ISO/TS31050 リスクマネジメント- レジリエンスを強化するためのエマージングリスクマネジメントのガイドライン
掲載:2023年12月07日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO/TS31050(リスクマネジメント- レジリエンスを強化するためのエマージングリスクマネジメントのガイドライン)とは、エマージングリスクに関するリスクマネジメントを実践するためのポイントを取りまとめた国際規格であり、2023年10月に発行されました。ISO31000(リスクマネジメント-指針)のファミリー規格となり、ISO31000に基づいてリスクマネジメントしている組織がエマージングリスクにも的確に対応できるよう、従来のリスクアセスメントやリスク対応をどのように拡張させて適用するべきかを示しました。
エマージングリスクマネジメントの国際規格ISO/TS 30150とは
エマージングリスクを放置せず、組織として、場当たり的ではなく、しっかりとキャッチして必要な備えを取れるようにしていきたい。そんな組織の想いに応えるためのいわば参考書が、2023年10月に発行されたISO/TS31050(リスクマネジメント - レジリエンスを強化するためのエマージングリスク※1マネジメントのガイドライン)です。
ISO/TS31050は、従来のリスクマネジメントの考え方を否定するものではなく、むしろ補強する位置付けで発行された規格です。すなわち、リスクマネジメントの国際規格ISO31000※2とタッグでエマージングリスクに対抗しようという考え方です。このほか足固めをするために、リスクアセスメントテクニックに特化したISO31010※3や、組織のレジリエンスに精通したISO22316※4などの要素も取り込んでいます。逆に言えば、これら規格連合で立ち向かわないといけないほど、エマージングリスクは手強いと言えるのかも知れません。
※1.エマージングリスクの用語解説はこちら
※2.ISO31000の解説詳細はこちら(概要)とこちら(詳細)
※3.ISO31010の解説詳細はこちら
※4.ISO22316の解説詳細はこちら
ISO/TS31050の構成
ISO/TS31050は全8章で構成され、ガイドラインの中核は4章から8章です。
エマージングリスクを管理するためには、やはり、その特徴を十分に理解しておくことが重要であるため、最初の4章ではエマージングリスクの特性について、様々な角度から解説をしています。例えば、エマージングリスクは、不安定で不確実で複雑な状況の中に生まれるものであることから、未知の変化や、微弱な信号(わずかな兆候)、環境変化の速度などにアンテナを張り巡らせる必要がある、と言ったことなどが書かれています。昨今、見聞きするVUCAとの関係性についても言及されています。
そして、リスクマネジメントの国際規格ISO31000を補完する形で、5章では「原則」について、6章では「プロセス」について、エマージングリスクを管理する際に気をつけるべきポイントを述べています。
ISO31000に示される「原則」(箇条4)は、いわば企業のリスクマネジメント方針のようなものです。その1つに「体系され、包括的でなければならない」という項目があります。これは「組織に、どのようなリスクマネジメントの仕組みを入れるにせよ、属人的なものにはしないようにしよう」という意味ですが、この点についてISO/TS31050では、ただ非属人的なものにするだけでなく、「機敏に情報を収集し判断し動けるようなものにするべきである」と付け足しています。
また、ISO31000の6章「プロセス」は、リスクアセスメントやリスク対応のやり方について記述している箇所です。その中で「組織がリスクをどこまでとるのか・とらないのか」について明確化しておくことが望ましいとありますが、エマージングリスクはその判断が難しいのです。エマージングリスクとは言ってみればレントゲン写真に映し出された薄い影のようなもので、その影を例えば「肺炎の痕」として「とれるリスク」として放置するのか、「とれないリスク」として精密検査に回すのか、その判断が求められます。一方で、この判断が担当する医師によって大きくブレたらたまったものではありません。このため、ISO/TS31050では「むしろシンプルな基準を設けておくべき」といった趣旨のことを述べています。
