ISOでのリスクマネジメントとは?重要ポイントを徹底解説

ISOでのリスクマネジメントとは?重要ポイントを徹底解説 ISO全般

リスクマネジメントは大分耳慣れた言葉になってきましたが、具体的には何なのか、実際に会社などでどのように運用・対応すれば良いのかなど悩む方も多いでしょう。ISOでは会社などの組織における運用のために、品質や環境などのマネジメントシステム(MS)規格を定めています。それらのMS規格では「リスク及び機会への取組み」という考え方が導入されていますが、そのなかでどのようにリスクマネジメントを運用していくかも重要な課題です。

この記事では、リスクマネジメントとは何なのか、ISOでのリスクマネジメントの取組み、ISOの各MS規格でのリスクマネジメントのあり方などについて、以下の項目を中心にして重要ポイントを徹底解説します。

  • リスクマネジメントとは何か
  • ISOでのリスクマネジメント取組みの経緯
  • リスクマネジメントのガイドラインISO31000の概要
  • ISOの各MS規格でのリスクマネジメントのあり方

リスクマネジメントを具体的に会社などの組織の運用に活かそうとしている方、あるいは活用に悩んでいる方などに是非参考にしていただきたい内容をまとめています。

リスクマネジメントとは

リスクマネジメントとは、一般的には「想定されるリスクを事前に管理し、リスクの発生による損失を回避し、不利益を最小限に抑える」という管理手法のことを言います。それではリスクとは何を意味するのでしょうか。

リスクの意味は

リスクは辞書などでは「危険度」、「予測どおりにいかない可能性」などと訳されますが、リスクマネジメントにおけるリスクは「組織に影響を与える不確実性」とされています。リスクには大きく分けて以下の2つの種類があります。損失のみで利益は期待できないマイナス要因のみのリスクと、利益を得ることもあるマイナスとプラスの両要因があるリスクです。

  • マイナス要因のみのリスク:火災や地震などの自然災害のような偶発的事故や人為的ミスが起因となるリスクで、財産や利益、損害賠償などのリスクがあります。
  • マイナスとプラスの両要因があるリスク:具体的には政治情勢や経済情勢の変動による経営環境の変化によって生じるリスクです。景気動向による好況・不況などの波で企業の収益が大きく左右されることが代表的な例です。

これらのリスクによる損失を回避し、不利益を最小限に抑えるリスクマネジメントにはどのようなプロセスが必要でしょうか。

リスクマネジメントのプロセス

リスクマネジメントの一般的なプロセスは次のようなステップを踏みます。

  1. リスクを抽出し特定する。
  2. リスクのレベルを分析する。
  3. リスク対応の優先度を評価する。
  4. リスク対策を立案し、実行する。
  5. リスク対策の結果を再評価する。

このプロセスのうち、リスクを特定、分析、評価する①~③のステップのことをリスクアセスメントと言います。リスクマネジメントは、リスクアセスメントをしてその対策を立案、実行し、その結果を再評価して更なる対策などにつなげるプロセスで成り立っています。プロセスの各ステップの内容を見てみましょう。

リスクを抽出し特定する

まずリスクを棚卸しして、目に見える形で多面的に洗い出し特定します。様々な部門の関係者が参加してのブレーンストーミングなどで抽出するのが良いでしょう。経済リスクや財務リスク、労務リスク、事故・災害リスク、政治リスク、社会リスク、訴訟リスクなど、様々な想定されるリスクを多面的に洗い出します。

リスクを分析する

抽出して特定したリスクを分析しますが、この時、リスクが顕在化した際の「影響の大きさ」と「発生確率」を推定するのがポイントです。「影響の大きさ」と「発生確率」は可能な限り定量化することが望まれますが、定量化が難しい場合は定性的な側面も含めてリスク同士を相対的に比較できるようにすることが重要です。

リスク対応の優先度を評価する

リスク分析の結果から、どのリスクに対応するかの優先度を評価します。「影響の大きさ」をX軸に、「発生確率」をY軸にしてプロットすると、重大なリスクが可視化できます。ただ、対応の優先度は重大なリスクに重点を置くとは限りません。早期に手が打てるものなど、リスクの重大さだけでなく対応の順序にも着目することがポイントです。

