組織における「クラウド」とは、自らシステムを保有することなくオンラインで提供される仕組みとも言えます。ちなみにクラウドとよく対比される技術として、「オンプレミス」があります。システムを保有しないクラウドに対し、オンプレミスは組織が自らの責任において、機材やソフトウェアを用意し、構築・設置・運用して、ユーザ向けに使えるようにする伝統的なアプローチを言います。

また、COSO-ERMとは、米国組織COSOが2017年に発行した全社的リスクマネジメントのフレームワークを言います。企業がERMの仕組み構築にあたって必要な5つの要素に含まれる20の原則それぞれを解説したもの（下図参照）です。COSO-ERMそのものについて詳しくお知りになりたい方は、別途、小冊子「ERMのフレームワーク‐OSO-ERM(2017)を徹底解説‐」を発行しておりますので、そちらも併せてせてご覧ください。

ちなみに、クラウドコンピューティングに特化したリスクマネジメントは、「特定のテーマに焦点を当てたリスクマネジメントの仕組みづくり」という観点でも勉強になるものです。例えば今、デジタル・トランスフォーメーション（DX）がトレンドですが、今後、クラウドサービスのみならず、DXのリスクマネジメント（DRM）も必要になってくる可能性があります。そうした時代を見据えて、やはりこのガイドラインは意義深いものと言えるでしょう。

クラウドコンピューティングのERMとは、組織の目的・目標達成に、クラウドコンピューティングがどのような不確実性（リスクや機会）をもたらすのかをいち早く特定し、それらをどのようにコントロールすれば、より確実に目的・目標達成ができるのかを考え、実践し、必要があればこうした取り組みのあり方についても継続的改善を促す仕組みを言います。

それではなぜ、ここで「クラウドコンピューティング」という特定のテーマに焦点を当てたERMが必要になるのでしょうか。それは、クラウドコンピューティングに関わるリスクが大きいからです。誰もが気軽に導入・利用できるクラウドサービスは確かに便利ではありますが、事故も急増しています。しかも、クラウドサービスは決して万能ではなく、それを導入することによって別の新たな足枷が生まれる可能性もあります。逆に、クラウドサービスの利用を躊躇したがために機会損失を生じる可能性もあります。つまり、「考えなければいけないリスクや機会がとにかくたくさんある」ということです。だからこそ、クラウドサービスの導入において、さまざまなリスクをコントロールするための、全社的・体系的なリスクマネジメントの仕組み（＝ERM）を設けることが必要になるのです。

「COSO-ERMのクラウド・コンピューティングへの適用ガイド」の中身について見ていきましょう。7章25ページからなる本編に、3つの付属書を加えた全36ページから構成されています。詳細は下表の通りです。

【表：「COSO-ERMのクラウド・コンピューティングへの適用ガイド」の目次と要旨】

COSO-ERMのクラウド・コンピューティングへの適用ガイドは、COSOの公式ページからダウンロードすることができます。
特に以下の人・組織に有益なガイドラインです。

• これからERM構築を進めるが、クラウドサービスリスクが大きいと感じている
• ERM構築済みだが、クラウドサービスのリスクマネジメントが弱いと感じている
• クラウドサービスへの依存度は高くないが、勉強しておきたい
• COSO-ERMは知っているが、その具体的な活用方法を知りたい

ゆえに、組織のリスクマネジメント部門、システム部門などにとって特に有益です。もちろん、それ以外の方にも参考になる情報がありますので、部分的な利用も可能です。具体的には同ガイドラインには、組織における全ての階層の役割・責任（例）についても記載されています。このため、取締役であっても、経営者であっても、社員であっても、クラウドサービス・ERMにおける自らの役割を知ることができるでしょう。

ただし、「COSO-ERMのクラウド・コンピューティングへの適用ガイド」は残念ながら英語版のみです。そこでニュートン・コンサルティングでは、このガイドラインを引用・解説しつつ、そこに私どもの知見を加え、よりわかりやすくより有益な情報を皆様にお届けしようと、小冊子「クラウドサービスを全社的にリスクマネジメントする方法」を提供しております。さらに詳しく知りたい方は、ぜひこちらをご覧ください。