ISO31000 − あらゆるリスクをマネジメントするために

ISO31000:2009 "Risk management - Principles and guidelines (リスクマネジメント−原則及び指針)"

2010/8/23up

2009年12月、リスクマネジメントの新たな国際規格であるISO31000:2009が発行されました。ISO31000は、あらゆる種類の組織及びプロジェクトのガバナンスに組み込むことによってリスクマネジメントを再定義しており、事業活動に関わる全分野における継続的改善のための一つの手段であるとしています。リスクマネジメントとはリスクをゼロにすることではなく、リスクテイキングの最適化を意味します。今回、この新規格を開発したワーキンググループのメンバーの1人であるJean-Paul Louisot教授にインタビューしました。

  【Jean-Paul Louisot教授プロフィール】
パリ第1大学(パンテオン・ソルボンヌ)でリスクマネジメントを教え、リスクマネジメントを学ぶ幅広いプログラムを提供するCARM Instituteでは、リスクマネジメントの専門家であることを証明するARM(Associate in Risk Management)という称号を目指して学ぶ将来のリスクマネージャー達を指導。*詳しいプロフィールはこちら(Asian Risk Management Institute Website)
 

ISO31000の開発に参加されることになった経緯を教えて下さい。
教授:
かれこれ30年以上リスクマネジメントに関わってきましたが、1999年以来私が担当しているコースに、ISO31000の基礎となったオーストラリア規格(AS/NZ 4360)が含まれています。ヨーロッパ、特にフランス、そして米国が距離を置く中にあって、オーストラリアは日本と共にこの新規格を推進するリーダー国の1つでありました。

なぜ規格開発というチャレンジを受け入れたのですか。
教授:
ヨーロッパでは健康、安全、環境の範囲におけるリスクマネジメント規格、つまりゼロリスクという論点への取り組み、そして法規制を通じてリスクを管理しようという試みが主流です。このアプローチは、リスクは至る所に存在すると考えるアングロサクソン系の「リスクマネージャー」には「基本的な考え方が違う」と受け止められます。経済のグローバル化と、経済主体(経済社会の活動の担い手)の相互依存性によって、リスクとの関わりはますます深くなっています。アングロサクソン系にとってリスクテイキングは日常的なことなのです。英語で「いちかばちかやってみよう(当たって砕けろ)。」や、フランス語で「危険(リスク)を冒そう!」などとはあまり言いません。私はISO31000を必然であり必要なものと考えており、ヨーロッパの「リスクマネージャー」のニーズや期待を示したかったのです。

ISO31000:2009 - リスクマネジメントの国際規格 | ISO認証機関 ビューローベリタス
「リスク」を定義して頂けますか。
教授:
組織はその種類・規模に関わらず、目標を達成できるか、いつまでに可能かという予測を妨害する社内外の要因に対処しなければなりません。ビジネスには不確実性が存在します。目標達成に向けたプロセスにおける不確実性の存在・発生が、リスクとみなされます。この定義を受け入れるのであれば、あらゆるものがリスクと言えるでしょう。不良品による悪評(ISO9001)、化学製品に汚染された河川(ISO14001)、仕事や職場での事故・病気(OHSAS18001)、労働法違反(ISO26000)などは、リスクマネジメントの理解不足や意識欠如の結果なのです。


ISO31000が規格の中の規格であるとおっしゃる理由をお聞かせ下さい。
教授:
世界各国のあらゆる事業活動に適用可能な指針、組織体系、リスクマネジメントと継続的改善プロセスの提示により、ISOガイド73(*1)を伴ったISO31000:2009は他の規格に文脈を与え、「リスク」を取り上げる60ものISO規格の一貫性・統一性を向上させているからです。
(*1)"Risk management - Vocabulary - Guidelines for use in standards"
(リスクマネジメント−用語−規格における使用のための指針)

リスクマネジメントは、ISO31000を基盤として組織やプロジェクトのあらゆるレベルに適用可能でしょうか。
教授:
実のところISO31000によると、リスクマネジメントはガバナンスプロセス、戦略、プランニング、マネジメント、報告、方針、価値観、そして企業文化全体に適用されます。しかしながら、ISO31000はあらゆる機能・レベルにおける全ての不確実性の変化・変動を勧告しています。経営層は戦略面に深刻な影響を及ぼすものとしてリスクを考え、各業務レベルでは戦略開発・実行を最適化するために、各部門の戦略に影響を及ぼしかねないリスクに意識を置きます。認証対象の規格は、ISO27000(情報セキュリティ)、ISO28000(サプライチェーンセキュリティ)、ISO9000(品質)などが既に発行されていますが、ISO31000はそれら全ての集大成であり、言ってみれば基礎を築いた後、全体に屋根をかけた行為とも表現できるでしょう。

ISO31000:2009 - リスクマネジメントの国際規格 | ISO認証機関 ビューローベリタス
何故この規格が企業に関係してくるのでしょうか。
教授:
ISO31000は既存組織にとって持続可能な発展を保証する最良の手段を提供し、新たなチャンス、予期せぬ出来事を対処する能力(危機の最中の回復)、または過ちをチャンスに変える能力(レジリエンシー:弾力性ある回復力)の検討を可能にします。オーストラリアでは標準化されたリスクマネジメントの歴史が既に20年近くになりますが、ヨーロッパでは総合的な規格は存在していません。ISO31000は認証対象ではないため規格としてではなく、参照フレームワークとして受け止めるべきです。また組織体系とプロセスを提示していますが、リスクの特定、分析、評価のための適切な手順という点では不足しており、これらは将来のISO31010に含まれるべきでしょう。しかしISO31000は、組織とその経営層がステークホルダーに対して、リスクコミュニケーション及びコンサルテーションという点で責任を全うするための一助となります。米国におけるいわゆるERM(Enterprise-wide Risk Management: 全社的リスクマネジメント)の出現と時を同じくして、ISO31000の開発が進められました。金融危機が起きて以来、ERMはヨーロッパ、そして米国で一気に広がりました。

最後に、2010年春に起きたアイスランド火山噴火と、航空業界へ与えた影響に関してご意見をお聞かせ下さい。
教授:
当時、私はじかに影響を受けました。パリへの到着が予定より6時間遅れたのです。そして、現在(注:インタビュー当時)も次回の海外出張へのスケジュールを確定できない状況です。一般論として航空業界のCEO達はより優れた大局観を持つべきでしたが、今回の噴火は明らかに全ての復旧計画を混乱させました。そして産業界の範疇をはるかに超えて拡散した「未知の雲」の影響により、回復基調だった景気を停滞させたかもしれません。今回の出来事は「予防原則」に関する問題を再び提起することとなりました。当局は慎重過ぎたのかもしれませんが、頻繁に出張する身としては、空中でエンジンがストップなんてして欲しくないですね。全ての飛行機がグライダーとは限りませんし、パイロット全員が経験豊富なグライダーとも限りませんから。二つ目の教訓は、経済のレジリエンシーのためには関係者全員が予期せぬ出来事に備えておく必要がある、ということです。新たなブラック・スワン(誰も予想しなかった事象)がすぐそこに迫っているかもしれないのですから!


・"ISO Standard 31000: Managing Risk - All the Risks" (Bureau Veritas Global Website)
 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス