リスク管理規程（例）

第1章         マニュアル（例）

下記に、リスク管理規程とリスク評価マニュアルの様式例を記載しました。文書の構成や内容は、多くの業種の会社等に適用することが可能と考えています。従って、そのまま使ってもらえばよいが、言葉や仕組みの一部は、個々の会社等の実情に合わせて変更する必要は出てくるであろう。その程度のカスタマイズは有るとしても、とりあえず文書に記載した仕組みでまず運用することから初めて、それぞれの会社等で運用結果をフィードバックして、より使いやすいように修正しながら運用を継続するのが効率的だと考えます。

==================================================
１．リスク管理規程（例）

目次
Ⅰ．目的
Ⅱ．適用範囲
Ⅲ．責任
Ⅳ．定義
Ⅴ．関連文書
Ⅵ．リスク管理システム
Ⅶ．リスク管理手順
Ⅷ．管理の検証
Ⅸ．文書の改訂・廃止
Ⅹ．文書の保管

Ⅰ．目的
本規程は、当社が健全で安定した経営を継続するために実施するリスク管理に必要な基本事項を定めることを目的とする。リスク管理の基本事項には、管理のシステムとシステムを運用するためのいくつかのプロセス、すなわち、リスクの抽出、評価、対策立案と実施、そしてフォローアップに関わるプロセスが含まれる。

Ⅱ．適用範囲
本規程は、当社の業務執行に関わる全てのリスクを対象とする。ただし、ここでいうリスクは、業務にマイナスの影響をおよぼす可能性のあるものとする。

Ⅲ．責任
社長は、当社のリスク管理を適切に実施させる責任がある。
当社は、リスク管理を統括するリスク管理責任者を置く。リスク管理責任者は、本規程が適切に運用されるよう関係者を指導するとともに，社内のリスク管理が有効に機能するよう推進する責任がある。
各部門長は、本規程を遵守し、従業員を指導して所轄の業務におけるリスクを適切に管理する責任がある。
全ての従業員は、本規程を遵守し、部門長の指導の下でリスク管理に関わる業務を適切に実行する責任がある。

Ⅳ．定義

本規程は、業務執行に関わるリスク管理に関する最上位の文書とする。
リスクは、業務にマイナスの影響を及ぼす可能性のある事象を対象とし、投資企画など業務にプラスの影響を及ぼす事象は、別の規程文書で取り扱う。
リスクは、注目する事象の発生確率と、発生した場合に生ずる影響の大きさの2つの要素で評価する。

Ⅴ．関連文書
l  リスク評価マニュアル（例）
l  リスク管理会議規程（例）
l  その他参照文書
・ISO31000（2018）
・JISQ31000（2019）
・COSO-ERM(2017)

Ⅵ．リスク管理システム

リスク管理システムは、以下のプロセスを、確実に、かつ、各プロセスのアウトプットに要求される精度が確保できるように設計される。
1.       リスクの抽出と評価
2.       リスク対応策の策定
3.       対応策の実施
4.       実施状況のモニタリングとレビュー
5.       リスク見直し

リスク管理システムは、全社的管理と特に必要と判断された場合の特定部門での管理の2つの階層で構成する。全社的な管理システムが上位にあり、特定部門の管理システムは、全社的システムの下で部門の中で展開する下位システムと位置づけされる。どちらも上記に示したプロセスに従って運営管理される。

A． 全社リスク管理システム

リスク管理の各プロセスを管理するために、部門長以上のメンバーで構成されるリスク管理会議を置く。リスク管理会議は社長が任命するリスク管理責任者が運営管理する。会議では社長が議長を務める。
リスク管理の各プロセスの進捗を効率的に監視するため、添付―1全社リスク管理一覧表を活用する。

１．リスクの抽出と評価
リスクの抽出と評価は、リスク評価マニュアルに基づいて行われる。結果は、添付―1全社リスク管理一覧表にまとめられ、リスク管理会議で審議承認されてリスクと評価が決定される。
２．リスク対応策の策定
確定したリスクの対応は、業務上最も適切な部門の部門長が担当する。対応する担当部門長がリスク評価結果に応じた対応策を策定する。対応担当部門長の確定及び策定した対応策はリスク管理会議で審議承認される。
３．対応策の実施
原則対応策は対応担当部門長が実施責任者とするが、内容により他の部門長に実施を委託することは可能とする。なお、承認された対応に必要な費用は予算化され、各対応策は対応担当部門の活動計画に反映して担当部門長によって進捗管理される。ただし、規定された特に大きいリスクに該当する項目は、経営計画においても反映して管理されなければならない。
４．実施状況のモニタリングとレビュー
リスク対応状況は、リスク管理会議にて定期的に確認される。対応担当部門長は対策の進捗状況を報告するとともに、当初の計画の変更を要する場合は、リスク管理会議にて変更案の審議再承認を得る。リスク対応結果はリスク管理会議で審議承認され対応の完了となる。年間計画に基づく対応状況は、年度末にリスク管理会議で審議承認され、継続、変更，完了等の年間対応結果が確定する。
５．リスク見直し
リスクは毎年見直される。前年決定した時点からの社会の変化やリスク対応結果などを反映してリスクを見直し、リスク管理会議にて審議承認される。見直された結果に基づいて、最初のプロセスに移行する。
 
B． 特定部門のリスク管理システム

特定部門のリスク管理は、全社的リスクと異なり、業務固有の専門知識が必要な特定の業務リスクを対象とする。特定部門のリスク管理を行うため、特定部門長が管理する特定リスク管理会議を置く。会議メンバーは、特定部門長の判断で決定するが、必要に応じて他部門長をメンバーに加えることができる。特定リスク管理会議は特定部門長が運営管理し議長を務める。
リスク管理の各プロセスの進捗を効率的に監視するため、添付―2特定リスク管理一覧表を活用する。
管理の各プロセスは、全社的リスク管理と同じとする。下記の各プロセスに特記された内容以外は、リスク管理会議を特定リスク管理会議に、添付―1全社リスク管理一覧表を添付―2特定リスク管理一覧表に読み替える。また、リスク管理会議は審議承認機関の位置づけであるが、特定リスク管理会議は調整決定機関とし、審議承認するとあるのを調整決定すると読み替える。

１． リスクの抽出と評価
特定部門で、リスク管理が必要な分野とリスク管理対象業務を明確にして、リスクを抽出する。抽出したリスクと評価結果は、リスク管理会議に報告する。なお、規定された特に大きいリスクに該当する項目は、全社的リスク管理システムにも反映して管理される。リスク管理会議で承認された結果は、添付―2特定リスク管理一覧表に記載する。
２． リスク対応策の策定
（特記事項なし）
３．対応策の実施
対応策は対応担当部門長が実施責任者となるが、対応に必要な費用の予算化、並びに対策の進捗管理は特定部門長が管理責任者となる。
４．実施状況のモニタリングとレビュー
特定部門長は、年度末に実施した特定リスク管理会議で確定したリスク対応結果をリスク管理会議に報告する。
５．リスク見直し
　　（特記事項なし）

 
Ⅶ．リスク管理手順

前項に記載された2つのリスク管理システムの各プロセスを実施するための手順を定める。

A.     全社リスク管理システム

１．リスクの抽出と評価
次年度の全社活動計画に資するため、年度末にリスク抽出と評価を行う。リスク管理責任者は、年度末に先立ち、各部門長にリスクの抽出と評価の実施と結果を添付―1全社リスク管理一覧表に記載することを指示する。各部門長は部門に関連するリスクと評価結果を明らかにする。リスク評価はリスク評価マニュアルに従う。なお、会社経営、各部門共通業務等の特定の部門に限定できないリスクについては、リスク管理責任者が最もふさわしい部門長を実施者に指定する。各部門長より抽出されたリスクと評価は、リスク管理責任者のもとで添付―1全社リスク管理一覧表に取りまとめられ、リスク管理会議で審議承認される。承認内容は、リスク管理責任者により最新のリスクとして添付―1全社リスク管理一覧表に記録される。
２．リスク対応策の策定
リスク管理会議にて、確定したリスクの対応策を実施する対応担当部門長を決定し承認する。対応担当部門長はリスクレベルに応じた対応策を策定し、必要な費用と実施時期も含めて、添付―1全社リスク管理一覧表に記載しリスク管理責任者に提出する。各部門長より提出されたリスク対応策は、リスク管理責任者のレビューを受け添付―1全社リスク管理一覧表に取りまとめられ、リスク管理会議で審議承認される。
また、対応担当部門長は、規定された基準に該当する特にリスクの大きい項目を明確にして、経営計画に反映するよう経営計画管理部門に依頼する。
３．対応策の実施
対応担当部門長は、リスク管理会議で対応に必要な費用の承認を得て予算化手順に従って予算化する。対応担当部門長は各対応策を担当部門の活動計画に反映して実施管理する。なお、対応策の実施が対応担当部門より適切な部門がある場合は、実施業務を適切な部門に委託することができる。
対応策の実施に関連して、対応担当部門長より要請が有った場合は、担当部門長以外の部門長は協力しなければならない。
４．実施状況のモニタリングとレビュー
対応担当部門長は、リスク対応策の進捗状況を4半期ごとにリスク管理責任者に報告する。リスク管理責任者は、添付―1全社リスク管理一覧表に報告結果を取りまとめる。対応策を変更する場合は、新規の計画を添付―1全社リスク管理一覧表に変更前の記載に追加して記載する。リスク管理責任者は、リスク管理会議を開催して、リスク対応策の進捗状況を報告するとともに、リスク対応計画の変更があった場合は変更事項の審議承認を得る。年度末のリスク管理会議においては1年間のリスク対応結果が審議され対応策の完了が承認される。対応が完了していないリスク項目は繰越項目となり、継続監視対象として残す。
５．リスク見直し
前年にリスクを決定した時点からの社会の変化、社内外の業務環境変化、法に関わる動向、またはリスク対応結果などを反映してリスクが見直される。リスク管理責任者はリスク見直しを各部門長に依頼し、見直し結果を取りまとめる。見直し結果は、リスク管理会議にて審議承認される。承認されたリスクは添付―1全社リスク管理一覧表に記載され、最初のプロセスであるリスクの抽出と評価に戻り各プロセスを繰り返す。

