セキュリティ対策コラム新たなリスク管理の展開（2）

JIS Q2001規格は1995年に神戸淡路震災をきっかけに、全社的、包括的なリスク管理システムを構築するために作成されたものです。本規格の「リスクマネジメントシステム構築のための指針」では、リスクマネジメント活動に当たって、PDCA（Plan Do Check Action）の面から以下の7原則を定め、リスクマネジメントシステムを構築するための指針を示しています。

• 原則 1 ： リスクマネジメント方針の明確化
• 原則 2 ： リスクマネジメントに関する計画の策定
• 原則 3 ： リスクマネージマントの実施
• 原則 4 ： リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価
• 原則 5 ： リスクマネジメントシステムに関する是正・改善の実施
• 原則 6 ： 組織の最高経営者によるレビュー
• 原則 7 ： リスクマネジメントシステム維持のための体制・仕組みの整備

このPDCAサイクルを回して、組織のリスクマネジメントシステムを継続的に改善していくのがリスクマネジメントシステムの原則と言えます

COSO-ERMでは、リスクを企業戦略の策定の中で検討すべきものとして位置づけ、そのポイントと手順を示しています。

（1）「リスク」と「機会(チャンス)」

「リスク」を組織体の目的達成にマイナスの影響を及ぼす事象が発生する可能性と定義し、「機会」を組織体の目的達成にプラスの影響を及ぼす事象が発生する可能性と定義して、両観点からリスク管理を捉えようとしています。

（2）リスク・アピタイト（リスク許容限度）

組織体が受け入れようとするリスクの大きさとして、経営者はリスクアピタイト（リスク許容限度）を定めた上で、戦略から期待されるリターンを、リスク・アピタイトと整合性を持たせることが必要であるとしています。やや難解な言い回しですが、要するにリスクを全面的に回避しようとするばかりではなく、戦略的、合理的にリスクを許容すべき場合があること。また許容範囲内において、リスクを敢えて 「とる」、ビジネスチャンスや見返りを期待する等、戦略的にリスクを捉えていく必要があることを意味しています。

（3）ポートフォリオの観点

個々のリスクそれぞれに焦点を当てて、個別的に管理するばかりではなく、組織体が負っている全てのリスクを捉え、全体としてポートフォリオの観点（リスク間の関係を吟味し複数のリスク間で対応策を連携させる）からも管理することを提唱しています。すなわち、企業・組織では、あらゆるリスクについて、相互関連性を踏まえて統合的な対応が求められています。

リスク管理は、リスクアセスメント(影響度評価)とリスクへの対応に大きく分かれます。企業全体にわたるリスク管理について、その手続きの流れを示します。

（1）リスクアセスメント

リスクアセスメントは、リスクの発見及び特定、リスクの算定、リスクの評価を含み、リスク管理で最初のステップとしで重要なところです。

• リスクの発見及び特定

  企業の目的・目標に関連するものを含めて、企業に重大な影響を及ぼす可能性のあるリスク要因を発見して、漏らすことなく、包括的に洗い出し特定する。

• リスクの算定

  特定されたリスクは、発生可能性と企業への影響度に基づき、企業・組織にとっての重要度を算定する。リスクの算定は、関係者が納得できる合理的な指標を用いて、統一的な視点で相対的な比較が可能となるように行われることが望まれる。実際には、非常に難しい作業ですが、従来から定性的なリスクを含めてリスクをランキング、定量化するツールが提供されていますので、ツールを利用することも有用でしょう。

• リスクの評価

  リスク評価では、リスクの算定に基づいて、投資対効果を踏まえた対策を考えるために優先順位を付けます。

（2）リスクへの対応

リスクの評価を踏まえて対応すべきリスクについて管理目標を設定し、許容できるリスク量を定めます。その上で、目標の範囲内に残留リスクが収まるように、リスク対策を選択しなければなりません。残留リスクを小さくしようとすると、当該リスクへの対策を強化することが必要になります。リスク対策の種別を以下に示します。

• 移転

  リスクを保険、契約等により他へ転嫁したり、分担したりさせる。

• 回避

  経営資源を発生の可能性のあるリスクに関係させない。
  （例）リスクのある事業活動について着手しないか、継続しない等

• 低減

  スクの影響度又は発生可能性を低減させる。
  （例）情報処理センターを2箇所にしてバックアップ体制を構築する等コントロールを強化する

• 保有

  上記の対策によらず、リスクをそのまま受け入れる

（3）残留リスク対策の評価

リスク管理プログラム実施の結果、残留したリスクについて、それが当初意図したとおり、企業として容認することのできる適正な水準となっているか否かを評価します。残留リスクが適正な水準となっていない場合には、リスクの評価、対策の選択等を見直すことになります。

（4）リスクへの対応方針及び対策のモニタリングと是正

定期的もしくはリスクが顕在化し重大な損失が発生したときには、リスクへの対応策を見直していきます。

（5）リスク管理の有効性評価と是正

適切かつ効率的なリスクマネジメントの仕組みが構築・運用されているか否かについて、有効性を評価し、必要に応じて是正、見直していきます。

（1）リスクコミュニケーション

リスクに関係する人々がリスクに関する情報を共有し、リスクを認識して効果的、効率的な対策を打てるようにすることです。その目的としては、①リスクの発見・特定の情報収集、②利害関係者へのリスクによる被害に対する防止・低減、③組織内外の利害関係者に対するリスクに関する正確な理解等が挙げられます。

近年ダイオキシン問題、薬害問題等の健康リスク、住民基本台帳等の個人情報等に関わる情報セキュリティ上のリスク等々の問題が身近に生じています。専門家によりリスクを正しく評価し、多様な価値観やニーズを踏まえて、関係者に正しく伝達・交換されるリスクコミュニケーションにより、リスクに対する社会的受容や合意形成を行っていくことが今日益々重要になっています。

（2）リスク管理体制

リスクの管理プロセスを有効かつ効果的に遂行するために、多様なリスクを一元的に管理する責任者(CRO : Chief Risk Officer)を設け、CROの指示を受けて個別のリスクについて実務的な管理を行う責任者であるリスクオーナを設置する等、全社的に承認されたリスク管理体制を構築・運用されることが求められています。