ISO31000:2019(ISO31000:2018)リスクマネジメント-指針とは

リスクマネジメント。ISO9001品質マネジメントシステムでは、リスクアセスメントまでは要求されていませんが、リスクを洗い出し対応することは求められています。

ISO27001(ISMS)情報セキュリティマネジメントであれば、リスクマネジメントを含め付属書Aに管理目的と管理策の詳細が示されています。

しかし、実際にリスクマネジメントに取り組もうとすると、そもそも「リスクの意味が、立場の違いなどによって違う。」など意外に難しいものです。

最近、航空・宇宙のQMSであるISO9100の要求事項を読み直してみて、リスクマネジメントについて改めて学ぶよい機会であると思い調べてみたところ、今更ですが以下の規格が発行されていました。

JIS Q 31000:2019 (ISO 31000:2018)

リスクマネジメントー指針

Risk management-Guidelines

ここでは、「JIS Q 31000:2019 リスクマネジメントー指針」について説明します。

この記事は私の個人的な見解です。リスクマネジメント規格の正しい解釈ではありませんのでご注意ください。規格要求事項そのものや解釈については、JIS規格やISO原文をご参照ください。
スポンサーリンク

リスクマネジメントの規格について

JIS Q 31000:2019 (ISO 31000:2018)リスクマネジメントー指針とは、

JISでリスクマネジメントの規格を調べてみると、2022年9月現在、以下の規格が発行されています。

  • 「JIS Q 0073 リスクマネジメント-用語」
  • 「JIS Q 31000 リスクマネジメント-指針」
  • 「JIS Q 31010 リスクマネジメント-リスクアセスメント技法」
  • 「JIS T 0993-1 医療機器の生物学的評価-第1部:リスクマネジメントプロセスにおける評価及び試験」
  • 「JIS T 14971 医療機器-リスクマネジメントの医療機器への適用」

医療関係を除くリスクマネジメント規格は、以下の3つです。

  • JIS Q 0073 リスクマネジメント用語
  • JIS Q 31000 リスクマネジメント指針
  • JIS Q 31010 リスクマネジメントリスクアセスメント技法

これらの規格の内容は、次の通りです。

「JIS Q 0073 リスクマネジメント-用語」

「JIS Q 0073 リスクマネジメント-用語」は、規格のタイトル通り、リスクマネジメントに関する用語の定義です。

「JIS Q 31000 リスクマネジメント-指針」

「JIS Q 31000 リスクマネジメント-指針」は全17ページで、下図の原則、枠組み、及び、プロセスに分け、リスクマネジメントとはどの様なものなのかについて、基本的なことが書かれています。

下図から、リスクマネジメントについて以下の考え方があると考えています。

  • 原則、枠組み、プロセスとは相互に関係にある。
  • 原則、枠組み、プロセスについて継続的改善によるレベルアップが必要
リスクマネジメントの原則、枠組み及びプロセス

リスクマネジメントの原則、枠組み及びプロセス

図1 リスクマネジメントの原則、枠組み及びプロセス

出典:「JIS Q 31000 リスクマネジメント-指針」より(加工しています)

なお、QMS、EMSやISMSのリスクマネジメントについて、「JIS Q 31000 リスクマネジメント-指針」や「JIS Q 31010 リスクマネジメント-リスクアセスメント技法」が、どの様に取り込まれていくのか、あるいは、現状維持となるのか分かりませんが、個人的にはとても興味があります。

「JIS Q 31010 リスクマネジメント-リスクアセスメント技法」

「JIS Q 31010 リスクマネジメント-リスクアセスメント技法」は、全部で79ページあります。リスクアセスメントのための様々なツールが紹介されています。

以下、「JIS Q 31000 リスクマネジメント-指針」の概要について説明します。

「JIS Q 31000 リスクマネジメント-指針」の概要

序文には、次の様に書かれています。

パフォーマンスの改善に触れているのは、ISO9001:2015と同様です。

この規格は、リスクのマネジメントを行い、意思を決定し、目的の設定及び達成を行い、並びにパフォーマンスの改善のために、組織における価値を創造し保護する人々が使用するためのものである。

