ISO 31000の改訂ポイントと活用の奨め


アイソス2020年9月号の特集「企業が生き延びるためのリスクマネジメント」にて、横浜国立大学客員教授・野口和彦氏に「ISO 31000の改訂ポイントと活用の奨め 〜リスク管理からリスクマネジメントへ〜」をテーマとする論考を執筆いただきました。本ページではその全文を掲載しています。

1. ISO 31000の制定の意義



ISO 31000は、あらゆる組織のあらゆるリスクに対応することを前提とした規格であり、対象とする組織やリスクを限定していない。そのために、あらゆる組織のあらゆるリスクに関するマネジメントに対応できるものになっている。そして、この規格は、民間企業だけではなく、公的機関、一般団体のような組織にも適用するため、「組織」という用語で、リスクマネジメントの実施主体を示している。

また、組織における意思決定は、全社レベルの意思決定とは限定しておらず、ISO 31000は組織における部課等の業務やプロジェクト等のレベルの意思決定を支援することができる。

リスクマネジメントは、その適用範囲として好ましくない影響に対応する安全活動や保険活動等の特定の分野に限るものではなく、組織活動のあらゆる活動面において有効に機能するものである。

リスクマネジメントは、リスクへの対応を行うことを目的とした活動と理解されているが、ISO 31000ではリスクマネジメントを、組織の価値を創造し保護するものと位置付けている。リスクマネジメントは、組織目的の達成の支援を目的としているのである。そして、ISO 31000は、リスクマネジメントを個別のリスク対応の改善に止まらず、マネジメントの改善に寄与するとしている。このことは、ISOの全てのマネジメントシステムにおいて、リスク概念の活用が明示されたことによってより明確なものとなった。

ISO 31000は、ISOが策定した汎用リスクマネジメント規格であるが、リスクマネジメントの活動において一意的にこの規格の使用を求めているわけではない。組織で既に活用されているリスクマネジメントは、それぞれの適用分野でその分野に適したマネジメントの仕組みとして定着している。リスクマネジメントは、その適用分野とその組織の特徴を考慮した仕組みとするべきである。業務によっては、マネジメントの一部を受け持つものとして位置付けられている活動もあり、経営の中の一部の好ましくない影響に限定して対応を行うものもある。その分野に限定的に使用される限り、その仕組みはその分野において効果的であることが推定される。ただしこの場合、対象としたリスク分析の結果を全組織で共有する場合、他のリスクマネジメントの結果との関係に注意を要する。



2. ISO 31000の特徴



2.1 ISO 31000の位置付け

1つ目は、GAPが農業生産の経験を見える化する点です。家族的経営の中で親の手伝いをしながら自然に農業機械の操作や資材の使い方を見よう見まねで暗黙知という形で継承していた時代から、経営規模の拡大や他産業からの新規参入など、農業を知らない人が農作業をする例が増えています。その際、管理する側は作業者に明確な指示を出さなくてはなりません。自分一人が経験的に身につけていた気をつけなければいけない点を明確に説明する必要性が出てきました。GAPでは、農業をする上で気をつけなければならない食品安全や労働安全上の注意点が示されています。また、さまざまなGAPの基準の中には、それらの注意点を自分の農場でどのように管理するのか手順を求め、従業員に教育訓練を求めるものもあります。

2つ目は、GAPに取り組むことで食品安全を確保できる点です。農業は2018年の食品衛生法改正にともなうHACCP制度化の対象外ではありますが、食品安全は農業生産においても規模の大小を問わず全ての農業生産者が実現しなければならないことです。多くの消費者が気にする農薬使用についての基準だけでなく、栽培の段階で使用する水、土、肥料に関する基準や収穫後の衛生的な取扱いについても基準が設けられています。GAPには、食品安全のバトンをつないでいくために農業生産の過程で実践すべきことが記されています。

3つ目は、GAPには社会的課題について取り組むべき基準が設けられている点です。持続的な農業生産を行うためには、環境を維持していかなければなりませんし、働く人の安全確保や人権保護への配慮が求められます。また、畜産では世界的にアニマルウェルフェアの関心が高まっています。後述のとおり全てのGAPがこれらの要素を含むわけでは無いことに注意が必要ですが、例えば、日本GAP協会が運営するASIAGAP及びJGAPには、これら環境保全、労働安全、人権保護、アニマルウェルフェアといった要素が含まれています。

