ISO31000規格が示すリスクマネジメント指針とは?規格をふまえ徹底解説

ISO31000規格が示すリスクマネジメント指針とは?規格をふまえ徹底解説 ISO全般

ISO31000というISO国際規格について、聞き馴染みのない方が多いのではないでしょうか。

ISO31000とは、ISO(国際標準化機構)が制定し発行しているリスクマネジメントに関する指針となります。ISO9001やISO14001のように認証登録機関の審査員の審査を受審し、合格後、認証取得する種類のものではなく、組織でリスクマネジメント(Risk management)活動を実施する際の指針として参考とする規格となります。よって、ISO31000規格はMust要求ではなく、参考として取り組むかどうかは組織の自由ということになります。

それではなぜ、ISO31000が国際的な規格として発行されているのでしょうか。

昨今の企業活動では複数の利害関係者(ステークホルダ)と繋がる機会が増え、利害関係者との接点が多くなればなるほど企業の抱えるリスクは増えていきます。また環境面では、年々自然災害や環境汚染影響が大きくなってきており、それらの緊急時リスクを予測し企業活動の前準備を行っておかなければ、いざというときに企業活動が完全にストップし、組織自体の存在が危うくなってしまいます。

安定的に企業活動を行うためには、組織で想定されうるリスクを全て洗い出し、そのリスクを考慮した組織の活動を計画し、実行したうえで効果があったかを検証し、その後の活動に生かしていく、いわゆるリスクをマネジメントする活動が必要となります。しかし、リスク項目を全て洗い出しそれを企業活動に展開するのはなかなか難しいものです。そのときに有効活用できるのがISO31000規格というわけです。情報セキュリティマネジメントシステムのISO27001とは、リスク管理として強く繋がっています。

組織が抱えるリスクに対するアプローチを検討するにはISO31000規格を利用するのが有効であり、その全体像を知っておいて損はありません。

この記事では、ISO31000に関する概要として以下をまとめています。

  • ISO31000規格が示すリスクマネジメント指針について
  • ISO31000規格の全体像

ISO9001やISO14001では、組織の抱えるリスクや機会を挙げ組織活動に反映するように求めていますが、リスクとなりうる項目を洗い出したもののその後の活動にどのように繋げたらよいか悩むときに、ISO31000規格が大変参考になります。ISO31000国際規格がどのように構成されているか、そして組織のリスクマネジメントとしてどのように展開できるのかを知りたい方は、ぜひこの記事をご覧ください。

なお、ISO31000規格条項は、日本工業規格JIS Q 31000:2019として発行されているので、そちらを参考にしてください。

ISO31000規格が示すリスクマネジメント指針

RiskManagement

品質マネジメント活動のISO9001、環境マネジメント活動のISO14001、そして情報セキュリティマネジメント活動のISO27001などでは、組織が抱えるリスクを十分に分析したうえでマネジメントシステム活動へ反映することを規格要求事項で求めているので、リスクマネジメントを連携させることは非常に重要な活動といえます。

それでは、ISO31000規格が示すリスクマネジメントの指針を、組織のマネジメントに取り入れるとどのようなメリットがあるのでしょうか。

ISO31000規格を組織のマネジメント活動内に取り入れることで、次のことが可能になります。

  • 組織の抱えるリスク項目を徹底的に洗い出したうえで分析し、その項目を考慮する形で目的及び目標を設定すれば、リスクに対する事前管理を整えておくことができ目標達成の確率が上がる。
  • 組織全体でリスクを洗い出す活動の指針となっていることから、規格をマネジメントシステム内に取り入れることで従業員全員のリスクに対する意識が向上し、対応する必要性を認識させることができる。
  • ステークホルダとの間でかかえるリスクを洗い出しその項目を共有することで、ステークホルダと認識を合わせることができ、信頼と信用を改善することができる。
  • リスクが発生した場合に抱える損失の予防と事態管理を改善することで、損失を最小化することができる。

ISO31000規格を考慮しマネジメント活動に取り入れることで上述のメリットが得られますが、注意すべきは他のマネジメント活動と別管理の仕組みにしないことです。ISO31000規格に基づいた管理が他のマネジメント活動と別運用となると、リスク管理と他の活動の管理を別々の担当者が行わなければならず管理工数が大幅に増えるだけで非効率な組織活動となってしまいます。よって、ISO31000規格の利用可能なポイントを組織のマネジメント活動に取り込む意識で運用してみるとよいでしょう。