続いて7章と8章ですが、エマージングリスクへの備えの要諦は、レジリエンスと継続的なモニタリング・アセスメントであるということを伝えるため、今度は健康診断を例にとります。 例えば、前回検査では基準値を大幅に下回る正常値であったのに、今回は正常値ぎりぎりの結果だった場合の対応をイメージしてみてください。検査結果がこのようになった場合は、それが病気の兆候であるかどうかを問わず、今以上に悪い因子を増やさぬよう生活習慣を改めたり、万が一という時に手術できるよう体力をつけたりしておくことが重要です。具体的には、まずは対処しようとする前向きな気持ちを持ち、例えば太りすぎであった場合は、麻酔が効きにくいなどのリスクに備えて減量します。また近年は、術前から体力づくりに励むことが、術後の合併症や筋力低下から寝たきりに移行してしまうことなどを予防できるとされているため、この時点からストレッチやウォーキングを始めるといったことも有効です。いざという時にダメージを受けても影響を最小限にとどめ、回復していく力のことをレジリエンスと呼びますが、エマージングリスクに対応するには組織にもこのようなレジリエンスが求められます。7章では、組織のレジリエンスをどうやって向上させるか、そのためにどのような指標を使って能力評価を行うべきかなどが解説されており、これはISO31000にはない項目です。
次に検査結果が正常値ぎりぎりであったという事象そのものを注視し、継続的にモニタリング・アセスメントすることが重要です。要因は一体何であるのか、時間の経過とともに変化が見られるのか、そこに病気が潜んでいる兆候が少しでも見て取れるのか、日々の体調に変わりはないかなど。こうした健康管理で行っていることを、組織でも意識的に行いましょう。つまり、ある兆候(エマージングリスクの萌芽)に対して、取り巻く状況を追い続け、都度、公表されるデータを入手してリスク評価を行い、どれくらいのスピード感で対策の検討導入が必要かを確認するのです。8章では、こうした継続的モニタリング・アセスメントを実現するためにISO/TS31050独自の新たなメカニズム「リスクインテリジェンスサイクル」を提唱しています。
| 4 エマージングリスク | 4.1 エマージングリスクの性質 | |
| 4.2 エマージングリスクの特徴づけ | 4.2.1 一般 | |
| 4.2.2 知識面 | ||
| 4.2.3 測定面 | ||
| 4.2.4 時間的次元 | ||
| 4.2.5 変動性 | ||
| 4.3 エマージングリスクの発生 | ||
| 4.4 エマージングリスクと組織のレジリエンスとの関係 | ||
| 5 原則 | 5.1 一般 | |
| 5.2 統合 | ||
| 5.3 構造化され包括的 | ||
| 5.4 カスタマイズ | ||
| 5.5 包括的 | ||
| 5.6 動的 | ||
| 5.7 利用可能な最良の情報 | ||
| 5.8 人的および文化的要因 | ||
| 5.9 継続的改善 | ||
| 6 プロセス | 6.1 ISO 31000 プロセスへのエマージングリスクの適用 | |
| 6.2 コミュニケーションと協議 | ||
| 6.3 範囲、文脈、基準 | 6.3.1 範囲と文脈 | |
| 6.3.2 基準 | ||
| 6.4 リスク評価 | 6.4.1 一般 | |
| 6.4.2 エマージングリスクの特定 | ||
| 6.4.3 エマージングリスクの分析 | ||
| 6.4.4 エマージングリスクの評価 | ||
| 6.5 リスク対応 | ||
| 6.6 監視とレビュー | ||
| 6.7 記録と報告 | ||
| 7 エマージングリスクの管理によるレジリエンスの強化 | 7.1 能力開発 | |
| 7.2 エマージングリスクとレジリエンス指標 | ||
| 8 リスクインテリジェンスサイクルとエマージングリスクの管理 | 8.1 概要 | |
| 8.2 知識をエマージングリスクに関する意思決定に適用する | ||
| ~付録~ 付録A(情報提供用)新たに生じるリスクの源泉となる文脈の変化例 付録B(情報提供用)新たに生じるリスクの説明または記録テンプレートの例 付録C(情報提供用)システミックリスク 付録D(情報提供用)新たに生じるリスクの管理に影響を与える要因の例 付録E(情報提供用)新たに生じるリスクを管理するための知識及びリスクインテリジェンスサイクル 付録F(情報提供用)完成したレジリエンス指標テンプレートの例 |
||
| 参考文献 | ||
出典:規格を参考にニュートン・コンサルティングが作成。第1章~第3章は割愛。
リスクインテリジェンスサイクルとは
リスクインテリジェンスサイクルとは、組織がエマージングリスクを特定、分析、評価し、対処するための適切な戦略を立てるプロセスです。言うなれば、レントゲン検査で浮かび上がったぼんやりとした影を、いち早く捉え、その状況を観察・評価し、いつでも必要な診療体制に入れるようにするための組織の監視活動です。
