企業のリスクマネジメントのポイント
法務部の仕事は常にリスクと向き合いそれをマネジメントすることが求められます。そのクオリティを向上させるために、ISO31000:2108(リスクマネジメント規格)を整理しています。ISO31000:2108(リスクマネジメント規格)は、「リスクのマネジメントを行い、意思を決定し、目的の設定及び達成を行い、並びにパフォーマンスの改善のために、組織における価値を創造し保護する人々が使用するための規格です。企業において適切なリスクマネジメントを実現するために上記規格を学んでおりますので、今回は当該ISO31000規格の概要を整理し紹介します。
なお、以下の整理は上記の書籍を参考にしています。
1 原則
リスクマネジメントの意義は、価値の創出及び保護です。リスクマネジメントは、パフォーマンスを改善し、イノベーションを促進し、目的の達成を支援するツールでなければなりません。有効なリスクマネジメントにおいては、下記の要素が要求されます。
統合:リスクマネジメントは組織の全ての活動に統合されている。
体系化及び包括:リスクマネジメントが体系的かつ包括的に取り組まれると一貫性野ある比較可能な結果に寄与する。
組織への適合:リスクマネジメントの枠組みとプロセスは、組織の外部及び内部の状況に合わせられ均衡がとれている。
包含:ステークホルダーの適切な時宜を得た参画を得る。これが意識の向上や十分な情報に基づくリスクマネジメントにつながる。
動的:状況の変化に伴ってリスクが出現・変化・消滅することがある。リスクマネジメントはこうした変化に適切にかつ時宜を得た対応をする。
利用可能な最善の情報:リスクマネジメントへのインプットは情報の状態を考慮に入れる。情報が時宜を得ており明確で、かつ関連するステークホルダーを得られることが望ましい。
人的要因及び文化的要因:人間の行動及び分化はそれぞれのレベルや段階においてリスクマネジメントの全ての側面に大きな影響を与える。
継続的改善:リスクマネジメントは、学習及び経験を通じて継続敵に改善される。
2 枠組み
リスクマネジメントの枠組みの意義は、リスクマネジメントを組織の重要な活動及び機能に統合するときに組織を支援することです。リスクマネジメントの有効性には組織統治への統合にかかっており、そのためにトップマネジメントの支援が肝要になります。
(1) リーダーシップ及びコミットメント
リスクマネジメントの運営やそのための組織環境を整備する責任は経営層にあるため、トップマネジメント及び監督機関はリスクマネジメントが組織の全ての行動に統合されることを確実するように努めるべきです。そのため経営層のリーダーシップ及びコミットメントが求められます。特に、資源の配分は、経営者にしかできないことであり、経営者は、設定した目標を実店するために必要な環境を用意する責任があり、また実際にリスクマネジメントに当たる組織員に権限とそれに伴うアカウンタビリティや責任を与える必要があります。
(2) 統合
リスクへの対応は、組織のあらゆる人員によってそのあらゆる業務プロセスにおいて実行されるものです。したがってリスクマネジメントは、他の業務活動と分離して実施されるものでなく統合されてなければなりません。このリスクマネジメントと組織との統合は、動的かつ反復的なプロセスであり、組織における必要性や企業風土に合わせたものであることが望ましいです
(3) 設計
ア 組織及び組織の状況の理解
効果的なリスクマネジメントの実施のためには、組織の内外の状況とその変化を良く知ることから始めるべきです。これはリスクが社会状況と関連するものであることに基づくためです。このリスクに影響する社会状況は、外部状況だけでなく組織内部の状況も含まれます。
イ リスクマネジメントに関するコミットメントの明示
リスクマネジメントにおいて組織は役割の体系を定め各人に周知させる必要があります。この体系的な活動を可能とするためには、組織内でリスクマネジメントを行う意義を共有することが大切であり、そのために経営者が継続的なコミットメントを行動で示し明示することが望ましいです。
ウ 組織の役割、権限、責任及びアカウンタビリティの割当て
