ISO/TR31004
掲載:2015年11月20日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO/TR31004は、ISO31000:2009(以後、ISO31000と呼びます)の使い方解説書です。なお、冠にあるTRはTechnical Reportの略称であり、技術報告書のことです。これは通常の国際規格とは異なる種類の調査データなどを、参考文書として発行したもの、という意味を持ちます。また、ISO31000とは2009年に発行されたリスクマネジメントの国際規格のことですが、これについて詳しく知りたい方は、こちらをご覧ください。
さて、このISO/TR31004、正式名称はISO/TR31004 Risk Management – Guidance for the implementation of ISO31000(リスクマネジメント-ISO31000実施の手引き)です。2013年10月15日に国際規格として発行されました。その狙いは、特に以下3点の解説にあります。
・ISO31000が求める事項と、自社の現状を比較して使う方法
・自社のリスクマネジメントのあり方について、修正が必要な箇所の特定と修正実施の準備や準備計画策定の方法
・自社のリスクマネジメントが機能し、継続的改善が図られるようにするための、モニタリングやレビューの方法
本ガイドラインの特徴は、“HOW”にあり
ISO31000を「WHAT(何をするのか)について言及した規格」と例えるとすれば、ISO/TR31000は「HOW(WHATをどのように実現するのか)について言及した規格」と呼ぶことができます。
たとえば、ISO31000の中の箇条4「枠組み」の中に「リスクを運用管理するための枠組みの設計」(箇条4.3)という箇所がありますが(図.1参照)、ここでは「継続的改善を図ることのできるリスクマネジメントの仕組みを実現するために、何を設計に盛り込むべきか(WHAT)」について言及しています。ちなみに、「設計に盛り込むべき要素」として「リスクマネジメント方針」や「リスクマネジメントの体制・役割・責任」などを挙げています。
図.1 ISO31000の提起するリスクマネジメント概念図
※出典:ISO31000:2009 リスクを運用管理するための枠組みの構成要素間の関係
こうした「リスクマネジメントの枠組みの設計」へのISO31000の求めに対して、ISO/TR31004では、自組織では何が足りないのかを明らかにするための評価ステップ(HOW)を説明しています。図.2は、ISO/TR31004の該当箇所の一部を引用したものです。
| 3.3.3 枠組みの設計 3.3.3.1 現状組織のリスクマネジメントに対するアプローチを、組織の状況や文化も考慮に入れて、評価することが望ましい。 ・・・(中略)・・・ リスクマネジメント(リスクアセスメント及びリスク対応)プロセスの(現状)評価をするにあたっては、ISO31000:2009の箇条5「プロセス」だけでなく、箇条3「原則」とも照らし合わせた評価をすることが望ましい(例:自社に導入しているリスクアセスメントプロセスは、自社の全ての組織階層の意思決定に活用されているか・・・など) ●現状の(リスクマネジメント)プロセスは、目的達成のための適切な意思決定をするのに十分なリスク情報を、意思決定者に対して提供できているかを評価する ●現状のリスクマネジメントのアプローチは、相互に関連するリスクや、複数の場所に存在するリスクを十分にあぶり出せているかを評価する |
※ ISO/TR31004:2013の箇条3.3.3 Designing the frameworkの原文を元に筆者が翻訳・編集したもの
ISO/TR31004が、ISO31000を補完する規格であることが良くおわかりいただけたかと思います。
ISO/TR31004のメインは箇条3と5つの付属書
【図3. ISO/TR31004:2013の目次構成】
| 本編 | |
|---|---|
| 箇条1 | 適用範囲 |
| 箇条2 | 準拠規格 |
| 箇条3 | Implementing ISO31000(ISO31000の導入) |
| 3.1 | General(一般) |
| 3.2 | How to implement ISO31000(ISO31000の導入方法) |
| 3.3 | Integration of ISO31000 into the organization’s management processes(組織の管理プロセスとISO31000の統合) |
| 3.4 | Continual improvement(継続的改善) |
| 付属書(Annex) | |
| Annex A | Underlying concepts and principles(コンセプト及び原則の強調) |
| Annex B | Application of ISO31000 principles(ISO31000の原則の適用) |
| Annex C | How to express mandate and commitment (指令及びコミットメントの表現方法) |
| Annex D | Monitoring and review(モニタリング及び見直し) |
| Annex E | Integrating risk management within a management system(マネジメントシステムにおけるリスク管理の統合) |
※ ISO/TR31004:2013のContentsを元に筆者が翻訳・編集したもの
箇条3(ISO31000の導入)では、ISO31000の導入方法(HOW)について解説しています。ISO31000と自社組織との実態とのギャップ特定や、その評価結果に基づく新しいリスクマネジメントの枠組みの設計・導入にいたるまでの方法について触れています。
付属書のBからEには、より具体的な事例や方法が掲載されています。たとえば、付属書B(Annex B)には、ISO31000に登場する「原則(箇条3)」の具体的な解説のみならず、その「原則(箇条3)」と自社組織の実態を比較する際の確認ポイントについていくつか具体例を紹介しています(図.4を参照のこと)。「原則(箇条3)」について、ISO31000では簡潔にしか説明されていないため、非常に有益な情報です。また、付属書D(Annex D)では、パフォーマンス評価をするためのモニタリングの観点や見直しの方法について事例を紹介しています。ISO31000に登場する「アカウンタビリティ」や「資源」などといった項目について、パフォーマンス評価をする上での整理の仕方を紹介しています。
| c) リスクマネジメントは、意思決定の一部である リスクマネジメントは、意思決定者が情報に基づいた選択を行い,活動の優先順位付けを行い,活動の選択肢を見極めることを援助する。 B2.3.2 この原則の適用方法 この原則は、リスクマネジメントが、情報に基づいた意思決定を行うための基礎を提供するものであることを謳ったものである。リスクマネジメントは、目的の達成を支援する活動や意思決定プロセスに統合されるべきである・・・(以下、省略)。
|
ISO/TR31004は、英語が分かるリスクマネジメント実務担当者向け
ISO/TR31004は、リスクマネジメントのHOWについて言及した規格であることから、リスクマネジメントの設計やその見直しを担う、リスクマネジメント運用管理の実務担当者(例:リスクマネジメントの事務局部門の方)や、モニタリングを担う内部監査部門の方向けのガイドラインと言えるでしょう。
ただし、使用する際の留意点があります。この規格はあくまでも補完規格であるため、補完対象であるISO31000をそれなりに読み込んでおく必要があります。加えて、当然ながら、具体的なイメージをもって読み込むために、自社組織のリスクマネジメントの実態について、ある程度の知識をもっておくべきです。さらに、(残念ながら)この規格は原文(英語版)でのみ発行されているものであるため、言葉の壁をどうするかについても解決策を持った上で、ISO/TR31004に臨むことが必要です。
ちなみにこの規格は、日本規格協会のウェブストアより入手することができます。
