リスク管理Naviリスクマネジメントの情報サイト

リスクオーナー/リスク所有者 (Risk Owner)

掲載:2016年01月19日

改訂:2021年05月19日

用語集

リスクオーナー/リスク所有者(以後、リスクオーナーという表記に統一します)とは、リスク管理及び説明の責任・権限を持つ者(または組織)を意味します。

         

リスク管理の責任・権限とは

リスク管理の責任・権限とは、リスクマネジメントプロセスの実行責任・権限のことです。より具体的には、リスクの洗い出し(リスク特定)や、その大きさの算定(リスク分析)、対応の優先順位づけ(リスク評価)、リスクに対する対応(リスク対応)などといった活動における最終的な意思決定や確実な履行を指します。また、説明責任・権限とは、これらリスク管理の活動内容や活動結果について、主要なステークホルダー(例:社長など)に対して、確実かつ正確に伝える義務を意味します。

ちなみに、リスクマネジメントの用語について定めた国際規格ガイド73では、次のように定義されています。

リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体
(Person or entity with the accountability and authority to manage a risk)

※出典:ガイド73 3.5.1.5リスク所有者より

リスクオーナーを設ける狙いと具体例

部門や役職者などの責任・権限は、業務分掌規程などに定められることが一般的です。ですが、リスクに関する管理責任・権限については意外に不明瞭なこともあります。リスクオーナーを設ける狙いは、管理責任・権限の明確化を通じて、リスク管理の抜けもれ、いわゆる、リスク管理のポテンヒットを防止することにあります。

したがって、実際の組織では、リスクの種類や性質に合わせて、組織の中に複数のリスクオーナーを設けることが一般的です。具体的にはたとえば、財務リスク(例:為替変動の影響を受けるリスクや、取引先が倒産し、売掛金が貸し倒れになってしまうリスクなど)のリスクオーナーは財務部に、システムリスク(例:不正アクセスやバグによってシステムに障害が起きるリスクなど)のリスクオーナーは情報システム部に、労務リスク(例:勤務中にけがをするリスクなど)のリスクオーナーは、人事部に…といった形です。

上図のようにリスクオーナーは部門全体を指すこともあれば、人に帰属する場合もあります。冒頭で述べましたように、リスクオーナーはリスク管理及び説明の責任・権限を持つ者と定義されることから、そのリスクの管理を担う部門の部門長や担当役員などがアサインされることも少なくありません。企業の内部監査人や監査役は、各リスクが組織においてどの程度厳格に管理され、またどのような課題があるかについて、こうしたリスクオーナーに対する監査を通じて、推し量ることができます。

ISOマネジメントシステムやCOSO-ERM(2017)とリスクオーナー

リスクオーナーという言葉は、ISOマネジメントシステム規格(リスクマネジメントの国際規格であるISO31000:2018、情報セキュリティマネジメントシステムの国際規格ISO27001:2013等)やCOSO-ERM(2017)の中でも使われています。

以下は、ISO31000:2018の中でリスクオーナーという言葉が登場する箇所を抜粋したものです。この箇条(5.4.3)では、リスクマネジメントを行うための説明責任と権限を担う個人をリスクオーナーとして特定することが望ましいと述べています。ここでリスクオーナーを個人に限定しているのは、責任の所在が不明瞭になることを防ぎたいという意図があると推定されます。

5.4.3 組織の役割, 権限, 責任及びアカウンタビリティの割当て
トップマネジメント及び監督機関(該当する場合)は, リスクマネジメントに関して, 関連する役割の権限, 責任及びアカウンタビリティが組織のあらゆる階層で割り当てられ, 伝達されることを確実にし, 次の事項を行うことが望ましい:
- リスクマネジメントは中核的な責務であることを強調する
- リスクマネジメントを行うためのアカウンタビリティ及び権限を持つ個人(リスク所有者)を特定する

※出典:ISO31000:2018 5.4.3 組織の役割, 権限, 責任及びアカウンタビリティの割当てより

また、ISO27001:2013では、以下のような場面で登場します。情報セキュリティに関して特定されたリスクへの対応計画や、対応後に残るリスクの大きさ(残留リスク)について、担当者だけの判断で良しとするのではなく、リスクオーナーの承認を得ることを求めています。

6.1.3 情報セキュリティリスク対応
組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない:
a)リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する
b) ・・・(省略)・・・
・・・(省略)・・・
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。
・・・(省略)・・・

※出典:ISO27001:2013 6.1.3 情報セキュリティリスク対応より

さらに、COSO-ERM(2017)では、次のように触れられています。

リスクオーナーは、割り当てられた優先順位を利用して、事業目的や業績目標に照らして適切なリスク対応策を選択・適用する責任があります。リスクオーナーは、リスクを効果的に管理するための責任と説明責任に基づいて、リスクに優先順位をつけるための十分な権限を持っていなければなりません。
(「原則12:リスクの優先順位付け」より)

リスクオーナーは特定したリスクの効果的な管理の責任を負う
(「原則20:リスク、文化、ならびにパフォーマンスの報告」より)

※出典:COSO-ERM - 戦略とパフォーマンスとの統合:2017より