トップマネジメント及び監督機関は、リスクマネジメントが効果的に機能するために、次の事項を行うことが望ましいです。
①リスクマネジメントは中心的な責務であることを強調する。
②リスクマネジメントを行うためのアカウンタビリティと権限を持つ個人を特定する。
エ 資源の配分
経営者は組織で実現したいリスクマネジメントのレベルに合わせて必要な資源を用意し配分する必要があります。限られた資源を有効にするため、全社経営の視点から評価し優先順位の高いものから確実に提供していく必要があります。資源配分は単に配分するだけでなく、組織員の教育も重要であることに留意しなければなりません。
オ コミュニケーション及び協議の確立
組織はリスクマネジメントの効果的な適用を促進するために、コミュニケーション及び協議に対する認められた取組み方を確立することが望ましいです。リスク対応を可能とするために、組織内部にコミュニケーションの「仕組みを作る」ことが必要です。
(4) 実施
リスクマネジメントは場当たり的ではなく計画されたものであることが必要です。そのため、組織は、次の事項を行うことによってリスクマネジメントの枠組みを実施することが望ましいです。
①時間及び資源を含めた適切な計画を策定する。
②様々な書類の決定が、組織全体のどこで、いつ、どのように、また誰によって下されるのかを特定する。
③必要に応じて適用される意思決定プロセスを修正する。
④リスクマネジメントを行うことに関する組織の取り決めが明確に理解され、実施されることを確実にする。
(5) 評価
リスクマネジメントの枠組みは、定期的にその有効性を見直すことが必要です。組織はリスクマネジメントの枠組みの有効性を評価するために、①リスクマネジメントの枠組みのパフォーマンスを定期的に測定する、②その評価のためにリスクマネジメントの枠組みが組織の目的達成を支援するために適した状態か否かを明確にする、という2つが求められます。
(6) 改善
ア 適応
組織は外部及び内部の変化に対応できるようにリスクマネジメントの枠組みを継続的にモニタリングし適応させるようにアレンジしていくことが望ましいです。
イ 継続的改善
リスクマネジメントの枠組みは、その適切性、妥当性及び有効性並びにリスクマネジメントプロセスを統合する方法を継続的に改善することが望ましいです。この活動は、形式的に行うのではなく、組織における実施目的に照らしその十分性を吟味して課題を把握することが重要となります。
3 プロセス
リスクマネジメントプロセスには、方針、手順及び方策を、コミュニケーション及び協議、状況の確定並びにリスクアセスメント、対応、モニタリング、レビュー、記録作成及び報告の活動に体系的に適用することが含まれる。
(1) コミュニケーション及び協議
コミュニケーション及び協議の意義は、関連するステークホルダーがリスク、意思決定の根拠、及び特定の活動が必要な理由が理解できるように支援することです。なぜならば、コミュニケーションと協議を組み合わせることで時宜に得た適切で正確かつ理解可能な情報交換が促進されるからです。そのため、ISO規格では、リスクコミュニケーションを、リスクマネジメントのあらゆるステップにおいてその実効性を高めるために実施されるものと位置付けます。
(2) 適用範囲、状況及び基準
適用範囲、状況及び基準を確定する意義は、リスクマネジメントプロセスを組織に合わせ、効果的なリスクアセスメント及び適切なリスク対応を可能にすることにあります。
ア 適用範囲
リスクマネジメントにおいてそれをどの範囲まで適用するかを明らかにしておくことは重要です。なぜならば、適用していない範囲を可視化でき、また適用している内容の十分性の検討に重要であるからです。取組み方を計画する際の検討事項は主として次になります。
①目的及び下す必要のある決定
②プロセスにおいてとられる対策によって期待される結末
③時間、場所、個々の包含及び除外
④適切なリスクアセスメントの手段及び手法
⑤必要とされる資源、責任、及び残すべき記録
⑥他のプロジェクト、プロセス及び活動との関係
イ 外部及び内部の状況
