リスクマネジメント

※ MSS規格共通仕様書(HLS)のリスクマネジメントは、ISO 31000(Risk management-リスクマネジメントの

国際規格)の考え方が取り入れられています。

 

マネジメントトステム(MSS)規格共通化

 組織が複数のMSSを導入することを考慮して、組織の負担を軽減するため、MSS間の整合性向上を図り、MSS規格が

共通化されました。

 今後新規策定、改訂されるのMSS規格は、この文書に示される章立てが採用され、共通の要求事項になります。

- 現在適用されている規格 -

■ ISO27001 : 2013 情報セキュリティマネジメントシステム

■ ISO39001 : 2012 道路交通安全マネジメントシステム

 

リスクマネジメントは、計画の達成を支援する仕組み

リスクマネジメントは、各種の危険による不測の損害を最小の費用で効果的に処理するための経営管理手法です。

 組織や生活の中には必ずと言ってよいほどリスクが存在します。

 

目的を達成するには

・何がリスクなのか

・そのリスクが自分たちにとってどういう意味(影響)を持つのか

・どんなリスクが良い影響を与えてくれる追い風なのか、悪い影響を与える向かい風なのか

・どこまでリスクを受入られるのか

・その基準に対してどのようにリスクに取り組み影響力を変えていけるのか

 

を考え行動する必要があり、リスクを運用管理できるかどうかがポイントになります。

 

マネジメントするとは

 PDCAを回すことを「マネジメント」と言います。

 リスクマネジメントは、その考え方の中心にはPDCA(計画→実行→チェック・評価→アクション・次はどうするのか)

を回す仕組み、継続的改善を目指す取り組みになっていることが不可欠です。

 

マネジメントするとは


PDCAを回すことを

「マネジメント」と言います。

 

 リスクマネジメントは、その考え方の中心には

  • PDCAを回す仕組み
  • 継続的改善を目指す取り組み

になっていることが不可欠です。

 

※ PDCAをまわす

   計画

    ↓

   実行

    ↓

   チェック・評価

    ↓

   アクション・次はどうするのか

 


 

リスクマネジメントは「組織の状況を確定する」ことから

 リスクマネジメントの取り組みを開始する際には、まず自分たちの組織の状況が、どのようなものなのかを

はっきりと把握することから始めなければなりません。これを規格では、「組織の状況の確定」と呼んでします。

 

 具体的には、組織が目指すべき目標や解決すべき課題、また課題を検討するうえで必要な

  1. 外部条件を把握します。(法規制、ステークホルダーの要求、経済・社会等の外部環境)
  2. 内部条件を把握します。(経営資源、責任権限、組織構成等)
  3. リスクの基準の想定

などを行います。

 この作業は、リスクのアセスメントの前作業(前工程)にあたります。

 

コミュニケーション及び協議

リスクコミュニケーションとはリスクに関係のあるステークホルダー(利害関係者)への情報伝達・交換など情報の

共有化を図り、必要に応じて専門家からの助言を受けるなどをさします。

 具体的には、リスクマネジメント導入の必要性の説明や目線合わせ、組織外のステークホルダに対する協力要請

などが該当します。

 

 

モニタリング及びレビュー

 継続的改善の要がこの検証・是正のステップです。

 リスクマネジメントの活動がきちんと実施されているかどうか、リスクマネジメントの目的と目標が達成できて

いるのかどうかを継続的にチェックすることが重要です。

 

リスクマネジメント

 リスクマネジメントとは、リスクを組織的に管理(マネジメント)し、損失などの回避または低減をはかるプロセスをいいます。

 リスクマネジメントは、主に

  • 組織の状況の確定
  • リスクアセスメント
  • リスク対応

とから成ります。

 リスクアセスメントは、下記のプロセス全体を指します。

1. リスク特定

 リスク(設定された目標の達成を妨害、低下、または遅延させるかもしれない事象)を発見し、認識し、記述するプロセス

2. リスク分析

 特定されたリスクの特質を理解し、原因、影響度や発生確率を分析しリスクレベルを決定するプロセス

3. リスク評価  リスク分析の結果をリスク基準と比較し、対応の必要性の有無や優先順位を決定するプロセス
リスク対応

 JIS Q 2001およびGuide73;2002では、リスク対応には、回避、最適化(低減)、移転、受容(保有)の4つの

考え方があり、この4つの分類は永らくリスクマネジメントの共通する概念でした。

  ◆ ISO27001:2005 のリスクマネジメントはこの考え方を採用しています。

 

 今回の JIS Q 31000ではリスクマネジメント対応について、より詳しく考察をすることにより、次の7つの対応

の選択肢が提示されました。

  ◆ ISO27001:2013 のリスクマネジメントは、共通化の観点からこの考え方を採用しました。

 

(JIS Q 2001)

リスクを変更させる方策は、組織の方針に応じて、次の4つの選択肢から選択する。

リスク

低減

リスクに対して適切な管理策を適用する

リスク

移転

事業を他者にアウトソースしたり、何らかの形で保険による担保を行うといった移転や担保を実施する

リスク

回避

リスクを構成する要素の執行や運用を停止する

 

リスクの受容

あらかじめ定めた受入レベル以下のリスクを受け入れる

 

組織はこの選択に応じて、管理の方法を詳細化する。

 

これに対して、JIS Q 31000 では、次のように対応策を整理されています。

(JIS Q 31000)

 リスク対応には、回避、低減、除去、共有、保有など複数の選択肢が考えられます。

どの方法を選択するかは、択一ではなくリスク対応の目的、組織の諸事情を勘案し判断することになります。

 

 リスク対応を機能面で見た場合、「リスクコントロール」「リスクファイナンシング」に分けられます。

  • リスクコントロールとは、損害予防または拡大防止のことをいい、
  • リスクファイナンシングは損害を復旧させるために金銭的・財務的な手当をすること

をいいます。

 これらを組み合わせて、効果的なリスク対応を計ります。

 

ISMS/QMS/RTSMS 専門事務所

(株)コンサルティングファーム

 

  〒060-0013 札幌市中央区北13条西18丁目36-90 

           TEL:070-5048-1227

           受付時間10~17時)

 e-mail; info@isms-consal.jp 

お気軽にご相談ください

お問合せはこちらから

ホームページ作成