ISO31000とは、国際標準化機構(ISO)が制定しているリスクマネジメントの規格です。企業がリスクマネジメントを行う際の指針がまとまっており、企業が直面し得るリスクを管理しながら企業活動を展開できます。
この記事では、ISO31000の概要や活用するメリットを紹介します。ISO31000と似た規格についても解説しているので、あわせて参考にしてください。
BCPを策定できていないなら、トヨクモの『BCP策定支援サービス(ライト版)』の活用をご検討ください!
早ければ1ヵ月でBCP策定ができるため「仕事が忙しくて時間がない」や「策定方法がわからない」といった危機管理担当者にもおすすめです。下記のページから資料をダウンロードして、ぜひご検討ください。
BCP策定支援サービス(ライト版)の資料をダウンロードする
※BCP策定支援サービス(ライト版)は株式会社大塚商会が代理店として販売しています。
目次
ISO31000の概要
ISO31000とは、国際標準化機構が発行しているリスクマネジメントの指針です。認証を取得するのではなく、企業としてリスクマネジメントを行う際の指針として参考にできます。
なお、ISO31000は2009年に発行された後、2018年に改訂されました。記載内容は大きく変わっていないものの、経営を意識したリスクマネジメントを強調しています。
まずは、ISO31000の基本的な概要を解説します。
ISO31000が発行される背景
近年、企業はあらゆるリスクを抱えながら事業活動を行っています。たとえば、複数のステークホルダーと関わりを持てば、個人情報漏洩やデータ改ざんといったリスクが高まります。また、地震が頻発したり、未曾有の感染症が蔓延したりと環境面でのリスクも付きまとっているのが実情です。
これらのリスクはすべて未然に防げることは困難なため、起こり得るリスクを想定したうえで必要な備えをしておく必要があります。リスクマネジメントができていなければ、緊急事態時に事業を継続するのは難しく、企業の存続にも大きな影響をもたらすでしょう。
とはいえ、企業が直面するリスクをすべて洗い出し、必要な備えをしておくことは極めて困難です。その際、国際的な基準となる規格があれば、有効なリスクマネジメントを実行できます。つまり、企業が抱えるリスクに対して適切なマネジメントを行うためには、ISO31000を活用するといいでしょう。
ISO31000におけるリスクの定義
ISO31000では、リスクを「目的に対する不確かさの影響」と定義しています。この影響とは、期待されていることからの乖離を指し、プラスとマイナスの両面が存在していることを表現しています。つまり、リスクマネジメントを行う際は、企業にとって不利益をもたらす事項だけではなく、利益をもたらすリスクも含めた広い範囲を考慮すべきです。
ISO31000における3つの指針
ISO31000は、以下の3つに分けてリスクマネジメントを解説しています。
- 原則
- 枠組み
- プロセス
原則とは、リスクマネジメントを行う際に遵守すべき事柄をまとめた指針です。プロセスは、企業が抱えるリスクの洗い出しや分析などに活用される事柄をまとめており、枠組みによって企業の目的達成が実現するような設計の導入、見直しにつながる活動へと導いています。つまり、この3つの指針それぞれを組み合わせることで、企業のリスクマネジメントを実行できます。
ここでは、3つの指針について解説します。
原則
ISO31000では、以下の8つの原則を設けて会社経営そのものを支援すると定義づけています。
- 統合:リスクマネジメントは企業活動に統合される
- 体系化および包括:体系的かつ包括的な取り組みを行うと一貫性のある結果を生み出す
- 組織への適合:企業内部だけではなく、外部との均衡が取れている
- 包含:ステークホルダーを適切に加えると、情報に基づくリスクマネジメントが可能になる
- 動的:企業内外の状況によってリスクも変化するため、適切な対応が必要となる
- 利用可能な最善の情報:リスクマネジメントは制約や不確かさを考慮すること。ステークホルダーには必要かつ明確な情報を提供すること
- 人的要因および文化的要因:人の行動や文化はリスクマネジメントに大きな影響を与える
- 継続的改善:経験を通じて継続的な改善が必要である
なお、ISO31000では、リスクマネジメントの意義として「価値の創出および保護」を大原則として打ち出しています。つまり、パフォーマンスを改善しながらイノベーションを促進し、目的の達成をサポートするものです。
枠組み
ISO31000における枠組みとは「リーダーシップおよびコミットメント」を中心にPDCAを回す仕組みです。リスクマネジメントを企業全体に定着させることを目指しています。なお、具体的な枠組みは、以下のとおりです。
- リーダーシップおよびコミットメント:経営者はリスクマネジメントへの取り組みに責任を持つ
- 統合:リスクマネジメントを業務活動などと一体化させる
- 設計:企業内外の状況を理解する
- 実施:リスクマネジメントにおけるプロセスを確実に運用する
- 評価:有効性を定期的に評価する
- 改善:有効性を継続的にモニタリングして改善する
なお、枠組みにおける「リーダーシップおよびコミットメント」は、マネジメントフレームワーク構築に不可欠と判断し改訂時に追記されました。
プロセス
ISO31000におけるプロセスでは、以下のすべてを包括してPDCAを回すべきと、記載されています。
- コミュニケーションおよび協議:ステークホルダーとコミュニケーションを取り、意見や情報を収集する
- 適用範囲、状況基準:リスクの基準を明確にする
- リスクアセスメント:リスクの特定・分析・評価を実施する
- リスク対応:対処法を検討・実施する
- モニタリングおよびレビュー:客観的な視点を持ってモニタリングおよびレビューを実施する
- 記録作成および報告:実施結果を記録して、企業内外のステークホルダーに伝える
なお、ISO31000では、企業の中には多数のPDCAサイクルが回っていることが明確に記されていることがポイントです。
ISO31000と似た規格の違い
ISO31000と似た規格として、以下のISOが存在します。
- ISO9001
