リスク許容度の評価Evaluate risk tolerance

どのようなビジネス上の決定でも、新しいリスクが生じます。Every business decision creates new risks. 何に投資しても、損失のリスクが生じます。Making an investment in anything creates risk of losses. 新しい製品やサービスで、市場の失敗のリスクが生じます。New products or services create risks of market failure. 現在の製品やサービスを変更すると、市場シェアが減少する可能性があります。Changes to current products or services could reduce market share. クラウド変換は、日常的なビジネス リスクに対して魔法のような解決策を提供するものではありません。Cloud transformation does not provide a magical solution to everyday business risk. その反対に、接続済みのソリューション (クラウドまたはオンプレミス) によって新たなリスクがもたらされます。To the contrary, connected solutions (cloud or on-premises) introduce new risks. また、ネットワークに接続された施設に資産を展開すると、セキュリティの脆弱性がはるかに広いグローバル コミュニティにさらされるため、潜在的な脅威のプロファイルも広がります。Deploying assets to any network connected facility also expands the potential threat profile by exposing security weaknesses to a much broader, global community. 幸いなことに、クラウド プロバイダーはリスクの変化、増加、追加を認識しています。Fortunately, cloud providers are aware of the changes, increases, and addition of risks. また、このようなリスクを削減および管理するために顧客の代わりに多額の投資を行っています。They invest heavily to reduce and manage those risks on the behalf of their customers.

この記事では、クラウドのリスクに重点を置いていません。This article is not focused on cloud risks. そうではなく、さまざまな形式のクラウド変換に関連するビジネス リスクについて説明します。Instead it discusses the business risks associated with various forms of cloud transformation. この記事の後半では、ビジネスのリスク許容度を理解する方法の説明に焦点を移します。Later in the article, the discussion shifts focus to discuss ways of understanding the business's tolerance for risk.

クラウド変換に関連するビジネス リスクWhat business risks are associated with a cloud transformation?

実際のビジネス リスクは、特定の変換の詳細に基づいています。True business risks are based on the details of specific transformations. いくつかの一般的なリスクは、ビジネスに固有のリスクを理解するための会話のきっかけを提供します。Several common risks provide a conversation starter to understand business-specific risks.


以下の記事を読む前に、このような各リスクは管理できることに注意してください。Before reading the following, be aware that each of these risks can be managed. この記事の目的は、リスク管理に関するより生産的なディスカッションのために、読者に情報を提供し、準備してもらうことです。The goal of this article is to inform and prepare readers for more productive risk management discussions.

  • データ侵害: 変換に関連する最大のリスクは、データの侵害です。Data breach: The top risk associated with any transformation is a data breach. データ漏洩は会社に非常に大きなダメージをもたらし、顧客を失ったり、ビジネスの縮小、または法的責任の発生にもつながりかねません。Data leaks can cause significant damage to your company, leading to loss of customers, decrease in business, or even legal liability. データの保存、処理、または使用方法に変更があると、リスクが生じます。Any changes to the way data is stored, processed, or used creates risk. クラウド変換によって、データ管理に関して高度な変化が生じるので、リスクを軽視しないでください。Cloud transformations create a high degree of change regarding data management, so the risk should not be taken lightly. セキュリティ ベースライン規範データ分類、および増分型の合理化のそれぞれが、このリスクの管理に役立ちます。The Security Baseline discipline, data classification, and incremental rationalization can each help manage this risk.

  • サービスの中断: 事業運営とカスタマー エクスペリエンスは、技術的な運営に大きく左右されます。Service disruption: Business operations and customer experiences rely heavily on technical operations. クラウド変換によって、IT 運営に変化が生じます。Cloud transformations will create change in IT operations. 組織によっては、その変化は小さく、簡単に調整できます。In some organizations, that change is small and easily adjusted. 他の組織では、これらの変更により、ツールの一新、再トレーニング、またはクラウド運営をサポートするための新しいアプローチが必要になる場合があります。In other organizations, these changes could require retooling, retraining, or new approaches to support cloud operations. 変化が大きければ大きいほど、事業運営とカスタマー エクスペリエンスへの潜在的な影響も大きくなります。The bigger the change, the bigger the potential impact on business operations and customer experience. このリスクの管理策では、変換計画においてビジネス チームの関与が必要になります。Managing this risk will require the involvement of the business in transformation planning. 増分型の合理化」の記事のリリース計画と最初のワークロードの選択では、変換プロジェクトのワークロードを選択する方法が説明されています。Release planning and first workload selection in the incremental rationalization article discuss ways to choose workloads for transformation projects. そのアクティビティにおけるビジネス チームの役割は、優先順位の高いワークロードを変更することの事業運営リスクを伝えることです。The business's role in that activity is to communicate the business operations risk of changing prioritized workloads. 運営への影響が少ないワークロードを選択できるように IT チームを支援することで、全体的なリスクが軽減されます。Helping IT choose workloads that have a lower impact on operations will reduce the overall risk.

  • 予算管理: クラウドではコスト モデルが変わります。Budget control: Cost models change in the cloud. この変更により、コスト超過や売却済商品の原価 (COGS) の増加、特に直接の要因となる運営費用に関連するリスクが生じる可能性があります。This change can create risks associated with cost overruns or increases in the cost of goods sold (COGS), especially directly attributed operating expenses. ビジネス チームが IT チームと密接に連携すると、さまざまな事業単位、プログラム、またはプロジェクトによって消費されるコストとサービスに関して透明性を高めることができます。When business works closely with IT, it is feasible to create transparency regarding costs and services consumed by various business units, programs, or projects. Cost Management の規範には、ビジネス チームと IT チームがこの話題について連携可能な方法の例が示されています。The Cost Management discipline provides examples of ways business and IT can partner on this topic.

上記の内容は、お客様から挙げられる最も一般的なリスクのごく一部です。The above are a few of the most common risks mentioned by customers. ワークロードが移行され、運用リリースの準備が整ってくると、クラウド ガバナンス チームとクラウド採用チームはリスク プロファイルの開発を始めることができます。The cloud governance team and the cloud adoption teams can begin to develop a risk profile, as workloads are migrated and readied for production release. 目的とするビジネスの成果と変換作業に基づいて、リスクを定義、調整、管理するための話し合いを準備します。Be prepared for conversations to define, refine, and manage risks based on the desired business outcomes and transformation effort.

リスク許容度を理解するUnderstand risk tolerance

リスクの特定は非常に直接的なプロセスです。Identifying risk is a fairly direct process. 通常、IT 関連のリスクは、業界にかかわらず一般的です。IT-related risks are generally standard across industries. これらのリスクの許容度は各組織に固有です。Tolerance for these risks is specific to each organization. これが、ビジネス チームと IT チームの話し合いが先に進まなくなりがちな点です。This is the point where business and IT conversations tend to get hung up. 話し合いのそれぞれの側が、本質的に異なる言語で話します。Each side of the conversation is essentially speaking a different language. 以下の比較と質問は、各当事者がリスク許容度をより深く理解し、計算するために役立つ話し合いを始められるように設計されています。The following comparisons and questions are designed to start conversations that help each party better understand and calculate risk tolerance.

比較のための簡単なユース ケースSimple use case for comparison

リスク許容度を理解できるように、顧客データについて見てみましょう。To help understand risk tolerance, let's examine customer data. どのような業界でも、企業がセキュリティで保護されていないサーバーに顧客データを置いた場合、そのデータが侵害や盗難に遭う技術的リスクは大体同じです。If a company in any industry posts customer data on an unsecured server, the technical risk of that data being compromised or stolen is roughly the same. そのリスクに対する許容度は、データの性質や潜在的な価値に応じて大きく異なります。Tolerance for that risk will vary wildly based on the nature and potential value of the data.

  • 米国の医療や金融分野の企業は、厳格なサードパーティのコンプライアンス要件に準拠します。Companies in healthcare and finance in the United States, are governed by rigid, third-party compliance requirements. 個人データや医療関連データは極秘と考えられています。It is assumed that personal data or healthcare-related data is extremely confidential. このような種類の企業が上記のリスク シナリオに関わっている場合は重大な影響があります。There are severe consequences for these types of companies, if they're involved in the risks scenario above. 許容度はごく低くなります。Their tolerance will be extremely low. ネットワークの内部または外部で公開されるすべての顧客データは、このようなサードパーティのコンプライアンス ポリシーに準拠する必要があります。Any customer data published inside or outside of the network must be governed by those third-party compliance policies.
  • 顧客データがユーザー名、プレイ時間、およびハイ スコアに限定されているゲーム会社は、前述のリスクが高い行動に関わっていても、評判を失うよりも重大な問題になる可能性はあまり高くありません。A gaming company whose customer data is limited to a user name, play times, and high scores is not as likely to suffer significant consequences beyond loss to reputation, if they engage in the risky behavior above. セキュリティで保護されていないデータがリスクにさらされても、そのリスクの影響はわずかです。While any unsecured data is at risk, the impact of that risk is small. そのため、このケースのリスク許容度は高くなります。Therefore, the tolerance for risk in this case is high.
  • 何千人もの顧客にカーペット クリーニング サービスを提供する中規模企業は、これら 2 つの両極端の許容度の間に分類されます。A medium-sized enterprise that provides carpet-cleaning services to thousands of customers would fall in between these two tolerance extremes. 顧客データには住所や電話番号などの詳細情報が含まれ、より堅牢なものになる可能性があります。Customer data may be more robust, containing details like addresses and phone numbers. どちらも個人データと見なされ、保護する必要がありますが、データのセキュリティを保護することを要求する具体的なガバナンス要件はありません。Both are considered personal data and should be protected, but no specific governance requirement mandates that the data be secured. IT チームの観点からすると、答えは単純であり、データをセキュリティで保護します。From an IT perspective, the answer is simple, secure the data. ビジネス チームの観点からすると、それほど単純ではない場合があります。From a business perspective, it may not be as simple. ビジネス チームの場合、このリスク許容度を判断するには、さらに詳細な情報が必要です。The business would need more details before they could determine a level of tolerance for this risk.

