Q 31000:2019 (ISO 31000:2018)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 2
2 引用規格························································································································· 2
3 用語及び定義 ··················································································································· 2
4 原則······························································································································· 4
5 枠組み···························································································································· 6
5.1 一般 ···························································································································· 6
5.2 リーダーシップ及びコミットメント··················································································· 6
5.3 統合 ···························································································································· 7
5.4 設計 ···························································································································· 7
5.5 実施 ···························································································································· 9
5.6 評価 ···························································································································· 9
5.7 改善 ···························································································································· 9
6 プロセス························································································································ 10
6.1 一般 ··························································································································· 10
6.2 コミュニケーション及び協議 ·························································································· 10
6.3 適用範囲,状況及び基準 ································································································ 11
6.4 リスクアセスメント ······································································································ 12
6.5 リスク対応 ·················································································································· 13
6.6 モニタリング及びレビュー ····························································································· 15
6.7 記録作成及び報告 ········································································································· 15
Q 31000:2019 (ISO 31000:2018)
(2)
まえがき
この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本
工業規格である。これによって,JIS Q 31000:2010は改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
日本工業規格 JIS
Q 31000:2019
(ISO 31000:2018)
リスクマネジメント−指針
Risk management-Guidelines
序文
この規格は,2018年に第2版として発行されたISO 31000を基に,技術的内容及び構成を変更すること
なく作成した日本工業規格である。
この規格は,リスクのマネジメントを行い,意思を決定し,目的の設定及び達成を行い,並びにパフォ
ーマンスの改善のために,組織における価値を創造し保護する人々が使用するためのものである。
あらゆる業態及び規模の組織は,自らの目的達成の成否を不確かにする外部及び内部の要素並びに影響
力に直面している。
リスクマネジメントは,反復して行うものであり,戦略の決定,目的の達成及び十分な情報に基づいた
決定に当たって組織を支援する。
リスクマネジメントは,組織統治及びリーダーシップの一部であり,あらゆるレベルで組織のマネジメ
ントを行うことの基礎となる。リスクマネジメントは,マネジメントシステムの改善に寄与する。
リスクマネジメントは,組織に関連する全ての活動の一部であり,ステークホルダとのやり取りを含む。
リスクマジメントは,人間の行動及び文化的要素を含めた組織の外部及び内部の状況を考慮するもので
ある。
リスクマネジメントは,図1に示すように,この規格に記載する原則,枠組み及びプロセスに基づいて
行われる。これらの構成要素は,組織の中にその全て又は一部が既に存在することもあるが,リスクマネ
ジメントが効率的に,効果的に,かつ,一貫性をもって行われるようにするためには,それらを適応又は
改善する必要がある場合もある。
2
Q 31000:2019 (ISO 31000:2018)
図1−原則,枠組み及びプロセス
1
適用範囲
この規格は,組織が直面するリスクのマネジメントを行うことに関して,適用可能な指針を示す。これ
らの指針は,あらゆる組織及びその状況に合わせて適用することができる。
この規格は,あらゆる種類のリスクのマネジメントを行うための共通の取組み方を提供しており,特定
の産業又は部門に限るものではない。
この規格は,組織が存在している限り使用可能であり,あらゆるレベルにおける意思決定を含め,全て
の活動に適用できる。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 31000:2018,Risk management−Guidelines(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2
引用規格
この規格には,引用規格はない。
3
用語及び定義
この規格で用いる主な用語及び定義は,次による。
なお,ISO及びIECは,標準化に使用するための用語上のデータベースを次のアドレスに維持している。
− ISO Online browsing platform:http://www.iso.org/obp
− IEC Electropedia:http://www.electropedia.org/
価値の創出
及び
保護
動的
包含
組織
への
適合
体系化
及び
包括
利用可能
な最善
の情報
人的
及び
文化的要因
継続的
改善
統合
設計
リーダーシップ
及び
コミットメント
実施
評価
改善
統合
記録作成及び報告
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
及
び
協
議
適用範囲,
状況,基準
リスク対応
リスクアセスメント
モ
ニ
タ
リ
ン
グ
及
び
レ
ビ
ュ
ー
リスク特定
リスク分析
リスク評価
枠組み(箇条5)
プロセス(箇条6)
原則(箇条4)
3
Q 31000:2019 (ISO 31000:2018)
3.1
リスク(risk)
目的に対する不確かさの影響。
注記1 影響とは,期待されていることからかい(乖)離することをいう。影響には,好ましいもの,
好ましくないもの,又はその両方の場合があり得る。影響は,機会又は脅威を示したり,創
り出したり,もたらしたりすることがあり得る。
注記2 目的は,様々な側面及び分野をもつことがある。また,様々なレベルで適用されることがあ
る。
注記3 一般に,リスクは,リスク源(3.4),起こり得る事象(3.5)及びそれらの結果(3.6)並びに
起こりやすさ(3.7)として表される。
3.2
リスクマネジメント(risk management)
リスク(3.1)について,組織を指揮統制するための調整された活動。
3.3
ステークホルダ(stakeholder)
ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか又はその影響を受けると認識し
ている,個人又は組織。
注記 “利害関係者”を“ステークホルダ”の代わりに使用することができる。
3.4
リスク源(risk source)
それ自体又はほかとの組合せによって,リスク(3.1)を生じさせる力を潜在的にもっている要素。
3.5
事象(event)
ある一連の周辺状況の出現又は変化。
注記1 事象は,発生が一度以上であることがあり,幾つかの原因及び幾つかの結果(3.6)をもつこ
とがある。
注記2 事象は,予想していたが起こらないこと,又は予想していなかったが起きることがある。
注記3 事象がリスク源であることもある。
3.6
結果(consequence)
目的に影響を与える事象(3.5)の結末。
注記1 結果は,確かなことも不確かなこともあり,目的に対して好ましい又は好ましくない直接的
影響又は間接的影響を与えることもある。
注記2 結果は,定性的にも定量的にも表現されることがある。
注記3 いかなる結果も,波及的影響及び累積的影響によって増大することがある。
3.7
起こりやすさ(likelihood)
何かが起こる可能性。
注記1 リスクマネジメント(3.2)では,“起こりやすさ”という用語は,何かが起こるという可能
性を表すために使われる。“起こりやすさ”の定義,測定又は判断は,主観的か若しくは客観
4
Q 31000:2019 (ISO 31000:2018)
的か,又は定性的か若しくは定量的かを問わない。
また,“起こりやすさ”は,一般的な用語を用いて表現するか,又は数学的(例えば,発生
確率,所定期間内の頻度など)に表現するかは問わない。
注記2 幾つかの言語では,英語の“likelihood(起こりやすさ)”と全く同じ意味の語がなく,同義
語の“probability(発生確率)”がしばしば使用される。しかし,英語の“probability”は,数
学用語としてしばしば狭義に解釈される。したがって,リスクマネジメント用語では,英語
以外の多くの言語において“probability”がもつような幅広い解釈がなされることが望ましい
という意図の下で“likelihood”を使用する。
3.8
管理策(control)
リスク(3.1)を維持及び/又は修正する対策。
注記1 管理策は,リスクを維持及び/又は修正するプロセス,方針,方策,実務又はその他の条件
及び/若しくは活動を含む。ただし,これらに限定されない。
注記2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
4
原則
リスクマネジメントの意義は,価値の創出及び保護である。リスクマネジメントは,パフォーマンスを
改善し,イノベーションを促進し,目的の達成を支援する。
図2に示す原則は,有効かつ効率的なリスクマネジメントの特徴に関する指針を示し,リスクマネジメ
ントの価値を伝え,リスクマネジメントの意図及び意義を説明したものである。原則は,リスクのマネジ
メントを行うための土台であり,組織のリスクマネジメントの枠組み及びプロセスを確立する際には,原
則を検討することが望ましい。不確かさが目的に及ぼす影響のマネジメントを行うことが,これらの原則
によって可能になることが望ましい。
5
Q 31000:2019 (ISO 31000:2018)
図2−原則
有効なリスクマネジメントは,図2の要素を要求し,更に次に示すように説明することができる。
a) 統合 リスクマネジメントは,組織の全ての活動に統合されている。
b) 体系化及び包括 リスクマネジメントの,体系化され,かつ,包括的な取組み方は,一貫性のある比
較可能な結果に寄与する。
c) 組織への適合 リスクマネジメントの枠組み及びプロセスは,対象とする組織の,目的に関連する外
部及び内部の状況に合わせられ,均衡がとれている。
d) 包含 ステークホルダの適切で時宜を得た参画は,彼らの知識,見解及び認識を考慮することを可能
にする。これが,意識の向上,及び十分な情報に基づくリスクマネジメントにつながる。
e) 動的 組織の外部及び内部の状況の変化に伴って,リスクが出現,変化又は消滅することがある。リ
スクマネジメントは,これらの変化及び事象を適切に,かつ,時宜を得て予測し,発見し,認識し,
それらの変化及び事象に対応する。
f)
利用可能な最善の情報 リスクマネジメントへのインプットは,過去及び現在の情報,並びに将来の
予想に基づく。リスクマネジメントは,これらの情報及び予想に付随する制約及び不確かさを明確に
考慮に入れる。情報は時宜を得ており,明確であり,かつ,関連するステークホルダが入手できるこ
とが望ましい。
g) 人的要因及び文化的要因 人間の行動及び文化は,それぞれのレベル及び段階においてリスクマネジ
メントの全ての側面に大きな影響を与える。
h) 継続的改善 リスクマネジメントは,学習及び経験を通じて継続的に改善される。
価値の創出
及び
保護
動的
包含
組織
への
適合
体系化
及び
包括
利用可能
な最善
の情報
人的
及び
文化的要因
継続的
改善
統合
6
Q 31000:2019 (ISO 31000:2018)
5
枠組み
5.1
一般
リスクマネジメントの枠組みの意義は,リスクマネジメントを組織の重要な活動及び機能に統合すると
きに組織を支援することである。リスクマネジメントの有効性は,意思決定を含む組織統治への統合にか
かっている。そのためには,ステークホルダ,特にトップマネジメントの支援が必要である。
枠組みの策定は,組織全体におけるリスクマネジメントの統合,設計,実施,評価及び改善を含む。図
3は,枠組みの構成要素を示したものである。
図3−枠組み
組織は,既存のリスクマネジメントの方策及びプロセスを評価し,かい離を分析し,枠組みの中でこれ
らのかい離に取り組むことが望ましい。
枠組みの構成要素と,それらの構成要素が共に機能する仕方は,組織の必要性に合わせて調整すること
が望ましい。
5.2
リーダーシップ及びコミットメント
トップマネジメント及び監督機関(該当する場合)は,リスクマネジメントが組織の全ての活動に統合
されることを確実にすることが望ましい。また,次の事項を通じて,リーダーシップ及びコミットメント
を示すことが望ましい。
− 枠組みの全ての要素を組織に合わせて実施する。
− リスクマネジメントの取組み方,計画又は活動方針を確定する声明又は方針を公表する。
− 必要な資源がリスクのマネジメントを行うことに配分されることを確実にする。
− 権限,責任及びアカウンタビリティを,組織内の適切な階層に割り当てる。
リーダーシップ及びコミットメントは,組織の次の事項を促進する。
− リスクマネジメントを,組織の目的,戦略及び文化と整合させる。
設計
リーダーシップ
及び
コミットメント
実施
評価
改善
統合
7
Q 31000:2019 (ISO 31000:2018)
− 組織の全ての義務,及び組織の任意のコミットメントを認識し,これらに取り組む。
− リスク基準の策定の指針として組織が取ることができる,又は取ることができないリスクの大きさ及
び種類を確定し,それらのリスクが組織及びステークホルダに伝達されることを確実にする。
− リスクマネジメントの価値を組織及び組織のステークホルダに伝達する。
− リスクの体系的モニタリングを推進する。
− リスクマネジメントの枠組みが組織の状況に対して常に適切であることを確実にする。
トップマネジメントはリスクのマネジメントを行うことに責任を負い,監督機関はリスクマネジメント
を監視する責任を負う。監督機関は,しばしば次の事項を行うことを期待され又は必要とされる。
− 組織の目的を決定する際にリスクが十分に検討されることを確実にする。
− 組織が目的の追求に当たって直面するリスクを理解する。
− これらのリスクのマネジメントを行うためのシステムが実施され,有効に運用されることを確実にす
る。
− 組織の目的に照らして,それらのリスクが適切であることを確実にする。
− それらのリスク及びそれらのマネジメントに関する情報が適切に伝達されることを確実にする。
5.3
統合
リスクマネジメントの統合は,組織の体制及び状況の理解にかかっている。体制は,組織の意図,目標
及び複雑さによって異なる。リスクは,組織の体制のあらゆる部分でマネジメントされる。組織の全員が,
リスクのマネジメントを行うことに対する責任を負っている。
組織統治は,組織の意図を達成するために,組織の方向性,組織の外部関係及び内部関係,並びに規則,
プロセス及び方策を導く。経営体制は,組織統治の方向性を,望ましいレベルの持続可能なパフォーマン
ス及び長期的な継続性を達成するために必要な戦略及び関連する目的へと転換する。組織内部におけるア
カウンタビリティ及び監視の役割の決定は,組織の統治の不可欠な部分である。
リスクマネジメントと組織との統合は,動的かつ反復的なプロセスである。この統合は,組織の必要性
及び文化に合わせることが望ましい。リスクマネジメントは,組織の意図,組織統治,リーダーシップ及
びコミットメント,戦略,目的並びに業務活動の一部となり,これらと分離していないことが望ましい。
5.4
設計
5.4.1
組織及び組織の状況の理解
リスクのマネジメントを行うための枠組みを設計するに当たって,組織は,外部及び内部の状況を検証
し,理解することが望ましい。
組織の外部状況の検証には,次の事項が含まれる場合がある。ただし,これらに限らない。
− 国際,国内,地方又は近隣地域を問わず,社会,文化,政治,法律,規制,金融,技術,経済及び環
境に関する要因
− 組織の目的に影響を与える,鍵となる原動力及び傾向
− 外部ステークホルダとの関係,並びに外部ステークホルダの認知,価値観,必要性及び期待
− 契約上の関係及びコミットメント
− ネットワークの複雑さ,及び依存関係
組織の内部状況の検証には,次の事項が含まれる場合がある。ただし,これらに限らない。
− ビジョン,使命及び価値観
− 組織統治,組織体制,役割及びアカウンタビリティ
− 戦略,目的及び方針
8
Q 31000:2019 (ISO 31000:2018)
− 組織の文化
− 組織が採用する規格,指針及びモデル
− 資源及び知識として理解される能力(例えば,資本,時間,人員,知的財産,プロセス,システム,
技術)
− データ,情報システム及び情報の流れ