リスク対策を立案し、実行する

優先度が高いと評価されたリスクに対して具体的な対策を立案して実行します。リスクへの代表的な対応策には次の4種類があります。

  1. リスクの低減:リスク発生の可能性を低減させることで、ポートフォリオ経営やジョイントベンチャー化などが相当します。
  2. リスクの移転:リスクを他社などに移すことで、保険への加入や証券化などのファイナンス手法の活用などが相当します。
  3. リスクの保有:特にリスクを低減する対策を行なわず、許容範囲内としてリスクを受容します。
  4. リスクの回避:リスク発生の可能性を取り去ることで、事業売却などが典型的な例です。

リスク評価で重大とされたリスクに対しては回避や低減の対応策を、軽度のリスクに対しては保有の対応策をとるのが一般的です。

ISOでのリスクマネジメントは

リスクマネジメントという考え方の歴史はまだ新しく、発端は19世紀のフランスにあるようですが、実務的に確立されたのは1929年の世界恐慌や第2次世界大戦後の復興過程での損害保険などの保険管理に関わる研究などで進展したと言われています。ISOではどのようにリスクマネジメントを取り入れてきたかを見てみましょう。

ISOのリスクマネジメントへの取組み

ISOのリスクマネジメントへの取組みは遅いものでした。ISOに対してリスクマネジメントシステムの規格策定を提案したのは日本で、1997年9月のことです。しかし、その提案は企業のコストアップを招くという欧米からの強い懸念で却下されてしまいます。代わりにリスクマネジッメント用語の規格策定が進められ、2001年にISO/IEC Guide73:2001(リスクマネジメント用語の定義)が制定されました。

ただ、リスクマネジメントが重要視される医療機器などの分野では、以下、個別にリスクマネジメントを取入れた規格が制定されています。

  • ISO14971:2000 医療機器-リスクマネジメントの医療機器への適用
  • ISO13485:2003 医療機器-品質マネジメントシステム-規制目的のための要求事項(リスクマネジメントについてISO14971を参照しています)

一方、日本では2001年にJIS Q2001(リスクマネジメントシステム構築のための指針)が制定され、先行してリスクマネジメントを国家規格にしているオーストラリア、ニュージーランド、カナダ、イギリスなどとともにリスクマネジメントシステムを世界標準化するための後押しになりました。

ISOではその後、2009年にISO31000(リスクマネジメント-指針)を制定します。この規格は、品質や環境など各種のマネジメントシステム(MS)規格を包含したリスクマネジメントを目指した規格で、概要を次項で解説します。

ISO31000はリスクマネジメントのガイドライン

ISO31000はリスクマネジメントのガイドライン、指針であって認証規格ではありません。2018年に改訂されて第2版になっています。品質や環境などのMS規格でリスクや機会に取組んで運用する際に参考にすべき事項が示されている規格です。

規格は6章で構成されていて、リスクアセスメントに相当するリスク特定、リスク分析、リスク評価の他、リスク対応、モニタリングなどの一連のプロセスが含まれています。組織の目的に影響を与える様々なリスクを効果的にコントロールすることで、組織のパフォーマンスの維持・向上につなげるリスクマネジメントの管理手法の諸例が多数示されています。

ISO31000:2018はJIS Q31000:2019(https://kikakurui.com/q/Q31000-2019-01.html)としてJIS化されていますので参考にすると良いでしょう。

ISO各MS規格でのリスクマネジメント

ISOには品質のISO9001に代表される、環境や情報セキュリティ、食品安全、医療機器、労働安全などに関する多くのマネジメントシステム(MS)規格があります。これらのMS規格の構成は、2012年に改正されたISO規格を制定する際の指針の附属書SLで共通の基本構造とすることが定められています。その結果、各MS規格の6.1 項で「リスク及び機会への取組み」というタイトルで、取組む必要があるリスクを決定し、取り組み方法を決定したうえで取組むことが要求されています。

ただ、リスクに関することだけではなく多くの事柄についてのマネジメントシステムを規定した規格ですから、より詳細なリスクマネジメントについてはISO31000を参照して運用するのが良いでしょう。ここでは、MS規格のなかの品質と環境、情報セキュリティ、食品安全の規格でのリスクマネジメントのありかたを見てみましょう。

ISO9001:品質マネジメントシステム

ISO9001の旧規格には予防処置という項目がありました。予防処置は「起こり得る不適合またはその他の望ましくない起こり得る状況の原因を除去するための処置」と定義されていて、まさにリスクのマネジメントを表わしています。2015年版でリスクと機会への取組みが導入されて、予防処置の項目は規格から無くなりました。

