ISO 31000

ISO 31000は、リスクマネジメントに関する国際規格です。2009年11月に国際標準化機構(ISO)によって策定されました。[ 1 ]これらの規格の目的は、リスクの評価と管理のための一貫した用語と方法論を提供し、リスクの記述方法におけるこれまでの曖昧さや差異を解決することです。これらの規格は、統合マネジメントシステムに適合するように設計されました。[ 1 ]

導入

ISO 31000は2009年11月13日に規格として発行され、リスクマネジメントの実施に関する基準を提供しています。改訂・整合化されたISO/IECガイド73も同時に発行されました。ISO 31000の目的は、組織が直面するリスク管理に関するガイドラインを提供することです。あらゆるリスクに対して共通のアプローチを用いることで、業種やセクターを限定するものではありません。ユーザーは 「あらゆる公的機関、民間企業、または地域社会の企業、団体、グループ、または個人」です。[ 2 ]

ISO 31000の改訂版が2018年2月に発行され、2009年版に取って代わりました。2018年版では、より明確で簡潔な表現が導入され、リスクマネジメントを中核事業活動、意思決定プロセス、そして組織文化に統合することがより重視されました。また、リスクマネジメントを組織全体に浸透させる上で、経営トップのリーダーシップの役割が強化され、あらゆる規模や業種の組織に適応可能な、より柔軟で原則に基づいたアプローチが推進されました。

ISO 31000:2018 バージョンは 2023 年 10 月に確認され、今後 5 年間有効です。

範囲

ISO 31000は、リスクマネジメントフレームワークの設計と実装に関する一連の原則、ガイドライン、そしてリスクマネジメントプロセスの適用に関する推奨事項を規定しています。ISO 31000に規定されているリスクマネジメントプロセスは、あらゆるレベルの意思決定を含むあらゆる活動に適用可能です。

ISO 31000は、リスクマネジメントを組織のあらゆる側面に統合するための構造化された原則に基づくフレームワークを提供することで、企業がエンタープライズリスクマネジメント(ERM)の基盤を確立するのに役立ちます。ISO 31000は、企業を以下の点で導きます。

  • 目標と文化に沿った明確なリスク管理ポリシーを定義する
  • リーダーシップの関与を通じてガバナンスと説明責任を確立する
  • リスクプロセス(特定、分析、評価、対応)を意思決定に組み込む
  • 監視とレビューを通じて継続的な改善を確実にする

ISO 31000 に従うことで、組織は戦略目標と運用の回復力をサポートする、組織全体にわたる一貫したリスク管理アプローチを構築できます。

定義

ISO 31000は、リスク管理に関連する8つの主要用語を定義し、組織全体でリスク関連の概念を一貫して理解するための基盤を形成しています。これらの用語は、リスク、リスク源、イベント結果可能性リスク特定リスク分析、およびリスク評価です。これらは、リスク管理のための標準化された用語を提供するISO 31073:2022(旧ISOガイド73)[ 3 ]と一致しています。ISO 31073は、リスクコミュニケーションの明確さと一貫性を確保することでISO 31000の実装をサポートし、組織がさまざまなセクターと分野にわたって社内外で用語を整合させるのに役立ちます。

―リスクの定義について―

ISO 31000で提案された重要なパラダイムシフトの一つは、リスクの概念化と定義の変更です。ISO 31000とISO Guide 73の両方において、「リスク」の定義はもはや「損失の可能性または確率」ではなく、「不確実性が目標に及ぼす影響」となっています。つまり、「リスク」という言葉は、不確実性のプラスの影響だけでなく、マイナスの影響も指すようになったのです。

ISO 9001:2015(品質マネジメントシステム[ 4 ] )でも同様の定義が採用されており、リスクは「不確実性の影響」と定義されています。さらに、リスクに関する新たな要件として「リスクに基づく思考」が導入されました[ 5 ]

構造

ISO 31000規格で説明されているリスク管理は、原則、フレームワーク、そしてプロセスという3つの中核要素に基づいています。これらの要素は連携して、リスク管理が構造化され、統合され、組織目標と整合していることを保証します。原則はリスク管理の全体的な意図と価値を導き、フレームワークはそれを組織のガバナンスと業務に組み込み、プロセスはリスクを特定、評価、そして対処するための体系的なアプローチを提供します。