上記の3点は、いずれも農業経営の守備を固めることに他なりません。現代では事業を行う上での社会的責任が求められています。それは農業も例外ではありません。食品安全事故や労働災害事故を起こした時にその原因が特定できないままでは、取引先から信頼を回復することはできません。GAPは、農業経営における様々なリスクを管理し低減する手法です。そして、消費者の視点に立てば、GAPに取り組む農場で生産されたということは、食品安全はもちろん持続的な営農活動をしている目印になります。



2.2 ISO 31000におけるリスクとは何か



ISO 31000は何をリスクと考えるかを、組織に委ねている。このことにより、組織の個々の業務のリスク対応手法では無く、経営の視点を反映できる組織全体のリスクマネジメント手法として設計されている。

リスクは、人間が作った概念であり、様々な分野でリスク概念が活用されてきた。リスクマネジメントでは、それぞれの分野で個別に活用されてきたために、リスクの考え方も様々であった。工学や安全分野で使用されることが多いリスクの定義としては、米国原子力委員会の定義である「リスク=発生確率×被害の大きさ」やISO/IEC Guide51の定義である「危害の発生確率及びその危害の重大さの組み合わせ」がある。

一方、ISO 31000では、リスクは、「目的に対する不確かさの影響」と定義され、その注記1に「影響とは、期待されていることから乖離することをいう。影響には、好ましいもの、好ましくないもの、又はその両方の場合があり得る。影響は、機会又は脅威を示したり、創り出したり、もたらしたりすることがあり得る」(2018年版)と記されている。

この定義の特徴の一つ目は、目的との関係でリスクを定義したことである。この定義により、目的を明確に設定しなければ、リスクが定まらないことになる。これまでのリスクの把握は、リスク分析を行う担当者が自分の視点でリスクと考える事項を対象として行われてきたことが多かった。しかし、担当者の視点で捉えたリスクを全て合わせても、組織として検討が必要なリスクが整理されているという保証はない。組織にとって検討すべきリスクを特定していくためには、組織経営の視点でリスクを捉えていく必要がある。リスクが目的を設定してはじめて定義できるものであることは、リスク特定の段階から組織経営の視点でリスクを特定することが必要なことを示しており、さらにこの段階での経営者の関与が不可欠であることを示している。ここで使用されている目的という用語は、規格に記述されているように組織が目指す様々な目標が含まれる。

二つ目は、影響とは、期待されていることから、好ましいもの、好ましくないもの、又はその両方の場合があるとしたことである。この考え方によって、リスクの影響を好ましくないことに限定していないことになる。このリスクの定義により、ISO 31000は、リスクマネジメントが各分野の好ましくない影響の管理手法というレベルから、組織目標を達成する手法へと進化した。組織の意思決定において、好ましい影響と好ましくない影響との双方を考慮して判断を行うという概念は、大事であり、ISO 31000は、そのために活用できる規格になっている。

一般に31000のリスクの考え方は、影響は好ましいものと好ましくないものの両方と捉えられているが、この定義によれば、好ましくない影響だけをリスクの影響として捉えても良いことが分かる。



3. ISO 31000:2018の改訂



2018年版の基本的な考え方は、2009年版の考え方と章構成を継続している。2018年版の改訂では、活用時の事項が分かりやすいようにということを視点に改訂を行っている。ISO 31000は、2009年版も2018年版も基本的な考え方は変わっていないが、2009年版が、世界で初めての標準ガイドを発表するということで基本的な記述から始めているのに対して、2018年版は、規格の活用に向けて、その内容を具体的に記述している。以下に主な3つの改訂について記す。

1) リスクマネジメントの位置付けを「価値の創出及び保護」を中心に展開

2009年版で設定した“原則”(箇条4)を、“価値の創出及び保護”をリスクマネジメントの意義として中心的概念に位置付け、その周囲に、8つの原則を展開する構造に改定した。また、2009年版で作成した内容を、実際に活用しやすいように、以下の例のように組み替えを行った。

