もたらしたりすることがあり得ると考える注記 2) リスクの的はさまざまな側を持ちさまざまなレベルで適されることがある注記 3) 般にリスク源起こりうる事象およびそれらの結果ならびに起こりやすさとして表される本企業が ERM をう場合は会社法を適しなければならない会社法

Size: px

Start display at page:

Download "もたらしたりすることがあり得ると考える注記 2) リスクの的はさまざまな側を持ちさまざまなレベルで適されることがある注記 3) 般にリスク源起こりうる事象およびそれらの結果ならびに起こりやすさとして表される本企業が ERM をう場合は会社法を適しなければならない会社法"

かげたつみやのじょう
5 years ago
Views:

2018 年 10 18 開催第 78 回 JIPDEC セミナー講演レポート ISO31000 2018 年版 : リスクマネジメント指針の経営への活東京海上動リスクコンサルティング株式会社主幹研究員 ISO31000 国内 WG 委員指朝久 2018 年 2 に9 年ぶりに改訂された ISO31000:2018 リスクマネジメント指針の概要についてきな変更点を中に私を述べる

1 2018 年開催第 78 回 JIPDEC セミナー講演レポート ISO 年版 : リスクマネジメント指針の経営への活東京海上動リスクコンサルティング株式会社主幹研究員 ISO31000 国内 WG 委員指朝久 2018 年 2 に9 年ぶりに改訂された ISO31000:2018 リスクマネジメント指針の概要についてきな変更点を中に私を述べるなお今回紹介する規格の項や内容は正式の翻訳ではないまた著作権の関係上規格項の詳細および関連図は掲載していないが来春頃本規格協会より JISQ31000 および解説が発される予定なので参照していただきたい Ⅰ.ISO31000 とは 1. リスクマネジメントの国際標準リスクマネジメントに関する国際標準規格は 2009 年に第 1 版が発され 2018 年 2 に 9 年ぶりに改定された ISO31000 ( 以下本規格という ) ISOGUIDE73; リスクマネジメントー語 ISO/IEC31010; リスクアセスメント技術の3つの規格が発されている年版との相違点本規格は 2009 年版 ( 以下旧規格という ) とべ内容的にはさほどの変更はられないが経営を意識したリスクマネジメントを強調しており経営そのものと統合が図られている本規格の主な変更点は以下のとおり 1 全体的に簡潔な記述となった旧規格ではフレームワークとプロセスの項に重複があったためその整理がされるとともにフレームワークについてはマネジメントシステムと整合性が図られた 2 企業全体のリスクマネジメント (ERM: Enterprise Risk Management) に適合させるため活動主体に該当する場合の監督機関の要求事項が追加された 3 概要の簡潔化を指したため株主等ステークホルダーをも想定される外部 / 内部への報告が削除された上場企業などの場合コーポレートガバナンスコード等のさまざまな規制に委ねている 4 第 4 章原則は第 5 章枠組み第 6 章プロセスそれぞれと関係性を持たせて原則を重視させるとともに第 5 章第 6 章間で相互の関係性を持たせた 5 語の数は今後改定が予定されている ISOGUIDE73 に収録させるため収録数が幅に減少したなお本規格と現の GUIDE73 では語定義にずれがあるため GUIDE 改定までは注意が必要である 3. リスクの定義本規格ではリスクを的に対する不確かさの影響と定義し 3 つの注記が記されている注記 1) 影響とは期待されていることから乖離することを指し好ましいもの ( プラス )/ 好ましくないもの ( マイナス ) の両が存在すること機会または脅威をしたり創り出したり

2 もたらしたりすることがあり得ると考える注記 2) リスクの的はさまざまな側を持ちさまざまなレベルで適されることがある注記 3) 般にリスク源起こりうる事象およびそれらの結果ならびに起こりやすさとして表される本企業が ERM をう場合は会社法を適しなければならない会社法で定義されるリスクは内部統制の考えである組織標の達成を阻害する要因いわゆるマイナスのリスクが対象なのに対し本規格はプラスとマイナス両のリスクを対象としており番広い範囲をカバーする定義となるなお実務においてはマイナスのリスクに対するリスクマネジメントをうこととするのがわかりやすい 4.ISO31000 のカバー範囲本の JIS Q 2001 はリスクマネジメントを時系列に捉えており事前策 ( 予防防策 ) から事故発直後 ( クライシスポイント ) 復旧までの連の動をカバー範囲としているのに対し本規格は常の ( 事前 ) のリスク対応までを対象としているただしクライシスポイントの直後対応のための事前準備 ( 災害対策や BCP 等 ) は本規格の範囲に含まれている国際規格では事前 / 事後で規格が分かれており事後対応については ISO22320; 社会セキュリティ危機事態管理危機対応に関する要求事項や ISO22301; 事業継続マネジメント (BCP) が参考になる図 1.ISO31000:2018 のカバー範囲 Ⅱ. 規格の概要と主な変更点ここではきな変更点と重要なポイントのみを紹介する

3 1. 第 4 章原則の構成リスクマネジメントの意義として価値の創出および保護を原則として明確に打ち出したリスクマネジメントはパフォーマンスを改善しイノベーションを促進し的達成を援するものである原則の下以下の8 原則を設けすべての階層で遵守させることで会社経営そのものを援するものと定義付けた 1 統合 ( 本規格で新設された ) 2 体系化および包括 3 組織への適合 4 包含 5 動的に繰り返しう 6 利可能な最善の情報を使う 7 的および化的要因を考慮する 8 継続的改善の促進 2. リスクマネジメントプロセスの整理リスクマネジメントの基本的な考えを整理しリスクの発リスク分析リスク評価リスク対応などの基本的なプロセスが標準化されたまたプロセスを円滑に実施するためのフレームワークも整理されたただしフレームワーク体品質管理環境マネジメント ISMS など他のマネジメントシステムとの差異がじてしまいわかりづらくなっているが本規格でもその点は解消されていない 3. 第 5 章枠組みの構成と主な変更点経営者の役割であるリーダーシップおよびコミットメントを中央に置きその周りを1 統合 2 設計 3 実施 4 評価 5 改善 1 統合... という PDCA サイクルで回す形となった (1)5.2 リーダーシップおよびコミットメントここでは統合がキーワードとなる本規格において経営そのものを意識したリスクマネジメントとの統合が図られている本章で最も重要な変更点は 5.2 リーダーシップおよびコミットメントの新設であり経営者の実施事項として常に重要な8 項がされているリスクマネジメント針計画取り組みを公開する必要な資源がリスクマネジメントに配分されることを確実にするアカウンタビリティ( 説明責任 ) および責任を組織内の適切な階層に割り当てる ( マネジメントシステムの基本的な考え ) リスクマネジメントを組織の的戦略化と整合させる( 企業経営と合わせる ) とることのできるリスクできないリスクの種類ときさを確定する( 戦略系のリスクを意識したきな改定点である ) (( 例 ) 新規事業に投資をした際にどれだけ社に体があり設備投資を含め戦略がてられるかを極めることが必要である ) トップマネジメントはリスクマネジメントをうことに責任を持つ

4 監督機関はリスクマネジメントを監視する責任があるリスクおよびマネジメントに関する情報が適切に伝達されることを確実にする (2) アカウンタビリティとレスポンシビリティトップマネジメントと監督機関は関連する役割のアカウンタビリティ責任権限を各階層に割り当てて伝達することとなるがアカウンタビリティとレスポンシビリティの区別が明確になっているのが本規格の特徴であるアカウンタビリティは組織の ( 例 : 班課部担当役員等 ) にだけ付き分の権限において裁量権でった為に対して各々のステークホルダー ( 上 ) に対する説明と説明責任を持つこの為の善し悪しの判断はステークホルダーがいステークホルダーが判断するための最低限の情報提供がアカウンタビリティを果たすことを意味するたとえば社の場合であれば外部のステークホルダーに対し説明責任を果たすこととなるレスポンスビリティは組織の全員が与えられた役割に責任を持つこととなるなお旧規格ではリスクオーナーを定めることとしすべての組織に対する責任や権限が割り振られていたが本規格では廃された 4. 第 6 章プロセスの構成と主な変更点旧規格でプロセス図に記載されていなかった記録作成および報告が追加されたプロセスの構成としてはコミュニケーションおよび協議適範囲状況基準リスクアセスメント (1リスク特定 2リスク分析 3リスク評価 ) リスク対応モニタリングおよびレビュー記録作成および報告のすべてを包括して PDCA を回すようになった 6.1 般でのきな変更点は戦略事業活動プログラムプロジェクトに適できる的達成に併せて外部内部の状況に適応するために多数適されていることが明されたことである本規格で組織の中には PDCA が1つだけでなく多数のサイクルが回っていることが明化されたことは常にきなポイントとなる ERM に限らずプログラムプロジェクトなど過性のものにも本規格は適できる (1)6.3.2 適範囲の決定戦略業務活動プログラムプロジェクトその他の活動で適されるため組織の的との整合を明確にすることい換えれば組織的との紐付けが重要であることが明された企業全体の ERM の場合全社の的を達成するために店や部単位でそれぞれ定められた的に対しリスクマネジメントをいさらにそこから情報セキュリティや製品安全災害対策など企業がうべきサイクルを回すにあたり細分化された番最下層のところであっても企業戦略などの組織的事業的に紐付いていることが重要である (2)6.3.4 リスク基準の決定とってよいリスクとってはならないリスクきさと種類を規定するが追加されたとってよいリスクの例としては新規事業の開発新規ビジネスの開始にあたり投資の規模を最初に決めておくことをしている

5 (3)6.4 リスクアセスメントリスクアセスメントは 1リスク特定 2リスク分析 3リスク評価を網羅するプロセスである旧規格では ISO ( リスクマネジメント実施のための 31 の技法を解説 ) を活するようされていたが本規格では削除されたリスクの特定すでに説明しているようにリスク = 悪いものではない本規格では的達成を助けるものも阻害するものもリスクと定義されているが会社法では的達成を阻害するものをリスクと定義付けているため社が直しているリスクに合った選択をすればよい包括的なリスク覧表を作成する必要があるが本規格ではリスク発のための考慮事項が記されている新たに要素および要素間の関係を考慮が追加され有形無形のリスク源原因および事象などの例がされたリスク分析リスク分析にあたってはそのリスクの性質や特徴を理解し番対策に適切な法をいるべきであるなお複数の専家の意に相違がある場合は後々のためにそれぞれの意を書化して残しておくことが必要であるリスク評価旧規格ではリスク評価はリスク基準とリスク分析で発されたリスクレベル ( 頻度や影響 ) を較しその結果で対応の優先順位を付けることとしていたが本基準で優先順位を付けることが削除され決定を裏付けることと変更された (4)6.5 リスク対応リスク対応の意義はリスクに対処するために選択肢を選定し実践することでここには反復的プロセスが含まれる反復プロセスとはリスク対応の選択肢を策定選定計画をてて実施し対応の有効性を評価することで対策後の残存リスクへの対応後さらに残ってしまった場合は再度対策を実施することとなるこのサイクルは ISO27005; 情報セキュリティマネジメントのプロセス図に掲載されているが本規格ではほとんど詳細説明はない (5)6.5.2 リスク対応の選択肢の選定ここでは具体的な作業の内容が書かれているがまず的達成のためとはいえコスト対効果を考えて実践する必要があるそしてリスク対応には1リスク回避 2リスクを取る増加させる3リスク源の除去 4 起こり易さを変える5 結果を変える6リスクの共有 7リスクの保有の選択肢が挙げられている JIS Q 2001 には 4 つの対応項がありその中にリスクを損害保険会社に移転するリスク移転があるが本規格ではこれがリスクの共有に変更されたこのリスクの共有の仕組みは会社と株主がメリット / デメリットを共有する株式会社制度の仕組みを該当させている最も重要なのはリスクを取る増加させることが投資に該当し新規ビジネス等への投資の影響でよりリスクがきくなるためリスクマネジメントの選択肢の1つにれている

