ISO31000とは、リスクマネジメントについての一般的指針(国際標準規格)です
この規格には、リスクマネジメントの手法や関連用語が記載されています。
CIA試験でも出題される可能性があるため、大まかにでも確認しておくことが望ましいと思われます。
本投稿では、少なくもココだけは確認しておいた方が良い!という箇所を筆者の個人的見解で整理してみました。
ISO31000における「リスク」
目的に対する不確かさの影響と定義されています。
「影響」とは
- 期待されていることへの乖離である
- プラスとマイナスの両面が存在する(悪い影響だけでなく、良い影響も考慮が必要)
ISO31000によるリスクマネジメントの説明
Ⅰ.「原則」
Ⅱ.「枠組み/フレームワーク」
Ⅲ.「プロセス」
の3つに分けて説明されています。
それぞれにどのような要素が含まれているかを理解しておくことが、試験対策上、重要!(だと考えています)
Ⅰ.「原則」(リスクマネジメントを効果的に実施するために、企業が遵守すべき事項)
- 大原則(目的)は、「価値の創出と保護」
- 以下の8つの原則を全ての組織階層で遵守することで、企業経営が支援される。
| 8つの原則 | 原則の内容 |
|---|---|
| ➊ 統合 | ◯リスクマネジメントは企業全体の活動に統合される |
| ➋ 体系化され包括的 | ◯体系的かつ包括的な取り組み方は一貫性のある比較可能な結果になる |
| ➌ 組織への適合 | ◯リスクマネジメントの枠組みとプロセスは、企業内部だけでなく、外部の状況などと均衡がとれている |
| ➍ 包含的 | ◯ステークホルダーを適切に加えると、知識や見解、認識を考慮できるようになり、情報に基づくリスクマネジメントを可能にする |
| ➎ 動的 | ◯企業内外の状況変化により、リスクが出現・変化したり、消滅したりするため、適切に対応する |
| ❻ 利用可能な最善の情報 | ◯リスクマネジメントへのインプットは過去・現在の情報と将来の予想に基づくものであり、制約や不確かさを考慮することが適切である ◯情報は必要かつ明確でステークホルダーが入手できるようにする |
| ➐ 人的及び文化的要因 | ◯人間の行動と文化はリスクマネジメントの全ての側面に大きな影響を与える |
| ❽ 継続的改善 | ◯学習や経験を通じて継続的に改善される |
Ⅱ.「枠組み/フレームワーク」(リスクマネジメントを組織全体に定着させるための仕組み)
- 次の6つが、リスクマネジメントを定着させるための具体的な枠組み
- 有効なリスクマネジメントのためには、ステークホルダーやトップ・マネジメントによる支援も大切
| 枠組み | 内容 |
|---|---|
| ➊ リーダーシップ及びコミットメント | ◯経営者/トップマネジメントや取締役会は、リスクマネジメントへの取組みや活動を確立する責任を持つ |
| ➋ 統合 | ◯組織のリスクマネジメント活動を、ガバナンス、戦略、業務活動等と一体化させる |
| ➌ 設計 | ◯リスクマネジメントの取組方針、体制・役割・責任、コミュニケーション・協議ルールなど(リスクマネジメント・プロセス)を適切に決定する。 ◯リスクマネジメントの設計にあたっては、外部や内部の状況を検証し状況を理解し、組織の課題を整理する |
| ➍ 実施 | ◯設計にて決定されたリスク・マネジメント・プロセスを、組織に確実に導入し運用する |
| ➎ 評価 | ◯枠組みの各活動が、組織の目標達成に役立っているかどうか、その有効性を定期的に評価する |
| ❻ 改善 | ◯内部や外部の変化に対応できるように、枠組みの有効性を継続的にモニタリングし改善する |
Ⅲ.「プロセス」(リスクマネジメントに取り組むにあたり実施すべきプロセス)
- プロセスは6つの要素から構成される
- プロセスの要素は相互に関連しており、継続的なプロセス改善が望まれる
| 項目 | 内容 |
|---|---|
| ➊ コミュニケーション及び協議 | ◯組織の内部および外部のステークホルダーとコミュニケーションをとり、リスクに対する意識や理解を促すことが必要 ◯適切な意思決定を判断できるように協議を行い意見と情報を収集する ◯リスクマネジメント・プロセスのあらゆる段階で設ける |
| ➋適用範囲、状況及び基準 | ◯効果的なリスクアセスメント及び適切なリスク対応を実現するために、リスクマネジメントの適用範囲や組織内外の状況、リスクの基準(リスクをとる/とらない)を明確にする |
| ➌リスクアセスメント | ◯リスク特定、リスク分析、リスク評価を行う ・リスク特定:組織の目的達成を助ける/妨げる可能性のあるリスクを発見し、認識し記述する ・リスク分析:リスクのレベルを含め、リスクの性質及び特徴を理解する ・リスク評価:決定(リスク対応をする/しない、対応の選択肢、追加分析など)の裏付けをする |
| ➍リスク対応 | ◯リスク・アセスメントの結果を受け、対処法を検討し、実施する |
| ➎モニタリング及びレビュー | ◯継続的にリスク・マネジメントの効果を向上させるために、客観的な視点からリスクマネジメント・プロセスに関わる活動やその結果について、モニタリング及びレビュー/見直しを実施する |
| ❻記録作成及び報告 | ◯リスクマネジメント・プロセスの実施結果を記録に残す。 ◯この記録を、組織の内部及び外部のステークホルダーとの情報共有や将来の改善に役立てる |
3つのカテゴリーとその中身を整理して理解しておくことが、試験対策になるかと考えております。
皆さんのCIA合格を心より祈念しております。
頑張って参りましょう!!!
