ISO31000:2018は、リスクマネジメントを3つの要素から構成されるもの、として捉えています。3つの要素とは「原則」「枠組み」「プロセス」です。

なお「原則」は、リスクマネジメントをどのような組織において行う場合にも遵守すべき事項を示した方針のようなものです。ISO31000:2018には上図に記載されている通り8つの原則が書かれています。

また「枠組み」と「プロセス」は、「プロセス」がリスクを洗い出したり、分析・評価したり、リスク対応をしたりするための、より現場に近い活動を指す一方、「枠組み」はそうした「プロセス」が組織の目的達成(例:経営理念やミッション、中長期目標や計画)と適切にリンクするような設計や導入、見直しにつながるための活動を指します。

例えば、あなたが個人データを大量に扱うITサービス会社を運営していたとします。この場合、情報セキュリティに関わるリスク洗い出しや、そうしたリスクへの対応を行うのが「プロセス」です。他方、そもそもそうした「プロセス」を暗黙知で(場当たり的に)行うのか、然るべき経営ツール(例: ISMSなど)を使うのか、誰がいつどうやって実施するか・見直すのか、などを決定し実行させるのが「枠組み」です。

ところで「プロセス」は、組織によって1つの場合もあれば、複数の場合もあります。前段の例では情報セキュリティリスクマネジメントプロセス1つを取り上げましたが、組織によっては、品質リスクや環境リスク、事業継続リスク、財務リスクといったように、組織が気にするリスクの種類ごとに異なったプロセスを持っている場合も考えられます。もちろん、リスクの種類ごとにプロセスを分けたりせず、あらゆるリスクを1つのプロセスで管理している場合もあります。

それぞれの項目について、以下に簡単に解説しておきます。

5. 枠組み
5.2 リーダーシップ及びコミットメント
リーダーシップ及びコミットメントには、取締役やトップマネジメント(例:社長など)の責任が記載されています。ちなみに、旧版(ISO31000:2009)では、主語がトップマネジメントのみでしたが、この2版では「監督機関」という言葉が主語に追加されています。ここでは例えば、リスクマネジメント取り組み方針や、役割・権限・アカウンタビリティ(説明責任)の確立責任を取締役やトップマネジメントが持つことを求めています。

5.3 統合
ここでは組織のリスクマネジメント活動を、ガバナンスや、戦略策定、戦略遂行、文化などと一体化させることを求めています。

5.4 設計
リスクマネジメント全体の建てつけを適切に考えることを求めています。建てつけとは、リスクマネジメントの取り組み方針や、体制・役割・責任、コミュニケーション・協議ルールリスクマネジメントプロセスなどを指します。また、こうした建てつけを適切に決定するために、組織の課題を整理することも求めています。

5.5 実施
設計にて決定されたリスクマネジメントプロセスが、組織に確実に導入され運用されることを求めています。

5.6 評価および5.7 改善
「枠組み」における各種活動が、「枠組み」の目的達成に役立っているかどうか(有効性)を評価し、改善することを求めています。なお「枠組み」の目的とは例えば、経営理念やミッション、中長期目標や計画を指します。

6. プロセス
6.1 一般 
リスクマネジメントプロセスを導入する際の留意事項、例えばリスクマネジメントプロセスが「体系的(誰がやってもどう品質のアウトプットが出るよう)な活動になるように意識すること」、動的な環境変化に耐えられるようにすることなどが記載されています。

6.2 コミュニケーション及び協議
リスクに対する意識や理解の促進、意思決定を裏付けるためのフィードバック及び情報の入手を行うためのコミュニケーション及び協議の機会を、リスクマネジメントプロセスのあらゆる段階で設けることを求めています。

6.3 適用範囲，組織の状況及び基準
効果的なリスクアセスメント及び適切なリスク対応を実現するために、適用範囲の決定と活動の目的設定、とる・とらないリスク(リスク基準)の明確化を求めています。

6.4 リスクアセスメント
リスク特定、リスク分析、リスク評価について、何を目的に何に注意して行うべきかについて言及しています。なお、それぞれの目的について次のように解説しています。

リスク特定...組織の目的達成を助ける又は妨害する可能性あるリスクを発見し、認識し、記述すること
リスク分析...リスクのレベルを含め、リスクの性質及び特徴を理解すること
リスク評価...決定(リスク対応をする・しない、対応の選択肢の決定、さらなる分析、など)を裏付けること