− 内部ステークホルダの認知及び価値観を考慮に入れた,内部ステークホルダとの関係
− 契約上の関係及びコミットメント
− 相互依存及び相互関連
5.4.2
リスクマネジメントに関するコミットメントの明示
トップマネジメント及び監督機関(該当する場合)は,リスクマネジメントに対する継続的なコミット
メントを行動で示し,明示することが望ましい。これは,組織の目的及びリスクマネジメントへのコミッ
トメントを明確に伝える方針,声明又はその他の形式で行うことができる。コミットメントには,次の事
項を含めることが望ましい。ただし,これらに限らない。
− 組織がリスクのマネジメントを行う意義,並びに組織の目的及びその他の方針とのつながり
− リスクマネジメントを組織全体の文化に統合する必要性を強めること
− リスクマネジメントと中核的事業活動及び意思決定との統合を主導すること
− 権限,責任及びアカウンタビリティ
− 必要な資源を利用可能にすること
− 相反する目的への対処の仕方
− 組織のパフォーマンス指標の中での測定及び報告
− レビュー及び改善
リスクマネジメントに関するコミットメントを,必要に応じて,組織内及びステークホルダに伝達する
ことが望ましい。
5.4.3
組織の役割,権限,責任及びアカウンタビリティの割当て
トップマネジメント及び監督機関(該当する場合)は,リスクマネジメントに関して,関連する役割の
アカウンタビリティ,責任及び権限が組織のあらゆる階層で割り当てられ,伝達されることを確実にし,
次の事項を行うことが望ましい。
− リスクマネジメントは,中核的な責務であることを強調する。
− リスクのマネジメントを行うためのアカウンタビリティ及び権限をもつ個人(リスク所有者)を特定
する。
5.4.4
資源の配分
トップマネジメント及び監督機関(該当する場合)は,リスクマネジメントのための適切な資源の割当
てを確実にすることが望ましい。資源には,次の事項が含まれる場合がある。ただし,これらに限らない。
− 人員,技能,経験及び力量
− リスクのマネジメントを行うために使用する,組織のプロセス,方法及び手段
− 文書化されたプロセス及び手順
− 情報及び知識のマネジメントシステム
− 専門的な人材開発及び教育訓練の必要性
組織は,既存の資源の能力及び制約要因を考慮することが望ましい。
9
Q 31000:2019 (ISO 31000:2018)
5.4.5
コミュニケーション及び協議の確立
組織は,枠組みを支え,リスクマネジメントの効果的な適用を促進するために,コミュニケーション及
び協議に対する,認められた取組み方を確立することが望ましい。コミュニケーションは,対象者とする
相手との情報共有を含む。また,協議は,意思決定又はその他の活動に寄与し,これらを形成することを
期待してフィードバックを提供する参加者をも含む。関連する場合,コミュニケーション及び協議の方法
及び内容は,ステークホルダの期待を反映することが望ましい。
コミュニケーション及び協議は,適時に行うことが望ましい。また,関連する情報が適切に収集され,
照合され,統合され,共有されること,及びフィードバックが提供され,改善がなされることを確実にす
ることが望ましい。
5.5
実施
組織は,次の事項を行うことによって,リスクマネジメントの枠組みを実施することが望ましい。
− 時間及び資源を含めた適切な計画を策定する。
− 様々な種類の決定が,組織全体のどこで,いつ,どのように,また,誰によって下されるのかを特定
する。
− 必要に応じて,適用される意思決定プロセスを修正する。
− リスクのマネジメントを行うことに関する組織の取決めが明確に理解され,実施されることを確実に
する。
枠組みの実施を成功させるためには,ステークホルダが参画し,自ら認識することが必要である。これ
によって,組織は,新たな不確かさ又は後続の不確かさが発生する都度,それらを考慮に入れることを可
能にし,また,意思決定において不確かさに明確な形で取り組むことができる。
適切に設計され,実施されたリスクマネジメントの枠組みは,リスクマネジメントプロセスが,意思決
定を含め,組織全体の全ての活動の一部になること,並びに外部及び内部の状況の変化が適切に取り入れ
られることを確実にする。
5.6
評価
リスクマネジメントの枠組みの有効性を評価するために,組織は,次の事項を行うことが望ましい。
− 意義,実施計画,指標及び期待される行動に照らして,リスクマネジメントの枠組みのパフォーマン
スを定期的に測定する。
− リスクマネジメントの枠組みが組織の目的達成を支援するために適した状態か否かを明確にする。
5.7
改善
5.7.1
適応
組織は,外部及び内部の変化に対応できるように,リスクマネジメントの枠組みを継続的にモニタリン
グし,適応させることが望ましい。それによって,組織は自らの価値を高めることができる。
5.7.2
継続的改善
組織は,リスクマネジメントの枠組みの適切性,妥当性及び有効性,並びにリスクマネジメントプロセ
スを統合する方法を継続的に改善することが望ましい。
関連するかい離又は改善の機会が特定された時点で,組織は計画及び実施事項を策定し,実施に関して
アカウンタビリティをもつ人にそれらを割り当てることが望ましい。これらの改善は,実施された時点で
リスクマネジメントの向上に寄与するはずである。
