リスクマネジメント

リスクマネジメントの原則・枠組み・プロセス

【リスクマネジメントの全体像】

下図は、JISによるリスクマネジメントの全体像を図示したものである。

【リスクマネジメントの原則】

リスクマネジメントは、「リスクのマネジメントを行い、意思を決定し、目的の設定及び達成を行い、並びにパフォーマンスの改善のために、組織における価値を創造し保護する人々が使用するためのもの」である。

そして、リスクマネジメントの「原則」では、この「価値の創出及び保護」がリスクマネジメントの意義として中心的概念に位置付けられている。

また、上図にあるように、JISでは、「統合」「体系化及び包括」「組織への適合」「包含」「動的」「利用可能な最善の情報」「人的及び文化的要因」「継続的改善」という8つのキーワードを用いて、リスクマネジメントの「原則」について説明している。

【リスクマネジメントの枠組み】

JISによるリスクマネジメントの「枠組み」は、「統合」→「設計」→「実施」→「評価」→「改善」の5つの段階を1サイクルとして繰り返していくことをイメージするものとなっている。

多くの企業で採用される標準的な管理手法として名高い「PDCAサイクル」は、「Plan（設計）」→「Do（実施）」→「Check（評価）」→「Act（改善）」の4段階の頭文字を取ったものだが、上図で示される「枠組み」は、これら4段階に「統合」の段階を加えたものになっている。

「統合」の段階は、リスクマネジメントと組織のあらゆる活動とが乖離しないようにするためにある。「統合」の段階は、本規格が2019年に改正された際に新たに加えられたものであり、PDCAサイクルを組織のトップによる“リーダーシップ及びコミットメント”により統治するという考え方が打ち出されている。これは、旧規格からの主な改正点の一つである。

旧規格と比べると、2019年に公表された最新版では、“担当者による個別のリスク管理”よりもむしろ“経営者による経営目的に沿ったリスクマネジメント”を強調するようになったといった差違が見受けられる。

なお、JISによると、リスクマネジメントの有効性は、意思決定を含む組織統治への統合にかかっており、組織に関連する全ての活動の一部であり、ステークホルダとのやり取りを含むとされている。

【リスクマネジメントのプロセス】

JISによるリスクマネジメントの「プロセス」では、方針、手順及び方策を、コミュニケーション及び協議，状況の確定，並びにリスクのアセスメント、対応、モニタリング、レビュー、記録作成及び報告の活動に体系的に適用することが含まれる。

リスクマネジメントの「プロセス」のうち、デジタルコンテンツアセッサ（DCA）の実務として特に重要なのが、「リスクアセスメント」のプロセスである。

リスクアセスメントのプロセスは以下の3段階に分けられる。

・リスク特定：組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し、認識し、記述する。

・リスク分析：リスクの性質及び特徴を理解する。

・リスク評価：リスク対応の選択肢を検討したり、リスクをより深く理解するために更なる分析に着手したり、既存の管理策を維持したりするなどの決定がもたらされる。