ISO31000規格の全体像

リスクマネージメント

ISO31000では、リスクをマネジメントするということは価値を創造するものととらえています。リスクと聞くと事故や災害のイメージが強く、リスクマネジメントとは、事故や災害を減少し企業価値を高めるためのマネジメントだけのような感じを受けます。このように好ましくない影響を小さくする視点は重要なリスクマネジメントですが、ISO31000では好ましい影響を増大させ企業価値や社会価値を高めていることもリスクマネジメントの範囲であることを明確に示しています。社会貢献するために新製品を生み出したり新規開発を促進したりすることで組織の価値を高めることは、好ましい影響を増大させることと捉え、これもリスクマネジメント範囲に含まれるという考えです。

ISO31000では、好ましい影響と好ましくない影響両者をリスクとして捉え、それらリスクのバランスを考えて企業活動を行うことは、価値を創造する組織活動にほかならないと考えており、それがリスクマネジメントということになります。

それでは、ISO31000では、リスクマネジメント活動を実施する指針としてどのような規格構成となっているかを具体的に見ていきましょう。

1~3項の構成

ISO規格の構成は一般的に、1項が適用範囲、2項が引用規格、そして3項が用語及び定義になっており、ISO31000も1~3項は同じ構成となっています。

1項の適用範囲では、ISO31000規格は特定の産業や部門に限らず、あらゆる分野の企業を対象として使用可能としています。あらゆる組織には必ずリスクが存在することから、そのリスクを特定しマネジメントシステムを改善する活動に繋げられるのがISO31000規格となります。

2項では、ISO31000では特に引用する規格はなくリスクマネジメントを取り扱う単独の規格であることを示しています。

3項では、ISO31000規格内に出てくる用語の定義を示しています。リスク、リスクマネジメント、ステークホルダなどの用語の定義や注記が記載されていますので、ぜひ日本工業規格JIS Q 31000:2019を参考にされてください。

4項の構成

4項では、ISO31000規格を適用する際に組織が取り組むべき原則が規定されています。特にa)~h)項でリスクマネジメント活動を運用するにあたり組織が配慮しなければならない重要ポイントが記載されています。

重要ポイントの一つとしては、リスクマネジメントは組織の全ての活動に統合されて実施する必要があることを述べており、リスクマネジメント活動を単独の組織活動にすべきではないことを明言しています。ISO31000規格をマネジメントシステム活動に取り入れるのであれば、経営層やISO事務局は、組織の活動と分離しないように考慮し構築していくことが大切です。

その他の重要ポイントとして、ステークホルダとの繋がりの重要性を強く述べています。ステークホルダから最新情報を得て、変化する組織の外部及び内部課題を更新し、その課題からリスク事象を想定したうえでリスクマネジメント活動に反映し続けることが大切であることを強調しています。組織の活動では、ステークホルダの動向が組織の向かうべき方向性の鍵を握っており、ステークホルダの最新情報を得なければ組織の持つリスクを見誤り、実践すべきリスク対策を見失う危険性があることから明確にされている内容となります。

なお、規格のなかに「アカウンタビリティ」という用語が出てきますが、経営層には説明を行うことを含むリスクに対する責任があることを示しており、頻繁に出てくるので理解しておいてください。

5項の構成

5項では、リスクマネジメントの活動全体の枠組みを示しています。

枠組みとしては、リスクマネジメントの統合(5.3項)、設計(5.4項)、実施(5.5項)、評価(5.6項)そして改善(5.7項)の、いわゆるマネジメントシステム活動のPDCAサイクルの規格構成になっています。

5.1項は一般として、枠組み全体像の説明となっています。5.2項はリーダーシップ及びコミットメントとして、リスクマネジメントはトップマネジメントの関与が必須であり、実行すべきリスクマネジメント活動について組織内従事者とステークホルダに伝達することの重要性を述べています。なお、この項では監督機関との用語が記載されており、監督機関は組織の抱えるリスクが十分に検討されているかを分析し、リスクマネジメントを監視する責任を負うとされていますが、組織にISO事務局が存在すればその機関が担うのが妥当でしょう。

5.3項の統合では、組織のレベルに応じて、戦略的な面も考慮し組織の現体制のなかにどのようにリスクマネジメントを取り入れるかの指針を示しています。

5.4項の設計では、組織の外部及び内部の状況を検証したうえで、組織にどのくらいのリスクが存在するのかを見極め、リスクマネジメント活動としてどのように展開するかを示している項となっています。規格のなかでは、トップマネジメントがリスクマネジメント活動を実行するとの方針の意思決定した場合には、組織内に周知し活動の責任は全社員にあることを理解させ、各担当者の責任と権限を明確にし、活動に必要な資源(人員、力量、教育訓練、文書化など)を適切に配分することを示しています。そして、リスクマネジメント活動を効果的なものにするために、組織内メンバーとの適切な協議はもちろんのこと、最新情報を適切に入手するためにステークホルダとのコミュニケーションがひじょうに大切であることを述べています。

5.5項の実施では、リスク分析結果から組織の改善すべきリスクマネジメント活動が明確になれば、計画を策定し、その計画に沿って実施する枠組みが示されています。

5.6項の評価及び5.7項の改善では、実践したリスクマネジメント活動パフォーマンスの有効性を評価し、達成状況に従い次の改善に繋げる全体像を示しています。

このように見ていくと、ISO9001やISO14001の規格のように細かい要求事項はありませんが、マネジメントシステム継続的改善の枠組みは同じ構成となっているので、ISO事務局としてはISO31000規格の全体像は掴みやすいはずです。

6項の構成

6項については、リスクマネジメント活動を実施するにあたり、非常に重要で核となる項です。リスクマネジメントをプロセスの考えとし、プロセスアプローチとしてリスクに対するインプット項目とアウトプット項目をしっかりと把握し、PDCA活動として運用する流れが規格内で構成されています。

6.1項は一般となっており、リスクマネジメントをプロセスと捉えた全体像の考え方を示しています。

6.2項はコミュニケーション及び協議となっており、規格のなかで何度も出てきますが、リスクに関する運用ではいかにステークホルダや組織メンバーとのコミュニケーションと協議が重要であるかを示している項となります。

6.3項は適用範囲、状況及び基準となっており、組織のリスクを挙げ続けるときりがないので、核となるリスクを決定する指針が示されています。

6.4項のリスクアセスメントではリスクを特定し分析し評価する手順が示されており、リスクマネジメントプロセスにおいて非常に重要な規格であるといえます。リスクマネジメントを実施するにおいて、リスクアセスメントは必須実行なので、ぜひ規格を読み込み活動に取り入れてください。

6.5項はリスク対応となっており、6.4項のリスクアセスメントで評価し活動に展開すると決定した項目に対してリスク対応計画を準備し実行する規格が明記されています。

6.6項はモニタリング及びレビューであり、実行するリスク対応活動をモニタリングし結果をレビューする項となっています。

6.7項は記録作成及び報告となっており、リスクマネジメントプロセス実施結果を記録としてまとめ、報告する重要性が規格としてまとめられています。

6項番はリスクマネジメントプロセスの項として重要なリスクマネジメント管理がまとめてあり、この流れで仕組み構築すると組織のリスク漏れが生じにくくなり、有効な活動に繋がるはずです。

まとめ

この記事では、ISO31000規格が示すリスクマネジメント指針について、規格内容をふまえ解説してきました。IS9001やISO14001認証取得している企業では、規格要求事項でリスクを分析し活動に考慮することが求められていますが、ISO31000の規格のなかで特に6項番はリスクを洗い出し分析し評価する指針としては非常に参考になります。

ISO認証登録機関の審査や顧客監査において、ISO31000規格に従いリスク管理を行っていることを明言できれば、プラスの評価に繋がり信頼性が向上することは間違いありません。

ISO活動を行っている企業にとっては、ISO31000規格は比較的理解しやすいはずですので、規格をしっかりと読み込み、組織のリスクマネジメント活動としてぜひ取り入れてみてください。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
小一郎秀長

ISO9001(1994年度版)導入に続きISO14001(1996年度版)導入において、ISO事務局委員長として会社の認証取得に貢献。その後のISO改定時には、後輩育成のためにISO事務局へのアドバイザーとしてサポート。
現在はISO9001/IATF16949の維持管理に従事中。
戦国時代をこよなく愛し、尊敬するのは豊臣秀長。連休は城址廻りでリフレッシュ。

小一郎秀長をフォローする
ISO全般
ISOナビ
トップへ戻る
タイトルとURLをコピーしました