出典:「JIS Q 31000 リスクマネジメント-指針」より

JIS Q 31000では、あらゆる業態及び規模の組織(会社)を対象にしており、会社の目標達成のためにはリスクへの対応が必要です。

リスクマネジメントについて、以下列挙します。

  • リスクマネジメントは、反復(繰り返し)行うもの
  • 戦略の決定や目的達成、及び、情報に基づく会社の決定に役立つ
  • 組織統治(コーポレートガバナンス)やリーダーシップの一部
  • あらゆるレベルでのマネジメントの基礎なる
  • マネジメントシステムの改善に役立つ
  • 組織に関連する全ての活動の一部、ステークホルダ(利害関係者)とのやり取りを含む
  • 人間の行動及び文化的要素を含めた組織の外部及び内部の状況を考慮するもの
はかせ
はかせ

自分で考えている「リスク」や「リスクマネジメント」と比べてみるとよいと考えています。

「3 用語及び定義」

「3 用語及び定義」では、以下の8個の用語が定義されています。

  • リスク(risk)
  • リスクマネジメント(risk management)
  • ステークホルダ(stakcholder)
  • リスク源(risk source)
  • 事象(event)
  • 結果(consequence)
  • 起こりやすさ(likelihood)
  • 管理策(control)

上記の用語について注記もありますが、ここでは、いくつかの用語について以下に引用します。

リスク(risk):

目的に対する不確かさの影響

リスクマネジメント(risk management):

リスクについて、組織を指揮統制するための調整された活動

リスク源(risk source):

それ自体又はほかとの組合せによって、リスクを生じさせる力を潜在的にもっている要素

結果(consequence):

目的に影響を与える事象の結末

管理策(control):

リスクを維持及び/又は修正する対策

出典:「JIS Q 31000 リスクマネジメント-指針」より

「4 原則」

リスクマネジメントは、パフォーマンスを改善し、目的達成を支援する役割を担うものです。

会社のリスクマネジメントの枠組みやプロセスを作る場合には、リスクマネジメントの原則について検討します。

リスクマネジメントの原則について検討することで、会社の目的に対し、ある不確かさが及ぼす影響についてマネジメントできるようになることが推奨されています。

下図は、「4 原則」の図です。

リスクマネジメントの原則

リスクマネジメントの原則

図2 リスクマネジメントの原則

出典:「JIS Q 31000 リスクマネジメント-指針」より(加工しています)

上図において、中心の「価値の創出及び保護」のため、以下の8項目が挙げられています。

  • 統合:組織の全ての活動への統合と言う意味です。
  • 体系化及び包括:体系化され、かつ、包括的な取組み方をすることで、一貫性と比較可能な結果につながります。
  • 組織への適合:リスクマネジメントの枠組み及びプロセスが、会社、目的、及び、外部・内部の状況とバランスがとれている。
  • 包含:ステークホルダを適切に加え、知見を考慮することが、情報に基づくリスクマネジメントにつながる。
  • 動的:会社の外部・内部の状況変化に伴い、リスクが発生したり、変化したり、時には無くなることもあるので、これに対応する。
  • 利用可能な最善の情報:リスクマネジメントへのインプットは、過去及び現在の情報、並びに将来の予想に基づくものですが、これらの制約及び不確かさを明確に考慮に入れます。情報は必要な時に、明確で、ステークホルダが入手できることが望ましい。
  • 人的要因及び文化的要因:人間の行動及び文化は、リスクマネジメントに大きな影響を与える。
  • 継続的改善:学習及び経験を通じて継続的に改善する。

1つ1つの言葉は難しそうに感じますが、意味するところは自分なりに理解できるのではないでしょうか?

リスクマネジメントに取り組む場合、人の影響がとても大きいということは、

  • リスクについて共通の認識を持つ(情報共有)こと
  • プロジェクト(仕事)の進め方や考え方

についても考慮が必要になることだと考えています。

「5 枠組み」

リスクマネジメントの枠組みは、会社の重要な活動や機能を統合する際に役立ちます。

リスクマネジメントの有効性は、「意思決定を含む組織統治への統合」、つまり、リスクについての判断・決定が、組織運営にどの様に取り込まれるかにより大きな影響を受けます。