出典:「ISO31000:2018の図1 原則、枠組み及びプロセス」および「ISO/TS31050:2023 図5 ISO31000プロセスに適用されるエマージングリスクのリスクインテリジェンスサイクル」を元にニュートン・コンサルティングが作成
具体的には「継続的なスキャニング」「データ収集と分析」「その結果の解釈」「意志決定者への伝達」というステップを踏みます。難しい言葉が並びますが、ここではっきりと言えるのは、一般企業がよく行う年1回のゆっくり丁寧なリスク調査などとは異なるものだということです。年1回の健康診断に頼るのではなく、四半期に1回の頻度で検査をして状況を観察・評価し続けるような・・・それを仕組みとして確立しているようなイメージです。
話は横道にそれますが、こう考えますと、リスクインテリジェンスサイクルは、実はOODA(ウーダ)ループ※の考え方にも似ています。OODAループとは、戦争において敵との戦闘に勝利するために開発された勝利の方程式であり、直面した状況を瞬時に評価し、見極め、どのように対応するかを決め、即実行に移す考え方です。OODAループは、戦争に限らずとも、即時判断・即時行動が求められる戦場さながらの現場(例えば医療現場や、工場で起きた火災事故への対応など)に当てはまる考え方です。ゆえに、OODAループの考え方は現代社会のいたるところに取り入れられています。
こうしたOODAループとリスクインテリジェンスサイクルは、名前が違うだけで同じものではないのかと、思いたくなります。ですが、出自が異なるため、よく似てはいるのですが完全に同じものとは言えません。その違いを理解することこそが、リスクインテリジェンスサイクルの理解をさらに助けると思います。OODAループはあくまでも戦場、すなわち現場で直面する状況変化にどのように対応するかという考え方から生まれたもので「戦術色」の濃いものです。他方、リスクインテリジェンスサイクルは突如、目の前に現れた事象への対応のみならず、1年後、3年後、10年先に芽吹くかもしれないエマージングリスクをどうキャッチして適切な対応を取るかという「戦略色」の強いものです。実際、ISO/TS31050は「6.4.2 エマージングリスクの特定」において、「常に戦略的なレベル及び組織全体におけるエマージングリスクの特定に努めることが重要である」と述べています。
※OODAループの詳細はこちら
ISO/TS31050の利用者と使い方
ISO/TS31050の主な利用対象者と用途ですが、エマージングリスクは誰にとっても気になるリスク、いや気にすべきリスクであることは間違いなく、幅広くいろいろな立場の人に有益であり、全社的リスクマネジメント(ERM)の強化や監査にも活用できます。
組織において求められる役割によって使い方は異なりますが、ERMの事務局機能を担うリスクマネジメント部門は、組織がエマージングリスクに適切に立ち向かえるよう力になりたいはずです。体制やルール整備、既存の仕組み改善のヒントを得るために、当該規格を利用するべきでしょう。ただしその際、当該規格のベースとなっているリスクマネジメントの国際規格ISO31000に関する最低限の知識は持っておきたいところです。
先述の通り、エマージングリスクは戦略的側面の強いリスクですから、中長期的な戦略を立案したりその実行にあたる立場にある経営者や、企画部や研究開発部の人たちにも有効なインプットになったりするはずです。エマージングリスクの特性を掴み、どういった要素が必要かを知っておくだけなら、ISO/TS31050さえ押さえておけば知識の土台として十分です。
監査関係者(内部監査委員や監査役等)においては、組織のエマージングリスクの管理体制が充分かどうか、その過不足を評価するツールとして活用するためにも、組織のリスクマネジメント事務局に近い知識を持っておきたいところです。
終わりに
いつの世も、エマージングリスクは企業の存続を脅かす存在でしたし、それは技術が発達した現代においても、いやむしろ発達した今だからこそ、複雑性・不確実性を増して企業の生死を分けるほど大きな課題であると言っても過言ではありません。人間には知識を習得し、それを活かす知恵があります。技術革新が激しい今だからこそ、ISO/TS31050はいっそう重要となる規格であり、学ぶ価値があるといえるでしょう。
ISO/TS31050は、国際企画のウェブストアから購入することができます。現在翻訳版は存在しておらず、原文(英語)で入手することができます。
参考文献
- ISO/TS31050 - レジリエンスを強化するためのエマージングリスクマネジメントのガイドライン
- ISO31000:2018 - リスクマネジメント - 指針
