リスクマネジメント原則が意味するもの

JISQ31000では、リスクマネジメントの原則として、以下の事項を列挙しており、「組織は，次の原則をすべての階層で順守することが望ましい」としています。
a）価値を創造する
b）組織のすべてのプロセスにおいて不可欠な部分
c）意思決定の一部
d）不確かさに明確に対処する
e）体系的かつ組織的で、時宜を得ている
f）利用可能な最善の情報に基づく
g）組織に合わせて作られている
h）人的および文化的要因を考慮に入れる
i）透明性があり、かつ、包含的である
j）動的で、繰り返し行われ、変化に対応する
k）組織の継続的改善及び強化を促進する
各事項の詳しい説明は、JISQ31000の「3. 原則」に記されていますので、そちらをご参照ください。

これらの事項を総合的に見てみると、JISQ31000はリスクマネジメントを経営の一部とみなしていることが理解できます。例えばa）の「価値を創造する」では、リスクマネジメントが「安全衛生，保安，法律 及び規制の順守，社会的受容，環境保護，製品品質，統治，世評などの，目的の明確な達成及びパフォーマンスの改善に寄与する」としており、安全、コンプライアンス、信頼構築などの面で社会が組織に期待する役割や行動を促進するとしています。また、c）でリスクマネジメントは「意思決定の一部」であり、「意思決定者が情報に基づいた選択を行い，活動の優先順位付けを行い，活動の選択肢を見分けることを援助する」としています。

JISQ31000（又はISO31000）制定まで、リスクマネジメントは「発生は不確実だが、発生すると組織にとって良くない結果をもたらすもの」としてリスクを定義し、それをどのように運用管理するかを重視していました。これは、阪神・淡路大震災を契機として始まった我が国のリスクマネジメントの主眼が、自然災害などのハザード（害）から受ける経営面での悪影響を局限することだったからだといえるでしょう。

一方、JISQ31000では、リスクを「目的に対する不確かさの影響」とより広く捉え、影響を「期待されていることから，好ましい方向及び／又は好ましくない方向にかい（乖） 離することをいう」と定義しています。JISQ31000ではリスクに善悪の価値基準を積極的には設定せず、組織の目的達成にとって望ましい、又は望ましくない影響の両者を中立的かつ確率的に捉えようとしています。これはすなわち、損失をできるだけ小さくしながら目的達成を追求する、組織経営そのものを意味しているといえるのです。リスクマネジメントが経営であるなら、リスクマネジメントが「組織に合わせて作られなければならず」、「組織の継続的改善および強化を促進する」ものであることは自明でしょう。そしてリスクマネジメントポリシーは「経営戦略」になるのです。

次回は、上記原則f）にある「情報」について解説したいと思います。