スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

リスクマネジメントと事業継続マネジメントの標準化

今日は、NC大西です。

財団法人日本規格協会から、「リスクマネジメントと事業継続マネジメントの標準化」小冊子がリリースされていますね。

現在、ISO22301[Social security – Preparedness and continuity management system – Requirements(社会セキュリティ - 事業継続マネジメントシステム - 要求事項)]の策定が最終段階に入っているそうで、この小冊子は主にこのISO22301とISO31000(リスクマネジメント - 解説と適用ガイド)との関係を説明してくれています。

事業継続マネジメント(BCM)とは、災害・事故に遭遇して、業務が中断・阻害されても、最優先の業務を目標の期間内に再開できる体制を平常時から確立しておくことであり、事業継続マネジメントシステム(BCMS)は、さらにPDCAサイクルを活用して、マネジメントシステムとして効率的に実施することだそうです。

このBCMSの一環として、事業継続計画(BCP)に言及されていますが、BCPを作成する際に次の2つの重要な作業があるとのことです。

① ビジネスインパクト分析
② リスクアセスメント

ビジネスインパクト分析は、事業活動の中で、最優先で復旧すべき業務を選び出し、その業務遂行に不可欠な経営資源を特定する作業、と定義されています。
BCPの特徴は、様々な災害・事故のリスクとは切り離して、企業にとって重要な業務は何かを見極めるビジネスインパクト分析を行う点にあるとのことです。
企業が災害から生き残るため、又は社会的責任を果たし、顧客との契約を履行するために、企業として許容できる最大限度の停止期間があるはずで、その期間に達してしまう前に、優先事業を再開すべき目標の復旧期間を設定する必要があるとのことでした。

リスクアセスメントは、最優先される業務を中断又は阻害する恐れのあるリスクを評価することです。
このリスクアセスメントは、ISO31000のプロセスに従って実施されると明記されていました。

評価されるのは以下の3つです。

a. 最も優先される業務が中断又は阻害されるリスクとは何か?
b. その発生の可能性はどの程度か?(リスクの特定)
c. そのような災害・事故が発生した場合に、どの程度の損害や影響を受けるのか?(被害想定)

第三者認証機関による認証も想定されているようで、また、この要求事項規格を解説するガイドライン規格(ISO22313)の策定作業も開始されているとのことです。

早く読んでみたいです。

NCロゴ小
株式会社NEXT CENTURY

スポンサーサイト

JIS Q 31000(リスクマネジメント-原則及び指針)の詳細とその活用説明会を聴きに行きました!

1月28日に、財団法人日本規格協会主催の標記説明会へ参加してきました。
昨年の12月にも同様のものが大阪で開催されていたのですが、タイミングが合わず、わざわざ東京は市ケ谷の自治労第1会館まで行くことにorz

メインの講師は㈱三菱総合研究所の野口和彦研究理事。
ソフトな語り口とその解り易い解説に、いつも感銘を受けます。

JIS Q 31000:2010(リスクマネジメント-原則及び指針)は、ISO31000:2009が翻訳された規格ですが(2010年9月21日に制定された)、発行に伴って廃止されたリスクマネジメントシステムに関する唯一の国内企画であったJIS Q 2001:2001の利用者への配慮として、JIS Q 31000:2010の付属書JAにJIS Q 2001とJIS Q 31000:2010との対比表が、付属書JBにJIS Q 2001:2001に規定されていた“緊急事態が発生したときの対応及び復旧の準備”に関する情報がまとめられていることがISO31000:2009との大きな違いになります。

野口氏の解説は「なるほど!」と頷くことばかりなのですが、本規格書の解説冒頭に述べられた、なぜ認証規格ではないのか?ということが特に印象に残りました。

規制(認証規格)は、調整という機能と落ちこぼれを無くすという2つの効果が得られるものだけれども、結果として横並びという効果も招いてしまう。
一方、リスクマネジメントは、厳しい環境を勝ち抜いていくためのツールとして利用するのだから、他者と違う独自のものを自ら創り出していかなければならない(横並びにしてしまうと、みんなが駄目になってしまう)。
なので、あえて認証規格にはしなかった、ということでした。

また、本規格の活用について内部統制との相性が良いということなのですが、COSO ERMの影響は受けていないけれども、ISO31000:2009とCOSO ERMとは内容が良く似ていて、別々のところで議論されている内容が結果として似ていることは良いのではないか、と仰ったことも印象に残りました。

NCロゴ小
株式会社NEXT CENTURY

アカウンタビリティ

私たちはよく、アカウンタビリティという言葉を使います。
一般には、説明責任と訳されているようですね(私も、質問されたらそう答えると思います)。

リスクマネジメント企画活用検討会編著「ISO31000:2009 リスクマネジメント解説と適用ガイド」は、アカウンタビリティを次のように説明しています。

アカウンタビリティは、“accountability”のカタカナ表記である。アカウンタビリティは、一般的に“説明責任”と訳されているが、その訳では単に説明できれば良いとの誤解を与えるおそれがある。また、法的責任を伴うものであるという意味を示すことが出来ない。アカウンタビリティという概念には、明確な説明が求められ、法的な責任が問われるものであることを示すために、カタカナ表記としてその意味の理解を再確認することを求めている。
リスクマネジメントを実施するうえで、責任の所在を明らかにすることが重要である。TMB/WG議長の説明によれば、“responsibility”との違いは、法的な責任を問われるか否かにあり、“accountability”の場合は、法的な責任を問われるものである、ということである。
アカウンタビリティという概念は、説明を行えばよいというわけではなく、実施すべきことに対してしっかりと責任のある行動を行ったうえで、ステークホルダに対する責任をもつということである。



責任と訳されるresponsibilityは、どちらかというと対内的な責任という意味で、accountabilityは公に対する責任(対外的な責任)と理解されるのでしょう。

NCロゴ小

ISO31000(リスクマネジメント-原則及び指針)

少し前になりますが、表題の規格説明会を聴きに行ってきました。
http://www.jsa.or.jp/standard/meeting_02.asp?fn=iso31000.htm

以前のコラム(http://nextcentury.blog61.fc2.com/blog-entry-9.html
)でJIS Q 2001:2001のリスクの定義を紹介させていただき、私も基本的にはその定義を基本に考えてきました。
そのため、発行されたISO31000:2009及び改訂されたISO GUIDE 73:2009のリスクの定義は、なかなかピンとこず、
どんなもんやろか・・・と思って東京まで聴きに行ったのでした。

言うまでもありませんが、従来のリスクの定義は下記のとおりでした。
⇒事態の確からしさとその結果の組み合わせ、又は事態の発生確率とその結果の組み合わせ
(JIS Q 2001:2001のリスク)。
⇒事象の発生確率と事象の結果の組み合わせ(ISO/IEC GUIDE 73:2002)

ISO31000の並びにISO GUIDE 73:2009では、リスクを次のように定義しています。
⇒目的に対する不確かさの影響

この定義上の「影響」は、従来のリスク定義にある「結果」とほぼ同義だと思うのですが、
従来は基本的に「悪い結果」のみを想定していたと思います(例えば、損をするとか死者を出してしまうとか)。
しかし、新しいリスクの定義における「影響」は、「悪い影響」だけではなく、
「良い影響」も含まれるのだということでした。

実際の経営は、ポジティブな影響を主体として計画しているのだから、
ネガティブな影響を小さくするという視点だけでは、最適な経営判断が出来なくなってきた、
つまり、従来のリスクマネジメントそのものが経営者の方針となかなかマッチしなくなってきていることから、
リスクを再定義したとのことです(私なりの解釈ですが)。

確かに、何にもしないのがネガティブな影響を受けない一番のリスクマネジメントと言うことになってしまいます。
リスクテイクするのが、経営ですものね。

なので、これはなかなか良い考え方だと思いました。

プロフィール

nextcentury

Author:nextcentury
大阪市中央区にある公認会計士が手がけるコンサルティング会社。
主に内部統制コンサルティングや財務デューデリジェンスの支援業務を行っています。

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
フリーエリア
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。