原則、枠組み、プロセスの関係は、ISOオンラインブラウジングプラットフォーム上の画像で視覚化できます。[ 6 ]

リスク管理の目的は、価値の創造と保護です。リスク管理は、パフォーマンスの向上、イノベーションの促進、そして目標達成を支援します。

これらの原則は、効果的かつ効率的なリスクマネジメントの特徴に関するガイダンスを提供し、その価値を伝え、その意図と目的を説明します。これらの原則はリスク管理の基盤であり、組織のリスクマネジメントの枠組みとプロセスを確立する際に考慮すべきです。これらの原則は、組織が不確実性が目標に及ぼす影響を管理することを可能にするはずです。

リスク管理を効果的に行うには、次の条件を満たす必要があります。

  • 統合 – リスク管理はすべての組織活動の不可欠な部分です。
  • 構造化され包括的 – 構造化された包括的なアプローチは、一貫性があり比較可能な結果に貢献します。
  • カスタマイズ – フレームワークとプロセスは、組織の外部および内部のコンテキストに合わせて調整されます。
  • 包括的 – 関係者の適切かつタイムリーな関与により、情報に基づいた意思決定が可能になります。
  • 動的 – リスク管理は、変化を予測、検出、認識し、対応します。
  • 利用可能な最良の情報を使用する - リスク管理への入力は、過去のデータと現在のデータ、および将来の予測に基づいています。
  • 人的要因と文化的要因を考慮する - 人間の行動と文化はリスク管理に大きな影響を与えます。
  • 継続的な改善 - リスク管理は学習と経験を通じて継続的に改善されます。
リスク管理フレームワークの目的は、リスク管理を組織の主要な活動および機能に統合することを支援することです。その有効性は、組織のガバナンス構造、特に意思決定プロセスにリスク管理がどれだけ適切に組み込まれているかに左右されます。この統合を実現するには、ステークホルダー、特に経営幹部からの積極的な支援が必要です。 

フレームワークの開発には、組織のあらゆるレベルにおけるリスク管理の設計、実装、評価、そして継続的な改善が含まれます。フレームワークの構成要素は、一貫性と構造化されたアプローチを可能にするものでなければなりません。組織は、フレームワークの開発の一環として、現在のリスク管理慣行を評価し、ギャップを特定し、それらに対処することが推奨されます。

フレームワークのコンポーネントとそれらの相互作用方法は、組織の状況、目的、ニーズに合わせて調整し、実践における関連性と有効性を確保する必要があります。

リスク管理プロセスは、ISO 31073:2022 では、「リスクの伝達と協議、状況の確立、リスクの評価、処理、監視、レビュー、記録、報告の活動に対するポリシー、手順、および実践の体系的な適用」と定義されています。

リスク管理は、組織の経営と意思決定に不可欠な要素であり、組織の構造、業務、プロセスに組み込まれるべきです。戦略レベル、業務レベル、プログラムレベル、プロジェクトレベルなど、様々なレベルで適用できます。

単一の組織内にリスク管理プロセスの複数のアプリケーションが存在する場合があり、それぞれが特定の目的に合わせてカスタマイズされ、組織が運営される外部および内部の状況に合わせて調整されます。

人間の行動と組織文化の動的かつ可変的な性質は、プロセスの全段階を通して考慮されるべきです。リスク管理プロセスは直線的なシーケンスとして提示されることが多いですが、実際には反復的かつ適応的なプロセスであり、状況の変化や新たな情報の入手に応じて継続的な調整が必要です。

改訂履歴

次の表は、ISO 31000 の初版発行以降の重要な改訂をまとめたものです。

バージョン発行日主な更新
ISO 31000:20092009年11月初版発行。ガイドライン、汎用フレームワーク、そして明確なプロセスを備えた、リスク管理への構造化されたアプローチを導入しました。
ISO 31000:20182018年2月第2版​​。より明確で簡潔な表現を導入し、ガバナンスとリーダーシップとの統合を強調し、原則を11から8に削減し、用語を他のISOマネジメントシステム規格(附属書SL)と整合させました。
変更なしで確認2023ISO 31000:2018 がレビューされ、改訂なしで現在の有効なバージョンとして確認されました。