具体的には、ステークホルダ、特にトップマネジメント(社長)がリスクマネジメントを積極的にサポート(支援)することが必要になります。

はかせ
はかせ

リスクマネジメントは、プロジェクトマネジメントとも共通する部分が意外に多いと考えています。

下図は、「5 枠組み」の図です。

リスクマネジメントの枠組み

リスクマネジメントの枠組み

図3 リスクマネジメントの枠組み

出典:「JIS Q 31000 リスクマネジメント-指針」より(加工しています)

枠組みの要素は、上図の通り、リスクマネジメントの統合、設計、実施、評価、改善、統合であり、これを支えるのがリーダーシップ及びコミットメントです。

枠組みの策定は、1度で作り上げるというよりも、各要素を回すことで、リスクマネジメントの枠組みのレベルを上げていくものだと考えています。

はかせ
はかせ

PDCAにおいて、Do(実行)を重視して、PDCAを小さく速く回し、継続的改善によりレベルアップを図るのと同じ様な考え方だととらえています。

なお、リスクマネジメントの枠組みは、あるべき姿と現在地との差を明らかにし、会社の必要性を考慮して作っていきます。

リスクマネジメントの枠組みでは、以下の項目について書かれています。QMSの継続的改善、設計・開発、パフォーマンス評価の考え方と同様だと考えています。

  • リーダーシップ及びコミットメント
  • 統合
  • 設計
  • 実施
  • 評価
  • 改善
はかせ
はかせ

少々乱暴な表現になりますが、リスクマネジメントと会社と社長の統合が求められています。

「6 プロセス」

リスクマネジメントのプロセスは、下図となります。

リスクマネジメントのプロセス

リスクマネジメントのプロセス

図4 リスクマネジメントのプロセス

出典:「JIS Q 31000 リスクマネジメント-指針」より(加工しています)

リスクマネジメントのプロセスには、以下の項目が含まれ、相互に関連性があり、こちらも、継続的な改善を狙ったものだと考えています。

  • 適用範囲、状況、基準
  • リスクアセスメント:リスクの特定、分析、評価
  • リスク対応
  • コミュニケーション及び協議
  • モニタリング及びレビュー
  • 記録作成及び報告

リスクマネジメント・プロセスについて以下のことが求められています。

  • マネジメントと意思決定に不可欠な部分である。
  • 会社の体制、活動及びプロセスに組み込まれている。

こうすることで、リスクマネジメント・プロセスは、以下の様な様々な段階に適用することができます。

  • 戦略
  • 業務活動
  • プログラム、プロジェクト

また、以下の2点については注意すべきと考えています。

  • リスクマネジメント・プロセス全体で、人間の行動及び文化がもつ動的で可変的な性質を考慮する。
  • リスクマネジメント・プロセスは、逐次的なものとして表されるが、実務では反復的である。

リスクマネジメントのプロセス」では、以下の項目について書かれています。

  • 一般
  • コミュニケーション及び協議
  • 適用範囲、状況及び基準
  • リスクアセスメント
  • リスク対応
  • モニタリング及びレビュー
  • 記録作成及び報告
スポンサーリンク

参考:日本産業標準調査会の「JIS検索」

JIS規格は、ネットで見ることができます。

日本産業標準調査会(JISC)の「JIS検索」のリンク先を紹介します。

検索の仕方は、以下のリンク先を参照してください。

ホーム>>データベース検索>>JIS検索

まとめ

リスクマネジメント、ISO9001品質マネジメントシステムではリスクアセスメントまでは要求されていませんが、リスクを洗い出し対応することが求められています。

ISO27001(ISMS)情報セキュリティマネジメントであれば、リスクマネジメントを含め付属書Aに管理目的と管理策詳細が示されています。

しかし、実際にリスクマネジメントに取り組もうとすると、そもそも「リスクの意味するところが、立場の違いなどにより違う。」など意外に難しいものです。

ここでは、「JIS Q 31000:2019 リスクマネジメントー指針」について、以下の項目で説明しました。

  • リスクマネジメントの規格について
    • 「JIS Q 0073 リスクマネジメント-用語」
    • 「JIS Q 31000 リスクマネジメント-指針」
    • 「JIS Q 31010 リスクマネジメント-リスクアセスメント技法」
  • 「JIS Q 31000 リスクマネジメント-指針」の概要
    • 「3 用語及び定義」
    • 「4 原則」
    • 「5 枠組み」
    • 「6 プロセス」
  • 参考:日本産業標準調査会の「JIS検索」
タイトルとURLをコピーしました