10
Q 31000:2019 (ISO 31000:2018)
6
プロセス
6.1
一般
リスクマネジメントプロセスには,方針,手順及び方策を,コミュニケーション及び協議,状況の確定,
並びにリスクのアセスメント,対応,モニタリング,レビュー,記録作成及び報告の活動に体系的に適用
することが含まれる。このプロセスを図4に示す。
図4−プロセス
リスクマネジメントプロセスは,マネジメント及び意思決定における不可欠な部分であることが望まし
い。また,組織の体制,業務活動及びプロセスに組み込まれていることが望ましい。リスクマネジメント
プロセスは,戦略,業務活動,プログラム又はプロジェクトの段階で適用することができる。
組織の目的を達成することに合わせ,かつ,適用される外部及び内部の状況に適応するために,組織の
中で,リスクマネジメントプロセスが,多数適用されている場合がある。
リスクマネジメントプロセス全体にわたって,人間の行動及び文化がもつ動的で可変的な性質を考慮す
ることが望ましい。
リスクマネジメントプロセスは,しばしば逐次的なものとして表されるが,実務では反復的である。
6.2
コミュニケーション及び協議
コミュニケーション及び協議の意義は,関連するステークホルダが,リスク,意思決定の根拠,及び特
定の活動が必要な理由が理解できるように支援することである。コミュニケーションは,リスクに対する
意識及び理解の促進を目指す。一方,協議は,意思決定を裏付けるためのフィードバック及び情報の入手
を含む。コミュニケーションと協議とを密接に組み合わせることによって,情報の機密性及び完全性,並
びに個人のプライバシー権を考慮しながら,事実に基づく,時宜を得た,適切で正確かつ理解可能な情報
交換が促進される。
記録作成及び報告
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
及
び
協
議
適用範囲,
状況,基準
リスク対応
リスクアセスメント
モ
ニ
タ
リ
ン
グ
及
び
レ
ビ
ュ
ー
リスク特定
リスク分析
リスク評価
11
Q 31000:2019 (ISO 31000:2018)
適切な外部及び内部のステークホルダとのコミュニケーション及び協議は,リスクマネジメントプロセ
スの各段階及び全体で実施することが望ましい。
コミュニケーション及び協議の狙いは,次のとおりである。
− リスクマネジメントプロセスの各段階に関して,異なった領域の専門知識を集める。
− リスク基準を定め,リスクを評価する場合には,異なった見解について適切に考慮することを確実に
する。
− リスク監視及び意思決定を促進するために十分な情報を提供する。
− リスクの影響を受ける者たちの間に一体感及び当事者意識を構築する。
6.3
適用範囲,状況及び基準
6.3.1
一般
適用範囲,状況及び基準を確定する意義は,リスクマネジメントプロセスを組織に合わせ,効果的なリ
スクアセスメント及び適切なリスク対応を可能にすることである。適用範囲,状況及び基準は,プロセス
の適用範囲を定め,外部及び内部の状況を理解することを含む。
6.3.2
適用範囲の決定
組織は,リスクマネジメント活動の適用範囲を定めることが望ましい。
リスクマネジメントプロセスは,様々なレベル(例えば,戦略,業務活動,プログラム,プロジェクト
又はその他の活動)で適用されるため,検討の対象となる適用範囲,検討の対象となる関連目的,並びに
それらと組織の目的との整合を明確にすることが重要である。
取組み方を計画する際の検討事項は,次を含む。
− 目的,及び下す必要のある決定
− プロセスにおいてとられる対策によって期待される結末
− 時間,場所,個々の包含及び除外
− 適切なリスクアセスメントの手段及び手法
− 必要とされる資源,責任,及び残すべき記録
− 他のプロジェクト,プロセス及び活動との関係
6.3.3
外部及び内部の状況
外部及び内部の状況とは,組織が自らの目的を定め,その目的を達成しようとする状態を取り巻く環境
である。
リスクマネジメントプロセスの状況は,組織が業務活動を行う外部及び内部の環境の理解から確定され
ることが望ましい。また,リスクマネジメントプロセスが適用される活動の個々の環境を反映することが
望ましい。
状況の理解は,次に示す理由で重要である。
− リスクマネジメントは,組織の目的及び活動に沿って実施される。
− 組織要因がリスク源になることがある。
− リスクマネジメントプロセスの意義及び範囲が,組織全体の目的と相互に関係していることがある。
− 組織は,5.4.1に挙げた要因を考慮することによって,リスクマネジメントプロセスの外部及び内部の
状況を確立することが望ましい。
6.3.4
リスク基準の決定
組織は,目的に照らして,取ってもよいリスク又は取ってはならないリスクの大きさ及び種類を規定す
ることが望ましい。組織はまた,リスクの重大性を評価し,意思決定プロセスを支援するための基準を決
12
Q 31000:2019 (ISO 31000:2018)
定することが望ましい。リスク基準は,リスクマネジメントの枠組みと整合させ,検討対象になっている
活動に特有の意義及び範囲にリスク基準を合わせることが望ましい。リスク基準は,組織の価値観,目的
