リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

リスクオーナー/リスク所有者 (Risk Owner)

2016年01月19日

リスクオーナー/リスク所有者(以後、リスクオーナーという表記に統一します)とは、リスク管理及び説明の責任・権限を持つ者(または組織)を意味します。

リスク管理の責任・権限とは、リスクマネジメントプロセスの実行責任・権限ことです。より具体的には、リスクの洗い出し(リスク特定)や、その大きさの算定(リスク分析)、対応の優先順位づけ(リスク評価)、リスクに対する対応(リスク対応)などといった活動における最終的な意思決定や確実な履行を指します。また、説明責任・権限とは、これらリスク管理の活動内容や活動結果について、主要なステークホルダー(例:社長など)に対して、確実かつ正確に伝える義務を意味します。

ちなみに、リスクマネジメントの用語について定めた国際規格ガイド73では、次のように定義されています。

リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体
(Person or entity with the accountability and authority to manage a risk)
※出典:ガイド73 3.5.1.5リスク所有者より

リスクオーナーを設ける狙いと具体例

部門や役職者などの責任・権限は、業務分掌規程などに既定されることが一般的です。ですが、リスクに関する管理責任・権限については意外に不明瞭なこともあります。リスクオーナーを設ける狙いは、管理責任・権限の明確化を通じて、リスク管理の抜けもれ、いわゆる、リスク管理のポテンヒットを防止することにあります。

したがって、実際の組織では、リスクの種類や性質に合わせて、会社の中に複数のリスクオーナーを設けることが一般的です。具体的にはたとえば、財務リスク(例:為替変動の影響を受けるリスクや、取引先が倒産し、売掛金が貸し倒れになってしまうリスクなど)のリスクオーナーは財務部に、システムリスク(例:不正アクセスやバグによってシステムに障害が起きるリスクなど)のリスクオーナーは情報システム部に、労務リスク(例:勤務中にけがをするリスクなど)のリスクオーナーは、人事部に…といった形です。

1447_ext_05_3.jpg

上図のようにリスクオーナーは部門全体を指すこともあれば、人に帰属する場合もあります。冒頭で述べましたように、リスクオーナーはリスク管理及び説明の責任・権限を持つ者と定義されることから、そのリスクの管理を担う部門の部門長や担当役員などがアサインされることも少なくありません。企業の内部監査人や監査役は、各リスクが組織のおいてどの程度厳格に管理され、またどのような課題があるかについて、こうしたリスクオーナーに対する監査を通じて、推し量ることができます。

ISOマネジメントシステムとリスクオーナー

リスクオーナーという言葉は、ISOマネジメントシステム規格の中でも使われています。具体的には、たとえばリスクマネジメントの国際規格であるISO31000:2009や、情報セキュリティマネジメントシステムの国際規格ISO27001:2013に登場します。

以下は、ISO31000:2009の中でリスクオーナーという言葉が登場する箇所を抜粋したものです。この箇条(4.3.3)では、組織の中に適切なリスクオーナーを設けることで、リスクマネジメントプロセスの確実な履行や、妥当性、有効性ならびに効率性の向上を促進できると述べています。

4.3.3 アカウンタビリティ
組織は,リスクマネジメントプロセスの実践及び維持管理,並びにあらゆる管理策においても,妥当性,有効性及び効率を確実にすることを含め,リスクの運用管理に関するアカウンタビリティ,権限及び適切な力量があることを確実にすることが望ましい。これは,次の事項によって促進できる。 -リスクを運用管理するためのアカウンタビリティ及び権限をもつリスク所有者を特定する。 -・・・(省略)・・・ ・・・(省略)・・・ 

※出典:ISO31000:2009 4.3.3 アカウンタビリティより

また、ISO27001:2013では、以下のような場面で登場します。情報セキュリティに関して特定されたリスクへの対応計画や、対応後に残るリスクの大きさ(残留リスク)について、担当者だけの判断で良しとするのではなく、リスクオーナーの承認を得ることを求めています。

6.1.3 情報セキュリティリスク対応
組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない:
a)リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する
b) ・・・(省略)・・・
・・・(省略)・・・
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。
・・・(省略)・・・ 

※出典:ISO27001:2013 6.1.3 情報セキュリティリスク対応より

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム