リスクマネジメント枠組み：指令及びコミットメント その１

今回から、JIS Q31000（ISO31000）に基づくリスクマネジメントプロセスについて解説します。なお、JIS Q31000では、リスクマネジメントについて、認証を前提とした一定の手順や基準を示すものではなく、また適用にあたっては組織や業務の特性などを考慮すべきであるとしています。

これは、リスクマネジメントの原則、枠組み、プロセスの関係を示した図（引用元：日本工業標準調査会HP）です。今回は、この中の「枠組み」について見ていきましょう。リスクマネジメントの枠組み（risk management framework）は、「組織全体にわたって， リスクマネジメントの設計、実践、モニタリング、レビュー、継続的改善の基盤及び組織内の取決めを提供する構成要素の集合体」とされています。また、リスクマネジメントの設計、実践、モニタリング、 継続的改善はサイクルになっています。この関係をどこかでご覧になったことがありませんか。これは、いわゆる「PDCA」プロセスです。リスクマネジメントの計画、実行、成果確認、改善をサイクルの関係で回すことにより、リスクマネジメントがより機能的になります。

リスクマネジメント枠組みは、「指令及びコミットメント」からスタートします。コミットメントとは、経営者が以下の項目を責任をもって実行する仕組みであり、指令とは、コミットメントの実現に必要な戦略的計画を策定・提示し、実行を指示することです。
− 組織の文化とリスクマネジメント方針とが整合することを確実にする。
− 組織のパフォーマンス指標と整合するリスクマネジメントパフォーマンス指標を決定する。
− リスクマネジメントの目的を，組織の目的及び戦略と整合させる。
− 法律及び規制を順守することを確実にする。
− アカウンタビリティ及び責任を，組織内の適切な階層に割り当てる。
− 必要な資源がリスクマネジメントに配分されることを確実にする。
− すべてのステークホルダにリスクマネジメントの便益を伝達する。
− リスクの運用管理のための枠組みが常に適切な状態であり続けることを確実にする。

外国語の文書を翻訳したものですから、表現がやや固いところもあるので、一つ一つみていきましょう。内容が多いので、何回かに分けて説明いたします。
「組織の文化とリスクマネジメント方針とが整合することを確実にする」とは、組織の文化とマネジメント方針が確実に釣り合いの取れるものにすることです。ハイリスクハイリターンを経営方針として設定しながら、リスクマネジメント方針が保守的であるなら、この二つは「整合が取れていない」ことになります。保守的なリスクマネジメント方針が悪いのではなく、ハイリスクハイリターンという組織文化を維持しながら組織経営を支えるリスクマネジメント方針として機能しないということになります。組織文化をリスクマネジメント方針に合わせるか、その逆にするかは組織が決定することですが、いずれにせよ、この二つの整合を取ることは、あらゆるリスクマネジメントプロセスの基本です。

「組織のパフォーマンス指標と整合するリスクマネジメントパフォーマンス指標を決定する」は、前項の内容とやや重なります。組織文化を「見える化」するのが「組織のパフォーマンス指標」です。一般的なところでは、期の売上高や利益率といったところでしょうか。それらと整合するように、リスクマネジメントの成果を示す指標を定めなければならないということです。組織の成果指標として「利益率」を設定するのならば、リスクマネジメント成果の指標もそれに関係するものになります。例えば、売掛金に対する貸倒損失額などが考えられるでしょう。「社員のヤル気」みたいなものは、リスクマネジメント成果との関係から指標としてはふさわしくありません（どうやって測るかという問題があります）。