及び資源を反映し,リスクマネジメント方針及び声明と一致していることが望ましい。基準は,組織の義
務及びステークホルダの見解を考慮に入れて規定することが望ましい。
リスク基準は,リスクアセスメントプロセスの開始時に確定することが望ましいが,リスク基準は動的
であるため,継続的にレビューを行い,必要に応じて修正することが望ましい。
リスク基準を設定するに当たっては,次の事項を考慮することが望ましい。
− 結末及び目的(有形及び無形の両方)に影響を与える不確かさの特質及び種類
− 結果(好ましい結果及び好ましくない結果の両方)及び起こりやすさをどのように定め,また,測定
するか。
− 時間に関連する要素
− 測定法の一貫性
− リスクレベルをどのように決定するか。
− 複数のリスクの組合せ及び順序をどのように考慮に入れるか。
− 組織の能力
6.4
リスクアセスメント
6.4.1
一般
リスクアセスメントとは,リスク特定,リスク分析及びリスク評価を網羅するプロセス全体を指す。
リスクアセスメントは,ステークホルダの知識及び見解を生かし,体系的,反復的,協力的に行われる
ことが望ましい。必要に応じて,追加的な調査で補完し,利用可能な最善の情報を使用することが望まし
い。
6.4.2
リスク特定
リスク特定の意義は,組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し,認識し,
記述することである。リスクの特定に当たっては,現況に即した,適切で最新の情報が重要である。
組織は,一つ以上の目的に影響するかもしれない不確かさを特定するために,様々な手法を使用するこ
とができる。次の要素,及びこれらの要素間の関係を考慮することが望ましい。
− 有形及び無形のリスク源
− 原因及び事象
− 脅威及び機会
− ぜい(脆)弱性及び能力
− 外部及び内部の状況の変化
− 新たに発生するリスクの指標
− 資産及び組織の資源の性質及び価値
− 結果及び結果が目的に与える影響
− 知識の限界及び情報の信頼性
− 時間に関連する要素
− 関与する人の先入観,前提及び信条
組織は,リスク源が組織の管理下にあるか否かを問わず,リスクを特定することが望ましい。様々な有
形又は無形の結果をもたらす可能性のある2種類以上の結末が存在するかもしれないことを考慮すること
が望ましい。
13
Q 31000:2019 (ISO 31000:2018)
6.4.3
リスク分析
リスク分析の意義は,必要に応じてリスクのレベルを含め,リスクの性質及び特徴を理解することであ
る。リスク分析には,不確かさ,リスク源,結果,起こりやすさ,事象,シナリオ,管理策及び管理策の
有効性の詳細な検討が含まれる。一つの事象が複数の原因及び結果をもち,複数の目的に影響を与えるこ
とがある。
リスク分析は,分析の意義,情報の入手可能性及び信頼性,並びに利用可能な資源に応じて,様々な詳
細さ及び複雑さの度合いで行うことができる。分析手法は,周辺状況及び意図する用途に応じて,定性的,
定量的,又はそれらを組み合わせたものにすることができる。
リスク分析では,例えば,次の要素を検討することが望ましい。
− 事象の起こりやすさ及び結果
− 結果の性質及び大きさ
− 複雑さ及び結合性
− 時間に関係する要素及び変動性
− 既存の管理策の有効性
− 機微性及び機密レベル
リスク分析は,意見の相違,先入観,リスクの認知及び判断によって影響されることがある。その他の
影響としては,使用する情報の質,加えられた前提及び除外された前提,手法の限界,並びに実行方法が
挙げられる。これらの影響を検討し,文書化し,意思決定者に伝達することが望ましい。
非常に不確かな事象は,定量化が困難なことがある。重大な結果をもたらす事象を分析する場合,これ
は課題になる。このような場合は,一般的に手法の組合せを用いることによって洞察が深まる。
リスク分析は,リスク評価へのインプット,リスク対応の必要性及び方法,並びに最適なリスク対応の
戦略及び方法の決定へのインプットを提供する。結果は,選択を行う場合に決定を下すための洞察力を提
供する。また,選択肢は,様々な種類及びレベルのリスクを伴う。
6.4.4
リスク評価
リスク評価の意義は,決定を裏付けることである。リスク評価は,どこに追加の行為をとるかを決定す
るために,リスク分析の結果と確立されたリスク基準との比較を含む。これによって,次の事項の決定が
もたらされる。
− 更なる活動は行わない。
− リスク対応の選択肢を検討する。
− リスクをより深く理解するために,更なる分析に着手する。
− 既存の管理策を維持する。
− 目的を再考する。
意思決定では,より広い範囲の状況,並びに外部及び内部のステークホルダにとっての実際の結果及び
認知された結果を考慮することが望ましい。
組織の適切なレベルで,リスク評価の結果を記録し,伝達し,更に検証することが望ましい。
6.5
リスク対応
6.5.1
一般
リスク対応の意義は,リスクに対処するための選択肢を選定し,実施することである。
リスク対応には,次の事項の反復的プロセスが含まれる。
− リスク対応の選択肢の策定及び選定
14
Q 31000:2019 (ISO 31000:2018)
− リスク対応の計画及び実施
− その対応の有効性の評価
− 残留リスクが許容可能かどうかの判断
− 許容できない場合は,更なる対応の実施
