|
2009年11月にリスクマネジメントの国際規格としてISO31000が発行されました。この規格は、9000s(品質マネジメントシステム)や14000s(環境マネジメントシステム)のように第三者認証を目的としているものとは異なり、リスクマネジメントの原則や指針を示すガイドラインです。 |
|
ISO31000では、図表のようなプロセスとそれを運用するための組織でのフレームワークが示されています。 |
|
|
|
特徴としては、リスクの特定(認識)、分析、評価、リスクへの対応という流れの全てに「モニタリングおよびレビュー(再考)」と「コミュニケーションおよび協議」を関連付けている点です。その他のISO規格と同様、リスクマネジメントにおいてもマネジメントシステムでPDCAを繰り返すことが重要であり、それらは強いコミュニケーションと協議を基盤に実施する重要性を表しています。 |
|
リスクマネジメント・プロセスにおけるモニタリング作業は、場合によっては困難です。あるリスクへの対策として立案されたものが、実際に効果があるかどうかはリスクが発現してみなければわからない、という意見もあります。 |
|
リスクへの対応をモニタリング、レビューするためには、組織内において基準や尺度を設置する必要があります。例えば、大震災時の低減策として、全社員への初期対応の徹底を決めたならば、「あなたは現時点で大震災が発生したとすると、どのような行動を取りますか?」というような質問を定期的に社員に対し面談やアンケート調査を行い、正確に答えられた人数が年々増加していれば対策は進んでいる、減少することがあれば徹底方法の再考という判断になります。 |
|
リスクは、ある程度対策が進んだ場合、影響度評価を落とす必要があります。上記例で考えると、何も対策をしない状況下では大震災発生時の混乱は企業にとって大きなリスクです。そのため、対応優先順位は上位に位置づけられるのは当然です。そして、対策を立案、実施し、ほとんどの社員が緊急時の対応を理解するようになれば、「大震災時における混乱」のリスクはある程度管理されているわけで、優先順位を下げる必要があります。 |
|
|
リスクマネジメントは、PDCAサイクルでリスクの対応優先順位が頻繁に変動しなければなりません。変動しないということは、対応ができていない可能性が高いということです。また、企業を取り巻く社会環境は、急激に変化しています。先月リスクではなかったことが、今月リスク上位に登場することは日常茶飯事のはずです。リスクマネジメント・プロセスを進め、一度順位付けされたリスクに概念を固定させることは危険です。 |
|
|
次のページへ → |
|
|
|
【リスクマネジメントレッスン‐目次‐】 |
|
| 1.進化するリスクマネジメント | 2.リスクマネジメントの必要性 | 3.リスクの認識 | |
|
| 4.リスクマネジメント・プロセス | 5.リスクの評価・査定 | 6.リスクの管理・対策 | |
|
| 7.リスク・チェーン | 8.BCP(事業継続計画) | 9.緊急時対応 | |
|
| 10.リスクファイナンス | 11.モニタリング | 12.リスクに強い組織体制 | |
|
|