B.     特定部門のリスク管理システム

リスク管理が必要な特定部門と、その部門業務におけるリスク管理対象分野を明確にする。リスク管理会議で、特定リスク管理の必要理由と運営体制を説明して特定リスク管理を行うことの了承を得る。

1.       リスクの抽出と評価
新年度の経営計画に反映するために、年度末に向けた全社リスクの抽出と評価に先立ち、特定部門長は添付―２特定リスク管理一覧表に基づいて、対象業務固有のリスクの抽出と評価を実施する。特定部門のみで明確にできないリスクについては、特定部門長は最もふさわしい部門長の協力を要請して対応する。なお、リスク評価はリスク評価マニュアルに従う。
抽出されたリスクと評価は、添付―2特定リスク管理一覧表に取りまとめられ、特定リスク管理会議で協議・承認される。承認内容は、最新のリスクとして添付―2特定リスク管理一覧表に記録され、リスク管理責任者が原本保管を行う。なお、特定リスクの評価内容はリスク管理会議で報告しなければならない。さらに、規定されたリスクの高い項目は、全社リスク管理一覧表にも記載しなければならない。
また、特定部門のリスク対応も、全社リスク管理手順と同様に特定部門の次年度活動計画に組み込まれる。
２．リスク対応策の策定
特定部門長は、特定リスク管理会議にて確定したリスクの対応策を策定し、必要な費用と実施時期とともに添付―2特定リスク管理一覧表に記載する。特定部門のみで対応策決定できないリスクについては、特定部門長が最もふさわしい部門長と協議の上対応策を策定する。また対応の実施に関しても、必要な場合は他の最もふさわしい対応担当部門長を任命する。対応策は特定リスク管理会議で承認されなければならない。
3．対応策の実施
対応策の実施責任者は、特定部門長と協議で決定した対応担当部門長となるが、対応に必要な費用の予算化、並びに対策の実施管理は特定部門長が管理責任者となる。なお、リスクの大きい項目は、全社的リスク管理システムにも反映されて管理されなければならない。その為、特定部門長は、リスク管理責任者に全社リスク管理一覧表に反映するよう依頼する。なお、対応策の実施に関して、対応担当部門長より実施において必要な要請が有った場合は、担当部門長以外の部門長は協力しなければならない。
4．実施状況のモニタリングとレビュー
特定部門長は、リスク対応策の進捗状況を適宜確認して、添付―2特定リスク管理一覧表を最新版化する。対応策を変更する場合は、新規の計画を添付―2特定リスク管理一覧表に追加記載するが、特定部門長と対応担当部門長が異なる場合は、お互いに協議し変更を了解した上で添付―2特定リスク管理一覧表に追加記載する。特定部門長は、半期ごとに特定リスク管理会議を開催して、リスク対応策の進捗状況を報告し関係者と共有する。年度末の特定リスク管理会議においては、1年間の対応結果として対応策の進捗状況が総括され、完了項目が承認される。対応が完了していないと判断されたリスク項目は翌年に繰り越し、継続監視対象として残す。
年度末の特定リスク管理会議で承認されたリスク対応結果は、リスク管理会議に報告する。
５．リスク見直し
前年にリスクを抽出し決定した時点からの対象業務環境の変化、関連法案の動向、そしてリスク対応結果などを反映してリスクが見直される。特定部門長は、必要に応じて関係部門長と協議を行い、リスクを見直す。見直し結果は、特定リスク管理会議にて承認される。承認されたリスクは添付―2特定リスク管理一覧表に記載され、最初のプロセスに戻り、以降のプロセスを繰り返す。

Ⅷ．管理の検証
リスク管理システムの有効性は毎年検証されなければならない。検証結果はリスク管理責任者によって取りまとめられ、リスク管理委員会で報告される。
有効性は下記の評価指標によって評価する。
１． 結果指標
l  抽出していなかったが、リスク対応が必要だった事象の発生件数
l  実施したリスク対応が有効でなかった事象の発生件数
l  リスク対応計画に対する未実行数の数と割合（％）
２． プロセス指標
l  計画されたリスク管理会議の未開催数
l  計画された管理プロセス（リスク抽出と評価、予算化、リスク見直し）で計画時期より終了までの遅れが1か月を超えたリスク項目数

Ⅸ．文書の改訂・廃止
本文書の改訂・廃止は、リスク管理責任者が起案しリスク管理会議の審議承認をもっておこなう。

Ⅹ．文書の保管
本文書の管理はリスク管理責任者が行う。本文書の旧版は、改訂・廃止から5年間保存する。
（以上　リスク管理規程（例））

以上が今回の提供です。次回はリスクの評価を行うための文書「リスク評価マニュアル（例）」をお送りします。MT