6.5.2
リスク対応の選択肢の選定
最適なリスク対応の選択肢の選定には,目的の達成に関して得られる便益と,実施の費用,労力又は不
利益との均衡をとることが含まれる。
リスク対応の選択肢は,必ずしも相互に排他的なものではなく,また,全ての周辺状況に適切であると
は限らない。リスク対応の選択肢には,次の事項の一つ以上が含まれてもよい。
− リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する。
− ある機会を追求するために,リスクを取る又は増加させる。
− リスク源を除去する。
− 起こりやすさを変える。
− 結果を変える。
− (例えば,契約,保険購入によって)リスクを共有する。
− 情報に基づいた意思決定によって,リスクを保有する。
リスク対応の根拠は,単なる経済的な考慮事項より幅広いため,組織の義務,任意のコミットメント及
びステークホルダの見解の全てを考慮に入れることが望ましい。リスク対応の選択肢の選定は,組織の目
的,リスク基準及び利用可能な資源に基づいて行われることが望ましい。
リスク対応の選択肢を選定する際に,組織は,ステークホルダの価値観,認知及び関与の可能性,並び
にステークホルダとのコミュニケーション及び協議に最適な仕方を考慮することが望ましい。有効性は同
じでも,ステークホルダによってリスク対応策の受け入れやすさは異なることがある。
慎重に設計し,実施したとしても,リスク対応は予想した結末を生まないかもしれないし,意図しない
結果をもたらすこともある。様々な形態のリスク対応を有効にし,その有効性が維持されることを保証す
るためには,モニタリング及びレビューをリスク対応実施の一体部分とする必要がある。
リスク対応が,新たにマネジメントを行うことが必要なリスクをもたらす可能性もある。
利用可能なリスク対応の選択肢がない場合,又はリスク対応の選択肢によってリスクが十分に変化しな
い場合には,そのリスクを記録し,継続的なレビューの対象とすることが望ましい。
意思決定者及びその他のステークホルダは,リスク対応後の残留リスクの性質及び程度を知ることが望
ましい。残留リスクは,文書化し,モニタリングし及びレビューし,並びに必要に応じて追加的対応の対
象とすることが望ましい。
6.5.3
リスク対応計画の準備及び実施
リスク対応計画の意義は,関与する人々が取決めを理解し,計画に照らして進捗状況をモニタリングで
きるように,選定した対応選択肢をどのように実施するかを規定することである。対応計画には,リスク
対応を実施する順序を明記することが望ましい。
対応計画は,適切なステークホルダと協議の上で,組織の経営計画及びプロセスに統合されることが望
ましい。
対応計画で提供される情報には,次の事項を含めることが望ましい。
− 期待される取得便益を含めた,対応選択肢の選定の理由
− 計画の承認及び実施に関してアカウンタビリティ及び責任をもつ人
15
Q 31000:2019 (ISO 31000:2018)
− 提案された活動
− 不測の事態への対応を含む,必要とされる資源
− パフォーマンスの尺度
− 制約要因
− 必要な報告及びモニタリング
− 活動が実行され,完了することが予想される時期
6.6
モニタリング及びレビュー
モニタリング及びレビューの意義は,プロセスの設計,実施及び結末の質及び効果を保証し,改善する
ことである。責任を明確に定めた上で,リスクマネジメントプロセス及びその結末の継続的モニタリング
及び定期的レビューを,リスクマネジメントプロセスの計画的な部分とすることが望ましい。
モニタリング及びレビューは,プロセスの全ての段階で行うことが望ましい。モニタリング及びレビュ
ーは,計画,情報の収集及び分析,結果の記録作成,並びにフィードバックの提供を含む。
モニタリング及びレビューの結果が,組織のパフォーマンスマネジメント,測定及び報告活動全体に組
み込まれることが望ましい。
6.7
記録作成及び報告
適切な仕組みを通じて,リスクマネジメントプロセス及びその結末を文書化し,報告することが望まし
い。記録作成及び報告の狙いは,次のとおりである。
− 組織全体にリスクマネジメント活動及び結末を伝達する。
− 意思決定のための情報を提供する。
− リスクマネジメント活動を改善する。
− リスクマネジメント活動の責任及びアカウンタビリティをもつ人々を含めたステークホルダとのやり
取りを補助する。
文書化した情報の作成,保持及び取扱いに関する意思決定に際しては,情報の用途,情報の機微性,並
びに外部及び内部の状況を考慮することが望ましいが,考慮する事項はこれらに限らない。
報告は,組織の統治の不可欠な部分であり,ステークホルダとの会話の質を高め,トップマネジメント
及び監督機関が責任を果たすことができるように支援することが望ましい。報告に当たって考慮すべき要
素には,次の事項が含まれる。ただし,これらに限らない。
− 様々なステークホルダ,並びにそれらのステークホルダに特有の情報の必要性及び要求事項
− 報告の費用,頻度及び適時性
− 報告の方法
− 情報と組織の目的及び意思決定との関連性
参考文献
[1] JIS Q 0073:2010 リスクマネジメント−用語
[2] JIS Q 31010:2012 リスクマネジメント−リスクアセスメント技法