組み替え例:
「リスクマネジメントは不確かさにきちんと対処する。リスクマネジメントは、不確かさ、その不確かさの特質、そしてその不確かさにどのように対応できるか、についてきちんと考慮する」は、本規格では、e)動的の項で、「リスクマネジメントは、これらの変化及び事象を適切に、かつ、時宜を得て予測し、発見し、認識し、それらの変化及び事象に対応する」という項とf)利用可能な最善の情報の「リスクマネジメントは、これらの情報及び予想に付随する制約及び不確かさを明確に考慮に入れる」という項に置き換えられている。

2)枠組みを、統合を意識したPDCAサイクルに組み替え

枠組み(箇条5)について、従来のPDCAの考え方に変えて、“リーダーシップ及びコミットメント”に基づく組織全体のリスクマネジメントの“統合”の概念として、既存のリスクマネジメントと乖離しないような新たなPDCAサイクルを示した。

3)プロセスの追記修正

プロセスの項もリスクアセスメント及びリスク対応などの各項目に対して、リスクマネジメントを実行する際に分かりやすい記述に追加修正や組み替えを行った。主な例を以下に示す。

① 適用範囲とリスク基準の項を枠組みから、プロセスの章に移動している。
② リスク評価の「目的を再考する」という事項は2009年版には存在せず、本規格において新たに提案された事項である。これまでは、目的は不変の前提としてリスクを検討することが多かったが、組織内外の状況の変化によっては、目的自体の見直しを行う必要もある。
③ リスクアセスメントを効果的に行うために、“基準”と“記録作成及び報告”を追加した。



4. ISO 31000の活用



リスクマネジメントの主な活用は、以下の4つである。

1) リスクマネジメントを実施する際のガイドとして利用する
ISO 31000は、全社的な経営の観点でリスクマネジメントを適用する場合も、特定の事業所、部署、もしくはプロジェクトチームにおいて適用する場合にも活用できる。この場合、リスクマネジメントとリスク管理の差異を理解し、本規格の示す内容をよく理解し、自分の組織の特徴に応じて、その適用方法を検討することが重要である。

2) 他のマネジメント規格の不確かな影響を取り扱う際のガイドとして活用する
各マネジメントには、リスクを把握し対応する事項を持っている場合が多いために、ISO 31000を参照することにより、自分の使用している規格のリスク関連の活動内容の理解を深めることができる。

3) 他のマネジメント規格と連携し効果的なマネジメントを行う
リスクマネジメント自体には、その目的を構築したり限定したりする機能はないために、ISO 31000は、あらゆる目的に対して対応することができる。
一方、他のマネジメントは、それぞれの目的があるため、リスクマネジメントは、各マネジメントの定めた目的の達成に対する不確かさのある影響を運用管理するという視点で読み替えることにより、様々な分野のマネジメント規格の支援規格として適用することができる。

4) 規格を連携するための考え方として活用する
組織の多様なリスクの分析結果を整理するためのプラットホームとして活用する

その他にも、リスクマネジメントを実施するためには、リスクマネジメントを実施するための組織の風土や組織員の意識改革が必要な場合もある。この風土には、リスクの存在を認める強さと謙虚さや常に先手をとって対応を考える先見性のように、事業において保有しているリスクを認識し、対応を検討する風土や経営目標達成の不確さに向き合う風土が含まれる。これらの風土は、必ずしもリスクマネジメントのためというように限定されず、21世紀を生き抜くために必要な組織風土でもある。




執筆者: 野口 和彦

横浜国立大学 先端科学高等研究院(IAS) リスク共生社会創造センター 客員教授
1978年4月株式会社三菱総合研究所入社。2005年12月安全政策研究部長、参与を経て、研究理事に就任。2011年4月国立大学法人横浜国立大学客員教授に就任。専門分野はリスクマネジメント(安全工学、人間工学、危機管理)、科学技術政策。ISO/TC262日本代表エキスパート。ISO/TC262国内委員会委員長/国内WG主査。JIS Q 31000原案作成委員会委員長/改正委員会主査。