注:ISO 31000:2009は、既存のリスクマネジメント規格であるAS/NZS 4360:2004に基づいて開発されました。当初のオーストラリア規格ではリスクマネジメントを実施するためのプロセスが提供されていましたが、初版のISO 31000:2009では、リスクマネジメントプロセスの設計、実装、維持、改善をサポートするマネジメント全体を扱っています。

実装

ISO 31000の目的は、リスク管理システムを構築することではなく、組織の既存の管理システムにリスク管理を統合することです。この規格は、ガバナンス、戦略、計画、運用、パフォーマンス管理、そして内部統制システムにリスク管理を組み込むための構造化されたアプローチを提供します。独立したシステムを構築する必要もありません。

導入は状況に依存し、既存のものを基盤として進める必要があります。多くの組織では、リスク登録簿、統制フレームワーク、コンプライアンス手順といったリスク管理の要素が既に導入されていますが、それらは一貫性、整合性、あるいは目標との整合性に欠けている場合があります。ISO 31000は、これらの実践を単一の原則、明確なフレームワーク、そしてあらゆる種類のリスクに対応する繰り返し可能なプロセスの下に統合するのに役立ちます。

効果的な実装では通常、次の点に重点が置かれます。

  • リスク管理における役割と責任の明確化
  • あらゆるレベルの意思決定にリスクを組み込む
  • 組織全体で共通のリスク評価方法を開発し、言語を統一する
  • リスク情報を計画、報告、パフォーマンス評価に結び付ける

ISO 31000 の実装は、コンプライアンスの実践というよりも、意思決定の質を向上させ、組織の目標達成における不確実性の管理能力を高めることを目的としています。

意味合い

  • ISO 31000 は非規範的です。適合は要求されませんが、リスク管理の実践を強化するための詳細なフレームワークを提供します。
  • このフレームワークは、組織が効果的なリスク管理に必要な基盤 (ポリシー、目標、リーダーシップのコミットメントなど) と取り決め (プロセス、役割、リソースなど) を構築するのに役立ちます。
  • 上級リーダーは、標準を採用することの影響を理解し、運用、計画、プロジェクト、戦略、短期、中期、長期の焦点を含むすべての組織プロセスに標準を組み込む戦略を策定する必要があります。
  • リスク管理慣行があまり成熟していない分野(R&D、イノベーション、CSR など)では、正式なポリシー、より明確な役割、構造化された改善活動など、大幅な変更が必要になる場合があります。
  • 古いリスク管理方法を使用している組織では、特に意思決定プロセスにおいて、トップマネジメントの説明責任、戦略の整合性、ガバナンス慣行を強化する必要がある場合があります。

認証

  • ISO 31000は組織の認証には使用できません。[ 7 ]
  • 個人は、ISO 31000 リスク管理規格の目的、原則、フレームワーク、プロセスなど、その理念と内容に関する知識を証明すれば、認定を受けることができます。

国際養子縁組

  • 国別 – ISO 31000リスクマネジメント規格の普及に尽力する国際NGOであるG31000リスク研究所は、政府、公共部門および民間部門の機関、組織、そして個人に対し、ISO 31000:2018の採用と普及を強く求めてきました。これらの取り組みの結果、ISO 31000は82か国で国家規格として採用され、23の言語に翻訳されています。
  • 翻訳 – ISOはISO 31000規格を[欠落テキスト]で発行していますが、この規格は23の言語に翻訳されており、アクセス性と世界的な普及率が向上しています。(出典: G31000 Risk Institute)
  • ISO 31000認定リスク専門家 – G31000 Risk Institute、PECB、Exemplar Global、Global Trust Associationなどの組織を通じて、多くの専門家がISO 31000関連の認定を取得しています。G31000 Risk Instituteは、世界中で8,000人以上のリスク専門家が認定されていると主張しています。
  • ISO 31000規格の販売数、印刷数、ダウンロード数 – ISOは販売部数を公表していませんが、ISO 31000規格は、ISO 9001、ISO 14001、ISO 45001規格と並んで最も人気のある規格の一つと考えられています。また、多くの国のISO代理店もISO 31000規格を販売しています。

批判

ISO 31000は、学者や実務家から様々な批判を受けています。確固とした概念的基盤が欠如しており、誤解を招く可能性のある表現が含まれていると指摘されています。[ 8 ]学者たちは、特に複雑な組織環境において、この規格の実用性と明確さに疑問を呈しています。[ 9 ]また、現代の意思決定理論や正式なリスク分析方法論との統合が不十分であると指摘する人もいます。[ 10 ]この規格で使用されている用語は、曖昧で解釈に一貫性がない、あるいは確固たる表現がなく誤解を招く可能性があると批判されています。[ 11 ]一部の研究者は、標準化の推進がリスクマネジメントの実践における革新と適応性を妨げる可能性があると主張しています。[ 12 ]さらに、ISO 31000の原則と組織内での運用方法の間にギャップがあることも指摘されています。[ 13 ]

一部の評論家は、これらの批判はISO 31000の目的の誤解に一部起因していると主張している。ISOが正式に発行される前に、DaliとLajtha(2009)は「ISO 31000 リスクマネジメント - 『ゴールドスタンダード』」[ 14 ]の中で、この規格は意図的に原則に基づいており、規範的ではなく、詳細な分析的または技術的なリスク評価方法を提供するのではなく、多様な状況での意思決定を支援するように設計されていることを強調している。

参照

参考文献

  1. ^ a b Purdy, G (2010). 「ISO 31000:2009 - リスクマネジメントの新たな標準の設定」.リスク分析. 30 (6): 881– 886. Bibcode : 2010RiskA..30..881P . doi : 10.1111/j.1539-6924.2010.01442.x . PMID  20636915 .
  2. ^ 「ISO 31000:2018 – リスクマネジメント – ガイドライン」 ISO.org国際標準化機構2025年5月14日閲覧
  3. ^ 「ISO 31073:2022 – リスクマネジメント – 用語集」 ISO.org国際標準化機構2025年5月14日閲覧
  4. ^ 「ISO 9001:2015 – 発行されました! (2015年9月23日)」 . ISO . 2015年9月23日. 2017年2月23日閲覧
  5. ^ 「リスクとISO 9001改訂版」 。 2017年2月23日閲覧
  6. ^ 「ISO 31000:2018 – 構造図1 — 原則、枠組み、プロセス」 ISO 20255月15日 2025年5月15日閲覧
  7. ^ 「ISO 31000:2018 – FAQ - ISO 31000をどのように使用すればいいですか?また、認証を取得できますか?」 ISO 20255月15日 2025年5月15日閲覧
  8. ^ Aven, Terje, Marja Ylönen. 「安全性とリスク分野における規格の強力な力:これらの分野の適切な発展に対する脅威か?」Reliability Engineering & System Safety 189 (2019): 279–286.
  9. ^ Leitch, Matthew (2010). 「ISO 31000:規格の目的とは?」RM Professional (3月): 26-27 .
  10. ^ Aven, Terje (2011). 「リスクマネジメント用語に関する新しいISOガイドについて」.信頼性工学とシステム安全性. 96 (7): 719– 726. doi : 10.1016/j.ress.2010.12.020 .
  11. ^ Aven, Terje, Marja Ylönen. 「安全・リスク分野における規格の強力な力:これらの分野の適切な発展に対する脅威か?」Reliability Engineering & System Safety 189 (2019): 279-286.
  12. ^ Woods, David (2011). 「『レジリエンス』の再考:レジリエンス工学に関わるプロセスの分析と簡素化」第4回レジリエンス工学シンポジウム議事録
  13. ^ Flage, Roger (2014). 「リスクマネジメントにおける理論と実践のギャップについて」. Journal of Risk Research . 17 (7): 753– 776. doi : 10.1080/13669877.2013.838211 .
  14. ^アレックス・ダリ、クリストファー・ライタ(2009年9月)「ISO 31000 リスクマネジメント - 『ゴールドスタンダード』」 .戦略リスク20~ 23」