6 (6)6.5.3 リスク対応計画の準備および実践リスク対応の実施決定後リスク対応計画の準備をい進捗をモニタリングできるように規定することとなるこの中で不測の事態への対応を含む資源に関する要求事項が挙げられているが本規格のカバー範囲として緊急時対応マニュアル災害対策マニュアルリコールマニュアルも含まれているが具体的な動までは含まれていない内部統制において常に指摘される残留リスクの認識は削除された 5. リスクマネジメント構築に向けての留意点本規格構築上の留意点について以下に私を述べる (1)ISO31000 の留意点規格体は ERM を意識して監督機関が設けられたがでコーポレートガバナンス関連の報告が限定的となっている実際にはコーポレートガバナンスは各国が出しているガイドライン等が優先される ERM を意識し原則で価値の創出と保護が上位に位置付けられたことにより ERM での利が明確となった戦略リスクを意識しとってもよいリスクとってはいけないリスクのきさと種類を定めることが明された COSO ERM が 2017 年に改定され経営のパフォーマンスとリスクマネジメントの概念が明確化されたそれに歩調を合わせフレームワークの評価がパフォーマンスに統されたこれによりマネジメントシステムの向性 COSO ISO31000 の考えの並みが揃った戦略事業活動プロジェクト等に活できるようになり企業内部の標達成にあわせて多くのプロセスが適されることが明確になりより企業の実態に近づいたそので残留リスクやリスク評価におけるリスク対応の優先順位付けをうことなどリスクマネジメント実施上有効と思われる点が部削除されてしまったため個別に補う必要がでてきている法令遵守教育など当たり前にうことは省略された個別リスクについてはそれぞれ該当する規格を適する 6. 理想的なリスクマネジメントの進め企業の実状に即したリスクマネジメントを以下に紹介する ( 図 2 参照 ) 経営者の役割は決まっておりリスクマネジメントの針の提稟議書の承認監査内容を承諾し指摘に対する直しをうこととなる ERM の実務としてはフェーズが 3 つに分かれるまず企業全体のリスクマネジメントであるフェーズⅠで 1 年に1 回リスクの洗い出しから評価選別までをい対応すべきリスクの優先順位を付けて対応するリスクをフェーズⅡに落とし込むフェーズⅡでは個別のリスクごとに PDCA を回しリスク対応をうここまでが常動となるが万が事件事後が発した場合はフェーズⅢのとおり緊急対応復旧活動をいその結果をフェーズⅡにフィードバックし反省して事後に活かすこととなる有事の際に対応できるようフェーズⅢをシミュレーション訓練で補うことも必要である

7 なお本規格のプロセスは汎性がく全体像または各フェーズそれぞれでの活が可能である図 2. 理想的なリスクマネジメントの進め 7.ERM で想定されるリスクの種類 ERM で想定されるリスクは 1 戦略リスク ( テイクするリスク )2 財務リスク3ハザードリスク4オペレーショナルリスクの4つに分類される本規格は戦略リスクにも対応することを念頭に置いて改訂されている M&A 価格戦略など経営者が決定しなければならない事項であり発直後からリスクが発するため経営者が逃れられないリスクとなる上場企業の場合リスクの開が義務付けられているが対象とする般的な主なリスク例としては 1 戦略リスク2 製品品質 ( 品リコール苦情 )3 製品提供 ( 災害機械故障など )4コンプライアンス ( データ偽造談合 )5 従業員の安全 ( 労働安全ワークライフバランス ) などが挙げられているがほとんどの企業では対応がわれているとはいえときどき事件事故が発するアメリカのある調査結果では上場企業の株式価格下落要因の約 60% を戦略リスクが占めており戦略リスクを含むリスクマネジメントが必要であることがえよう 8. マネジメントシステムへの活上の留意点 ISO31000 は品質管理環境情報セキュリティマネジメント BCP などのマネジメントシステムで 2か所がリンクされている A6. 計画リスクおよび機会を決定する B8. 運リスクアセスメントは ISO31000 に準拠してできる本規格のプロセスの適が可能である

8 ここで問題となるのがリスクおよび機会である ISO31000 のリスクの定義は前述のとおり的に対する不確かさの影響でありプラスマイナスのリスクの結末がないのに対し内部統制では的を阻害するものをリスクプラス効果があるものは機会と定義付けているマネジメントシステムの標準化 (HLS) は内部統制の考えを取りれてリスク=マイナス機会 = プラスを対に捉えているつまり ISO31000 とリンクしながらもリスクの定義が統化されていないのだがこの点は割り切らざるを得ない状況であるこのほか COSO ERM:2004 全社的リスクマネジメントー統合的フレームワークではリスク ( マイナス ) と機会 ( プラス ) の考えがいられ会社法に内部統制にも採されていたが 2017 年に COSO ERM: 全社的リスクマネジメントー戦略およびパフォーマンスとの統合が新たに作成されここでは ISO31000 の定義に倣いリスク: パフォーマンスの結果としてプラスとマイナスがじる機会: 現在の戦略をきく変更するきっかけとされた現在リスクと機会については内部統制マネジメントシステム ISO31000 COSO-ERM などそれぞれの規格により定義が異なっていることを理解しがうリスクマネジメントにおいてどの定義を適するか判断の上利してもらいたい以上

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版株式会社 TBC ソリューションズプログラム年版改定の概要年版の6 大重点ポイントと対策年版と2008 年版の相違年版への移行の実務

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版株式会社 TBC ソリューションズプログラム 1.2015 年版改定の概要 2.2015 年版の6 大重点ポイントと対策 3.2015 年版と2008 年版の相違 4.2015 年版への移行の実務 TBC Solutions Co.Ltd. 2 1.1 改定の背景 ISO 9001(QMS) ISO