{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
リスクマネジメントは価値を創造する活動
2017-11-22
「リスクマネジメントは価値を創造する活動」――リスクマネジメントの国際規格であるISO31000では、このように定義されています。リスクマネジメントと言うと危機管理のイメージが強く、損失を回避するための活動であると思われる方も多いのではないでしょうか。本コラムではISO31000に基づき、価値を創造するリスクマネジメントとはどのようなものかについて、考えてみたいと思います。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。
リスクとは何か
そもそも「リスク」とは何でしょうか。リスクの語源については諸説あるようですが、一説には「勇気を持って試みる」という意味のイタリア語に由来すると言われています。「リスク」とは単に危機、損失を指すのではなく、それらに対する挑戦を含意した言葉と言ってよいかもしれません。
ISO31000では、「リスク」を「目的に対する不確かさの影響」としています。一般的に「リスク」と言うと好ましくない影響と捉えられていますが、ISO31000では、好ましくない影響のみならず、予想外に好ましい影響も「リスク」であると定義されています。
では、なぜ私たちは「リスク」を好ましくない影響と考えてしまうのでしょう。以前のISOにおけるリスクの定義は「事象の発生確率と事象の結果の組合せ」であり、現在の定義と同様、好ましいものも好ましくないものもあるとされていましたが、主に安全管理の側面が重視され、「一般的に少なくとも好ましくない結果を得る可能性がある場合にだけ使われる」と記載されていました。そのため「リスク=好ましくないもの」という理解が広まったと考えられます。しかしながら、本来の語源を考えると「好ましくないリスク」だけではなく「好ましいリスク」も存在することから、それらを包含してマネジメントすることがリスクマネジメントであるというように、考え方が見直されています。
価値を生むリスクマネジメントには目的が重要
またISO31000では、「リスク」を単に「不確かさの影響」とするのではなく、「目的に対する」という修飾語を付加しています。つまり、リスクを特定するためには「目的」を明確にしなければならないということを意味しています。このことはとても重要です。身近な事例で考えてみましょう。私たちは事故や病気で死ぬことや、通常の生活ができなくなることを大きなリスクとして認識しています。これは、健康で長生きをするという目的に対するリスクです。では、長生きさえできればよいのでしょうか。多くの方は、できれば幸せに長生きしたいと思うのではないでしょうか。「幸せに」と書きましたが、「幸せ」の定義は人によって異なります。お金を多く稼ぐこと、やりがいを見つけること、家族と共に暮らすことなど、「幸せ」にはさまざまなかたちがあります。長生きできないという誰にでも共通の分かりやすいリスクは識別しやすいものですが、価値観の違いによって人それぞれ異なる目的については、共通の認識を持つことが難しくなります。このように、一般的に好ましくないリスクは共通認識を得やすい一方で、好ましい方向のリスクは価値観を合わせる必要があるため、目的を明確にすることが価値を生むリスクマネジメントへの第一歩であると言えます。
ISO31000の概要
ISO31000では、リスクマネジメントの全体を「原則」、「枠組み」、「プロセス」で説明しています。
【図表1】ISO31000におけるリスクマネジメントの概念図
「原則」には、リスクマネジメントを効果的なものにするために、組織が順守すべき11の事項が記載されています。その最初に掲げられている原則が「価値を創造する」であり、リスクマネジメントは価値を生み出す活動であることが明記されています。続いて「組織の全てのプロセスにおいて不可欠な部分」「意思決定の一部」とあります。これら三つの原則をまとめると「価値を創造するための意思決定の一部であり、組織の全てのプロセスにおいて不可欠な部分」ということになります。ここからも分かるとおり、ISO31000でのリスクマネジメントは危機管理にとどまらず、経営そのものが対象となっていると言えます。