外部・内部の状況とは組織が自らの目的を定めその目的を達成しようとする状態を取り巻く環境です。リスクマネジメントに影響を与える項目を発見するために、組織はリスクマネンジメントの目的を明確にして共有しておくことが重要です。
ウ リスク基準
リスク基準には、①目的に照らして取れるリスクと取れないリスクについてその大きさや種類を規定しておくという組織のリスクに対する基本方針としてのものと②個別の事象についてリスクの重大性を評価し意思決定を支援するための基準という個別のリスクカテゴリに対応する判断基準があります。リスク基準は、ビジネス上実効性あるものであるべきため、自らの組織状況を反映したものでなければならないし、自社のリスクの選好度に大きく影響を受けます。
(3) リスクアセスメント
リスクアセスメントとは、リスク特定、リスク分析及びリスク評価を網羅するプロセス全体を指します。
ア リスク特定
リスク特定の意義は、組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述することです。そのために適切で最新の情報を得ることが重要になります。リスクの特定に当たっては一般に自分で対応できるものに限定する傾向があるところ、自部署で完結しない即ち複数部署にまたがるリスクが排除されがちです。この点に留意し、リスク特定の段階においては、対応が難しいリスクであっても特定しておく必要があることを意識しておくことが好ましいでしょう。
イ リスク分析
リスク分析の意義は、必要に応じてリスクレベルを含め、リスクの性質及び特徴を理解することです。分析手法は、周辺状況及び意図する用途に応じて、定性的、定量的又はそれらを組み合わせたものにすることができます。また、対策を検討する場合に、その対応が他のリスクに影響することがあるため、分析において各リスク間の連関を明らかにしておくことも重要となります。
ウ リスク評価
リスク評価の意義は、意思決定を裏付けることです。分析の内容が 評価に活用できる場合には、
①事業等の更なる活動を行わない
②対応の選択肢を検討する
③既存の管理策を維持する
かを検討することとなります。リスク評価の結果、目的の達成が難しいことが明らかになることもあり、この場合にはそもそも目的の見直しに着手する必要がある場合もあります。
(4) リスク対応
リスク対応とは、リスクに対処するための選択肢を選定し、実施することです。
ア リスク対応の選択肢の選定
組織はリスクのアセスメントを終えたら、それを踏まえて当該リスクにどのように対応するかを検討しなければなりません。リスク対応の選択肢として以下の7つが挙げられます。なお、各選択肢は、必ずしも相互に排他的なものでなく複数の選択肢を選ぶことがあります。
①リスクを生じさせる活動をしないと決定するによるリスクを回避する。
②ある機会を追及するためにリスクを取る又は増加させる。
③リスク源を除去する。
④起こりやすさを変える。
⑤結果を変える。
⑥リスクを共有する(契約、保険購入等)
⑦情報に基づいた意思決定によりリスクを保有する(新たな対応策は取らずリスク監視を継続する)。
イ リスク対応計画準備及び実施
リスク対応を合理的に推進するためには、計画的に実施することが必要であり、その進捗状況を確認できるようにしておくべきです。リスクの対応計画は、他の業務への影響が大きい場合が少なくないため、適切なステークホルダーと協議の上で組織の経営計画の中に統合され各ステークホルダーと連携することが重要となります。
(5) モニタリング及びレビュー
モニタリング及びレビューの意義は、プロセスの設計、実施及び結末の質及び効果を保証し改善することです。あくまでもシステム改善のために行うのであり、定期的に行いさえすればよいというものではありません。また、リスクマネジメントの成果は、それ自体理解が難しかったり結果が出るまでに時間がかかるという面もあるため、短期的な視点で効果や成果について誤った評価しないように注意が必要です。
(6) 記録作成及び報告
検討結果を知識・情報として伝えるため、また計画の検証をする際のエビデンスとして仕様するためにも文書として記録を作成し報告することが有意義です。この際、記録をすること自体が目的ではないので、記録の利用目的に適う記録の取り方をすることが重要です。