリスクとその管理の双方のビジネスを通して共有された理解を作り上げるためのベースをどう文書化するかという要因
・ビジネスに対するリスクの原動力、そしてビスネス目的のためにビジネスのリスク管理を適合させることへの理解
・実社会での現実的出来事を元にした現実的で”実生活さながら”のストーリーの作成
・次々に明らかになる状況からの重要な警告サインの識別
・効果的リスク反応のルーツの識別
・ジョブに対する正しいツールの適応
・プロセスの管理、決断とその成果物
・改善のためのビジネスケースの形成
ボーナス(更に加えて):
・リスク管理を楽しくさせる
・リスク管理のスキルを得ることによるキャリアパスの形成

前提条件
Sビスネス便益をより簡単に得る方法が無いかと考えている程度にITリスク管理の経験を持っている方

事前準備
もっとより良くプロブラムを受ける為に以下の理解がお勧め:
・Corporate Board Memberの以下のリンクの“Real Scenarios for Real Risk Management”https://www.boardmember.com/Article_Details.aspx?id=7032
・あなたの組織のビジネス目的(財務的と運用的)全体と重要な戦略・指針のレビュー
・あなたの組織のビジネス環境(経済的、購買者、競合社、パートナー、サプライヤー、代理店、政治/規制、テクノロジー、傾向)のレビュー
・あなたの組織のビジネス能力(スキル、ビジネスとITのプロセス、テクノロジー、特許)のレビュー
・あなたの組織のビジネスのITに対する依存度(ビジネスとITの適合、ビジネスITの投資のポートフォリオ、アーキテクチャダイヤグラム、システムダイヤグラム、依存関係のダイヤグラム、アプリケーションの維持と変更の記録(特に変更がなされる時ビジネスが利用不能になるかを理解するため)のレビュー
・あなたの組織のデザイン、特にITがビジネス ライン、機能、地理的地域に対してどのようにサポートを提供しているかのレビュー
・ビジネス・プロセス改善、品質改善、プログラム・プロジェクト管理、エンタープライズ・アーキテクチャ、改革戦略、そして相互関係のあるリスク管理のような改善志向のマネジメント支援機能の理解
・テキストには The Operational Risk Handbook (Harriman House, 2011) を使用するが自身で持参も可

プログラムのレベル
中級
14 CPE が付与される

講師略歴
ビジネス(現職:金融関連サービス)とIT(AT&T、ルーセント、IBMに勤務)という2つの分野の職歴を活かしてビジネスとITをつなぐマネジメントにユニークな見解を持ち込み、ITにより大きなビジネスの利益を得るためにその間のニーズの橋渡しを行っている。また、実践的なプロジェクトの経験、ベストプラクティスのコミッティ、調査・教育の国際的な経験を経た極めてユニークな視点の持主でもある。OCEGの最初の3人の著名なフェローとして選出され、OCEG Redbook Review コミッティに貢献し、ISACAのCOBITベースのリスクITを共著で開発した。更に、COBIT5 開発ワークショップチームに貢献し、IIAリスクリーダーシップサミットやBITS/FSの円卓会議にも参加してきている。100本を越える記事を執筆し、Taylor & Francis 、EDPACS ニュースレターの編集パネラーとして活躍し、ISACA ジャーナル、それにAssociation for Financial Professionals Risk! ニュースレターにも貢献してきた。「金融のリスク管理」(Wiley, San Francisco, 2009)、「運用リスクハンドブック」(Harriman House, London, 2011)の著作もある。過去に二度にわたりISACA IT GRC会議の議長を務め、北米CACSためのITリスクプログラムの監査の共同開発も行っている。初期のキャリアでは、州政府の金融サービス規制政策を務めた。グローバルなビジネスマンであり、財務、運用、プロダクト管理の経験を持ち9種類の技術的特許のチームリーダーも経験している。
彼のMail アドレスはbrian@valuebridgeadvisors.com