「枠組み」とはリスクマネジメントを組織全体に定着させるための基礎となるものであり、マネジメントサイクルの整備を求めています。11の原則を基にして、リスクマネジメントの方針、戦略との整合性、パフォーマンス指標などの枠組みが設計され、経営者により承認されることが重要です。承認された「リスク運用管理のための枠組みの設計」(Plan)に基づき、「リスクマネジメントの実践」(Do)、「枠組みのモニタリングとレビュー」(Check)、「枠組みの継続的改善」(Action)のPDCAサイクルを回します。
「プロセス」はリスクマネジメントの実践において、以下の実施すべきプロセスを定義しています。
- コミュニケーションおよび協議
- 組織の状況の確定
- リスク特定
- リスク分析
- リスク評価
- リスク対応
- モニタリングおよびレビュー
「コミュニケーションおよび協議」は外部および内部のステークホルダーに対する説明責任を果たすものであり、リスクマネジメントプロセスの全ての段階で実施することが望ましいとされています。
「組織状況の確定」では組織の目的を明確にし、リスクマネジメントに影響する外部環境、内部環境を把握し、リスクの重大性を評価するためのリスク基準を定めます。
「リスク特定」「リスク分析」「リスク評価」の三つのプロセスは、合わせて「リスクアセスメント」とされており、リスクを特定し、理解を深め、対応の要否、優先順位などを検討する活動です。なお、リスクアセスメントの技法についてはISO/IEC30010で提供されており、併せて参照するとよいでしょう。
「リスク対応」は、リスクに対応するための一つ以上の選択肢を選び出し、実践することです。ISO31000で例示されている選択肢は以下のとおりです。
- リスクの回避
- リスクを取る、増加させる(好ましい方向のリスクは積極的に取っていく)
- リスク源の除去
- 起こりやすさを変える
- 結果を変える
- 一つ以上の他者とリスクを共有する(契約およびリスクファイナンシングを含む)
- リスクを保有
従来のリスク対応策は「回避」、「移転」、「低減」、「保有」の四分類で説明されることが多いですが、好ましい方向のリスクを考慮すると、「増加させる」などの対応も考えられることから選択肢が増えており、七つに分類されています。
ISO31000の活用
ISO31000は、品質マネジメントシステム(ISO9001)や環境マネジメントシステム(ISO14001)などの認証を目的とした規格ではありません。細かい要求事項や審査などはなく、リスクマネジメントの考え方を示しているに過ぎません。そのため規格を読んでも当たり前のことしか書いていないと思われる方も多いのではないでしょうか。大切なことは、当たり前であると考えられている内容が自社のリスクマネジメントの仕組みに組み込まれているのかどうかを確認し、常に改善を行っていくという活動そのものです。特に価値を創造するリスクマネジメントという観点においては好ましい方向のリスクが識別され、積極的にリスクを取っていく選択が行われているかを確認していくことであると考えます。
一方で、従来の危機管理という側面においては「好ましくないリスク」に重点を置き、ISO31000で求められている考え方に沿っているかを考慮することにより、従来のプロセスの改善につながる可能性もあります。
最後に
ISO31000は、不確実な時代の中で意思決定を支援するプロセスの構築に有用であり、また安全管理、事業継続、情報セキュリティなど内部統制システムの基礎となる考え方です。この機会に、ISO31000を活用して価値を創造するリスクマネジメントが実践できているかどうかを確認してみてはいかがでしょうか。
なお、ご紹介したISO31000の現在のバージョンは2009年に発行されたものであり、2017年末から2018年の早い時期に、新しいバージョンが発行される見込みです。価値を創造するためのリスクマネジメントという方向は変わらず、より経営層の関与を強める方向への改訂が見込まれています。今から準備を進めておくことも大切であると考えます。
本コラムがリスクマネジメントの向上の一助になれば幸いです。
参考文献
- JIS Q 31000:2010 リスクマネジメント‐原則及び指針(日本規格協会)
- ISO31000:2009 リスクマネジメント 解説と摘要ガイド(日本規格協会)
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