次のセクションでは、ビジネス チームが前述のユース ケースまたは他のユース ケースに対するリスク許容度を決定するために役立つ可能性のある質問例をいくつか紹介します。The next section shares a few sample questions that could help the business determine a level of risk tolerance for the use case above or others.

リスク許容度の質問Risk tolerance questions

このセクションでは、話し合いを進めるための質問を 3 つのカテゴリに分けて示します。「損失の影響」、「損失の可能性」、そして「修復のコスト」です。This section lists conversation provoking questions in three categories: loss impact, probability of loss, and remediation costs. ビジネス チームと IT チームがこれらの各領域に取り組むと、リスクを管理するための労力をどこに使うかの決定を簡単に行え、特定のリスクに対する全体的な許容度を簡単に判断できるようになります。When business and IT partner to address each of these areas, the decision to expend effort on managing risks and the overall tolerance to a particular risk can easily be determined.

損失の影響: リスクの影響を判断する質問です。Loss impact: Questions to determine the impact of a risk. このような質問に答えることは難しい場合があります。These questions can be difficult to answer. 影響の定量化が最善ですが、話し合いだけで許容度を十分に理解できる場合もあります。Quantifying the impact is best, but sometimes the conversation alone is enough to understand tolerance. 範囲も許容されます。そのような範囲を決定する前提条件が含まれている場合は特にそうです。Ranges are also acceptable, especially if they include assumptions that determined those ranges.

  • このリスクがサードパーティのコンプライアンス要件に違反する可能性はありますか。Could this risk violate third-party compliance requirements?
  • このリスクが社内の企業ポリシーに違反する可能性はありますか。Could this risk violate internal corporate policies?
  • このリスクによって、生命、手足、または財産が失われる可能性はありますか。Could this risk cause the loss of life, limb or property?
  • このリスクは顧客または市場シェアを犠牲にしますか。Could this risk cost customers or market share? その場合、このコストは定量化できますか。If so, can this cost be quantified?
  • このリスクは顧客のエクスペリエンスに悪影響を及ぼす可能性がありますか。Could this risk create negative customer experiences? そのエクスペリエンスは、売上や収益に影響を及ぼす可能性がありますか。Are those experiences likely to affect sales or revenue?
  • このリスクによって新たな法的責任が生じる可能性はありますか。Could this risk create new legal liability? その場合、このような種類のケースで損害裁定の優先権はありますか。If so, is there a precedence for damage awards in these types of cases?
  • このリスクによって事業運営が停止する可能性はありますか。Could this risk stop business operations? その場合、運営が停止する期間はどのくらいですか。If so, how long would operations be down?
  • このリスクによって事業運営が遅くなる可能性はありますか。Could this risk slow business operations? その場合、遅くなる程度と期間はどのくらいですか。If so, how slow and how long?
  • 変換のこの段階で、これは一時的なリスクですか、それとも繰り返し発生しますか。At this stage in the transformation is this a one-off risk or will it repeat?
  • 変換の進行状況に従って、このリスクの頻度は増減しますか。Does the risk increase or decrease in frequency as the transformation progresses?
  • このリスクが発生する可能性は時間と共に増減しますか。Does the risk increase or decrease in probability over time?
  • このリスクの性質として、時間の影響を受けやすいですか。Is the risk time sensitive in nature? このリスクに対処しない場合、リスクはなくなりますか、それとも悪化しますか。Will the risk pass or get worse, if not addressed?

このような基本的な質問は、さらに多くの質問につながります。These basic questions will lead to many more. 適切な対話を調査した後、関連するリスクを記録し、可能であれば定量化することをお勧めします。After exploring a healthy dialogue, it is suggested that the relevant risks be recorded and when possible quantified.

リスク修復のコスト: リスクを削減または最小化するコストを判断するための質問です。Risk remediation costs: Questions to determine the cost of removing or otherwise minimizing the risk. これらの質問は、特に範囲で表す場合、かなり直接的になる可能性があります。These questions can be fairly direct, especially when represented in a range.