6.5 リスク対応
リスク対応の目的と、リスク対応を実施する際にとりうる7つの選択肢を示しています。なお、リスク対応の目的は、リスクに対処するための選択肢を選定し実施することだと述べています。

6.6 モニタリング及びレビュー
リスクマネジメントプロセスそのものの有効性を向上させるために、リスクマネジメントプロセスに関わる活動やその結果についてモニタリングし見直しを行うことを求めています。

6.7 記録作成及び報告
リスクマネジメントプロセスの実施結果を利害関係者への情報共有や将来の改善につなげるために、記録に残しことを求めています。

大枠ではISO31000:2009とISO31000:2018に大きな違いはないと思っていいでしょう。細かい点での違いを見るために「用語」「全体の構成」「内容」の3つの観点で解説します。

規格で用いられている「用語」に変更はありません。しかしながら、定義している用語数に違いがあります。わかりやすさを意識してのシンプル化と、さまざまな規格で使用される類似用語の整合性の向上を目的として、定義された「用語数」は29語から8語へと大幅に削減されています。ちなみに同規格で解説が省かれた用語の定義についてはISO規格の公式オンラインデータベースを参照する旨の記述にとどめています。

「全体の構成」については、ISO31000:2018に「引用規格」という大項目が追加されたため全体の項番が変わったこと(例: 2.用語及び定義 → 3. 用語及び定義)と、付属書Aが削除されたこと、項番の呼称が一部変更されたこと(例:「4.2 指令及びコミットメント」→ 「5.2 リーダーシップ及びコミットメント」)以外には変更はありません。

「内容」については、各項目に多少の加筆修正がなされている程度です。例えば、「原則」は旧規格では11ありましたが、8つに削減されました。削除された原則は「組織のすべてのプロセスにおいて不可欠な部分」「意思決定の一部」「不確かさに明確に対処する」の3つです。

例えば前段で述べましたように、今まで「トップマネジメントの責任」としていたものを「監督機関及びトップマネジメントの責任」に変更することで、ガバナンスの視点を強めたり、プロセスの章の「5.1 一般」では、従来の文言に加え、「組織の中でリスクマネジメントプロセス全体に、人間の行動と文化が持つ動的で可変な性質が考慮されていることが望ましい」と言った文言が追加されています。
 

ISO31000:2018のほかに、類似の指針として、COSO-ERM(2017)があります。前者が極めてシンプルな解説にとどめている一方で、後者はほぼ全ての項目で詳細な解説をしています。詳細な違いの解説については、こちらをご覧ください。

ただし、ISO31000:2018の方がシンプルであるからと言って当該規格が劣っているという意味ではありません。ISO規格は活用目的に応じて、都度規格を発行しているため、このようなコンパクトな規格に収まっているとも言えます。ISO31000:2018には、具体的には次のような補完規格があります。

• ISO31010:2009リスクアセスメント技法
• GUIDE73:2009 リスクマネジメント用語
• ISO/TR31004:2013(ISO31000の導入ガイダンス)
• ISO/WD 31022:全社的法規制リスクマネジメントの導入ガイドライン(策定途中)

ISO31000:2018は、組織全のリスクマネジメントプロセスを担うリスクマネジメント部門(例: リスクマネジメント室や経営企画部、総務部、内部統制室など)や、監査をする方向けの参考書と言えるでしょう。

次に活用方法ですが、先述しましたように監査基準や認証基準として活用することを前提にしていない「指針」ではあるものの、非常にコンパクトな内容にとどめられていることから、自組織の全社的リスクマネジメント(ERM)の過不足点や、導入時の設計考慮点を導き出すのに有効なツール、すなわちチェックリストとして活用することをが可能でしょう。

ただシンプルであるがゆえに、読み手に力量を求める規格だともいえます。したがってある程度リスクマネジメントに精通した人が対象となります。リスクマネジメント初心者の方は、まずリスクマネジメントの考え方についてより優しく解説した書籍を読んだり、リスクマネジメントの入門に関する外部研修などを受講してから、同規格を活用してみることをお勧めします。

ちなみに同規格は、日本規格協会から、約2万円程度で購入することができます。