- ISO14001
- ISO27001
- ISO27005
それぞれの特徴を見ていきましょう。
ISO9001
ISO9001は、品質マネジメントシステム規格のことです。企業が提供している製品やサービスの品質向上を目的としており、製造過程から顧客への提供までのプロセスを管理しています。つまり、ISO9001を取得すると一定以上の品質を保証できるため、顧客満足度を向上させやすいでしょう。さらに、ISO9001では顧客に対する価格や納期などについても定めています。
一方、ISO31000では企業全体におけるリスクマネジメントについて記載されているため、品質に特化したリスクマネジメントを取り入れたいときはISO9001を取得しましょう。
ISO14001
ISO14001とは、環境マネジメントシステム規格のことです。環境を保護しながら企業のパフォーマンス向上を目的としており、どれだけ環境の負荷を削減できるかを示しています。つまり、ISO4001の認証を取得すると、汚染物質の削減や資源の節約といった環境パフォーマンスが高いと判断され、環境に優しい企業と認定されやすくなります。
ISO31000は企業活動全般のリスクマネジメントをまとめていることから、対象が異なると言えるでしょう。
ISO27001
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)のフレームワークです。ISMSとは情報リスクに対する対策や実行、改善を繰り返す仕組みを指します。情報の三大要素である可用性・機密性 ・ 完全性 をバランスよく維持しながら、情報漏洩やサイバー攻撃などから機密情報を守っています。
ISO27001は、このISMSを構築するためのフレームワークです。つまり、ISO27001にのっとってISMSを構築すれば認証を取得できます。すると、適切な情報セキュリティ対策ができると評価され、企業外からの信用を得やすくなるでしょう。
したがって、情報セキュリティに特化したリスクマネジメントを導入したい方にはISO27001の認証取得がおすすめです。
ISO27005
ISO27005とは、リスク管理プロセスと情報セキュリティ管理の手順などを規格化したものです。前述のISO27001の認証を取得する際に参考となる事項が記載されています。
つまり、ISO27005はISO31000と同様に認証を取得するのではなく、適切な管理をするための指示書とも言えます。情報セキュリティに関するリスクマネジメントに特化したい場合は、ISO27005を参考にしましょう。
ISO31000を活用するメリット
ISO31000を活用するメリットは、主に以下のとおりです。
- 企業評価の向上に役立てられる
- 意思統一を図りやすい
それぞれについて解説します。
企業評価の向上に役立てられる
ISO31000は、企業評価の向上に役立てられます。ISO31000は国際規格であることから、ステークホルダーなどに情報提供した際に理解を得やすくなります。さらに、国際規格にのっとったリスクマネジメントを実施していると企業への信頼度が高まりやすくなり、価値向上にもつながるでしょう。
ISO31000を活用していると不確かな将来に備えやすくなり、事業の永続性を高めやすいです。
意思統一を図りやすい
ISO31000を活用すると、企業全体の意思統一を図りやすくなります。ISO31000に定められている枠組みやプロセスを参考にすれば、複数のマネジメントシステムを運用していたり、部署ごとに独立したシステムを導入していたりしても管理しやすくなるからです。
共通認識で適切な管理ができるため、ISO31000を軸としたリスクマネジメントを企業全体で行えるでしょう。
ISO31000を活用する際の注意点
ISO31000は認証を取得する規格ではありません。また、マネジメントシステムにおけるすべての要素を網羅していないため、自社のリスクに合わせたリスクマネジメントの取り組みにつなげることが重要です。したがって、ISO31000は参考程度に留めつつ、臨機応変な取り組みを実施することがポイントです。
リスクマネジメントにはトヨクモの『BCP策定支援サービス(ライト版)』がおすすめ
ISO31000はリスクにおける予防策を対象範囲として定めています。ただし、リスク発生直後の対応を検討する事前準備はISO31000のカバー範囲に含まれています。
▲出典:ISO31000-2018年版:リスクマネジメント-指針の経営への活用
つまり、災害時をはじめとする緊急事態時に備えたBCPは、ISO31000を参考にするといいでしょう。BCP(事業継続計画)とは、災害をはじめとする緊急事態が発生したときの対策をまとめた計画です。緊急事態が発生したときは平常時と異なり、混乱した状態になると予想されるため、冷静な判断を下しにくくなります。間違った判断を下すと、その後の企業存続にも大きな影響をもたらすでしょう。
そこでBCPを策定していると緊急事態時の行動が明らかになっているため、次の一手を打ちやすくなります。迅速な初動が可能となれば、事業の早期復旧も期待できます。
BCPの策定ができていない企業には、トヨクモが提供する『BCP策定支援サービス(ライト版)』の活用がおすすめです。通常、BCPコンサルティングは数十〜数百万円ほどしますが、BCP策定支援サービス(ライト版)であれば1ヵ月15万円(税抜)で策定できるのが魅力です。費用を抑えつつ緊急事態に備えたい方は、ぜひ活用してください。
BCP策定支援サービス(ライト版)の資料をダウンロードする
※BCP策定支援サービス(ライト版)は株式会社大塚商会が代理店として販売しています。
ISO31000を活用してリスクマネジメントを実施しよう
ISO31000は、リスクマネジメントの指針です。企業活動全体におけるリスクマネジメントの取り組みが記されているため、整合性を取りながら事業を展開できるでしょう。
なお、災害時のリスクマネジメントには、トヨクモの『安否確認サービス2』の活用がおすすめです。気象庁の情報と連動して安否確認を自動で行えるため、災害発生時の初動を迅速にできます。BCPに必須の機能も搭載されており、災害以外の緊急事態時にも大いに活用できるでしょう。