品質MSの場合、組織の規模や業種などによってリスクも様々なものが考えられるので、環境や情報セキュリティなどのMSでのような徹底したリスクマネジメントプロセスは求められていません。品質クレームや生産機械の故障、知識・技能の伝承、情報漏えいなど、組織内部の独自リスクに重点を置いてマネジメントの検討を進めるのが良いでしょう。なお、ISO9001のリスクの取組みについては、関連記事としてISO9001活動でのリスクと機会への取り組みとは?ポイントを解説もご覧ください。

ISO14001:環境マネジメントシステム

ISO14001では次の4つに関連したリスクを特定することが要求されています。

  • 環境側面(6.1.2項)
  • 順守義務(6.1.3項)
  • 組織の外部及び内部の環境課題(4.1項)
  • 利害関係者のニーズ及び要求事項(4.2項)

ここで特定したリスクのアセスメントをすると、重大なリスクとなるのは緊急事態も含めた環境側面が多くを占めることになるでしょう。

多くの組織では著しい環境側面からも環境目的・目標を定めて環境MSを運用していることでしょう。抽出したリスクに対して低減・改善などの目標を設定して確実に活動することがリスクマネジメントの一環になります。

ISO27001:情報セキュリティマネジメントシステム

ISO27001は情報セキュリティマネジメントシステム(ISMS)の規格なので、セキュリティに関するリスクの取扱いについて多くの事例を含めてそのプロセスが定められています。

ISO27001の附属書Aには、情報セキュリティのリスクに対する管理目的と管理策(リスク対策)として、14の管理分野、35の管理目的、114の管理策が明示されています。この管理策には、実施基準として組織が打つべき具体的な対策の指針が示されています。

また、情報セキュリティ対策における管理策をまとめたISO17799には、11の管理領域と133の管理策が示されています。このISOはJIS Q27002:2014(情報セキュリティ管理策の実践のための規範:https://kikakurui.com/q/Q27002-2014-01.html)としてJIS化されています。これらの管理策のなかから組織にあった管理策を適宜選択してリスクマネジメントにつなげると良いでしょう。

ISO22000:食品安全マネジメントシステム

ISO22000は食品安全のマネジメントシステム規格で、品質のISO9001にGMP(Good Manufacturing Practice:適正製造規範)やHACCP(Hazard Analysis and Critical Control Point:ハサップ=危害分析重要管理点)などの食品安全に関する規範や手法を組み合わせて定められています。

リスクについては、規格制定当初から食品安全ハザードに関連するリスクとしてHACCPのシステムのなかで取入れられています。最新の2018年版の規格は、他のMS規格と同様に「リスク及び機会への取組み」が組み込まれ、リスクマネジメントを包括したマネジメントシステム規格に改訂されました。

食品安全の規格はISO22000の他にもFSSC22000やJFS-Cなどの認証規格があります。どの規格で運用するにしてもリスクをマネジメントすることはできますが、リスクマネジメントのガイドライン規格であるISO31000を参考にしてリスク対策などの妥当性を確認して行なうのが良いでしょう。

まとめ

リスクマネジメントは、リスクによる損失を回避して不利益を最小限に抑える管理手法です。リスクを特定してそれを分析し評価するというリスクアセスメントに加えて、その対策を立案、実行し、結果を再評価するというプロセスで成り立っています。

ISOでは2000年ごろからリスクマネジメントを取入れ、リスクマネジメントの指針であるISO31000を2009年に制定しました。品質のISO9001や環境、情報セキュリティ、食品安全などのMS規格にも2012年以降はリスクと機会の考え方が取り入れられています。

リスクマネジメントは組織の継続的な発展には欠かせない管理手法です。ISO31000などの規格をよく理解し、確実なリスクマネジメントを運用することで組織の発展に寄与するよう努めましょう。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
hikaruta

ISO9001:94年版での認証取得に関わって以来、ISO14001や医療機器品質のISO13485の認証取得・運用に深く携わり、ISOに翻弄、鍛えられたビジネスライフを経験。一線を退き、反省なども込めてISOを見つめ直しています。

hikarutaをフォローする
ISO全般
ISOナビ
トップへ戻る
タイトルとURLをコピーしました