  • 明確な解決策はありますか。またコストはどのくらいですか。Is there a clear solution and what does it cost?
  • このリスクを回避または最小限に抑えるためのオプションはありますか。Are there options for preventing or minimizing this risk? それらの解決策のコストの範囲はどのくらいですか。What is the range of costs for those solutions?
  • 最適で明確な解決策を選択するには、ビジネス チームの何が必要ですか。What is needed from the business to select the best, clear solution?
  • コストを検証するには、ビジネス チームの何が必要ですか。What is needed from the business to validate costs?
  • このリスクを削減する解決策には、他にどのような利点がありますか。What other benefits can come from the solution that would remove this risk?

これらの質問は、リスクの管理や排除に必要な技術的なソリューションを過度に単純化していますが、ビジネスが意思決定プロセスに簡単に導入できるような形で解決策が提示されています。These questions over simplify the technical solutions needed to manage or remove risks, but they communicate those solutions in ways the business can quickly integrate into a decision process.

損失の可能性: リスクが実現する可能性がどのくらい高いかを判断するための質問です。Probability of loss: Questions to determine how likely it is that the risk will become a reality. これは定量化が最も難しい領域です。This is the most difficult area to quantify. 代わりに、クラウド ガバナンス チームが、裏付けとなるデータに基づいて、可能性を伝えるためのカテゴリを作成することをお勧めします。Instead it is suggested that the cloud governance team create categories for communicating probability, based on the supporting data. 以下の質問は、チームにとって意味のあるカテゴリを作成するために役立ちます。The following questions can help create categories that are meaningful to the team.

  • このリスクが実現する可能性について何か調査は行われましたか。Has any research been done regarding the likelihood of this risk being realized?
  • ベンダーは影響の可能性に関する参考資料や統計情報を提供できますか。Can the vendor provide references or statistics on the likelihood of an impact?
  • 関連セクターまたは業界に、他にこのリスクの被害を受けている企業はありますか。Are there other companies in the relevant sector or vertical that have been hit by this risk?
  • さらに詳しく調べると、一般的に、このリスクの被害を受けている他の会社は存在しますか。Look further, are there other companies in general that have been hit by this risk?
  • このリスクは、この会社の不適切な対処に固有のものですか。Is this risk unique to something this company has done poorly?

以上の質問と、クラウド ガバナンス チームの決定に従った他の質問に答えることで、可能性をグループに分けやすくなります。After answering these questions along with questions as determined by the cloud governance team, groupings of probability will likely emerge. 次に出発点として役立つグループ分けの例をいくつか紹介します。The following are a few grouping samples to help get started:

  • 指標がない: 可能性を決定できる十分な調査が完了していません。No indication: Not enough research has been completed to determine probability.
  • 低リスク: 現在の調査では、リスクが現実化する可能性は低いことが示されています。Low risk: Current research indicates realizing the risk is unlikely.
  • 将来的なリスク: 現在の可能性は低いです。Future risk: The current probability is low. 継続的な採用には新たな分析が必要です。Continued adoption would require a fresh analysis.
  • 中リスク: リスクがビジネスに影響を与える可能性があります。Medium risk: It's likely that the risk will affect the business.
  • 高リスク: 時間の経過と共に、ビジネスでこのリスクが現実化する可能性が高まっています。High risk: Over time, it is increasingly likely that the business will realize this risk.
  • 低下するリスク: リスクは中から高です。Declining risk: The risk is medium to high. IT チームやビジネス チームのアクションによって、影響が出る可能性は減っています。Actions in IT or the business are reducing the likelihood of an impact.

許容度の決定:Determining tolerance:

上記の 3 つの質問セットでは、初期の許容度を決定するために十分なデータを供給する必要があります。The three question sets above should fuel enough data to determine initial tolerances. リスクと可能性が低く、リスク修正コストが高い場合、ビジネス チームが修復に投資する可能性はほとんどなくなります。When risk and probability are low, and risk remediation costs are high, the business is unlikely to invest in remediation. リスクと可能性が高い場合、コストが潜在的なリスクを超えない限り、ビジネス チームは投資を検討する可能性があります。When risk and probability are high, the business is likely to consider an investment, as long as the costs don't exceed the potential risks.

次のステップNext steps

このような話し合いは、ビジネス チームと IT チームが許容度をより効果的に評価するために役立ちます。This type of conversation can help the business and IT evaluate tolerance more effectively. このような話し合いは、MVP ポリシーの作成時や増分ポリシーのレビュー時に利用できます。These conversations can be used during the creation of MVP policies and during incremental policy reviews.