「A Risk  Management  Standard」について ⑤ 4.リスク分析、4.2 リスクの説明、4.3 リスクの算定、4.4 リスク分析手法

2013年5月20日月曜日 | ラベル: |

 拙宅のバラは5月上旬が満開です。
 
 

 
 



 「A Risk  Management  Standard」
4.リスク分析
4.2 リスクの説明
 リスク説明の目的は、特定されたリスクを、表を用いる等体系化されたフォ-マットにより表示することである。リスクの説明・アセスメントを円滑に行うため、以下の表を利用するのもひとつの方法である。総合的なリスクの特定・説明・アセスメントのプロセスには、十分に設計された制度が必要である。表に記載されている各リスクの結果及び発生確率を検討することにより、より詳細な分析を要する主要リスクの優先順位をつけることができるであろう。事業活動や意思決定に関するリスクの特定に関しては、戦略、プロジェクト・戦術、業務等に分類することができる。プロジェクトの構想段階及び特定のプロジェクトについてはプロジェクト期間全体を通シテリスク・マネジメントを取り入れることが重要である。

4.2.1 リスクの説明 

4.3 リスクの算定
 リスクの算定は、発生の確率及び起こりうる結果について数量的、標準量的又は定性的手法により行うことができる。

 
例えば,脅威(ダウンサイド・リスク)、機会(アップサイド・リスク)双方につきその結果が高、中、低に分類される(表4.3.1を参照)、発生確率も高、中、低と分類されるが、しかし脅威・機会に関しては別の定義が必要となる。(表4.3.2及び表4.3.3を参照)

 以下の表に具体例を示す。組織によって異なる結果・発生確率の測定基準を適用することがわかるであろう。
 例えば、多くの組織にとって、結果及び発生確率を高、中、低により評価することがそれぞれのニーズに非常に適しており、これを3x3のマトリクスにより表現することができる。
 また、他の組織にとっては、結果及び発生確率を5x5のマトリクスにより評価する方がより良い評価になることがわかるであろう。

4.3.1 結果 ― 脅威及び機会

4.3.2 発生の確率 - 脅威                                           


4.3.3  発生の確率 - 機会

4.4 リスク分析手法
 リスクの分析には様々な手法が用いられる。これらの手法はアップサイド・リスク或いはダウンサイド・リスクのどちらか一方のもの分析用のばあいもあり、両方に適用できる場合もある。(4月20日、5月10日記載の参考資料の具体例を参照)

4.5 リスク・プロフィール
 リスク分析プロセスの結果は、各リスクの重要性の格付けを行い、リスク対応の取組みに優先順位をつける手段を提供するリスク・プロフィールを作成することを目的に利用される。これは特定されたリスクについて相対的な重要性の概念を与えるためにリスクの順位付けを行うものである。
 

 このプロセスにおいてリスクの影響を受ける事業分野の位置付けを行い、主要な管理手順を説明し、どの分野においてリスク管理投資レベルが上昇・低下した或いは再配分されたのかを示す。

 説明義務の実行により、リスクの「所有」を認識し、経営資源の適切な配分を行うことが可能となる。

(所感)
 ISO31000には、リスクアセスメントのリスクの特定・リスク対応の項で今回ご紹介したことと同様の問題についての記述があります。何回も申しますが、「A Risk Management  Standard」の記述は、企業がISO31000・JISQ31000に準拠してリスクマネジマントを実践する場合にも、大変参考になります。
 今回の記述で、4.2.1 リスクの説明の表は、リスクの内容を考える場合に参考になる項目が列挙されています。特に強調したいことは、4.3 リスクの算定の中の4.3.3 「発生の確率 - 機会に関する発生確率」の表です。わが国のリスクマネジメントの参考書では、「リスクの算定は発生確率及び起こり得る結果」と言う記述は必ずありますが、「機会に関する発生確率」に触れている記述は,寡聞にして私は知りません。
 「A Risk  Management  Standard」で言う「アップサイド・リスク」、或いは経済産業省の平成15年6月の「リスク新時代の内部統制」で言う「事業機会に関連するリスク」の算定に関して、大変参考になる表だと思います。
 アメリカのCOSO2 のリスクの定義では、「組織の戦略や目的達成に影響するような内的・外的事象をイベント という。正の影響を与えるイベントを機会(opportunity)・負の影響を与えるイベントをリスク(risk)という。」とされています。
 「機会のマネジメント」はリスクマネジメントの対象外なのかなと思います。
 わが国でも「機会のマネジメント」に関する議論はあまりなされていないと思います。 更に、安全の分野においては、一般的にリスクの結果はマイナス面のみであり、“安全リスクの管理”といった場合、それは危害の防止または軽減ということになるとされています。
 

 アメリカ一辺倒でなく、イギリスのリスクマネジメントの実務にも、わが国のリスクマネジメント関係者はもっともっと目を向けるべきだと私は思います。

  
○「A Risk  Management  Standard」(日本語版)
http://www.theirm.org/publications/documents/Japanese_Risk_Management_Standard_031125.pdf


続きを読む »

「A Risk  Management  Standard」について ④ 4.リスク分析

2013年5月10日金曜日 | ラベル: |

 大型連休の関係で5月1日は休みました。
 何年か前、旧軽井沢のロータリーでは5月5日に桜が満開でした。



 5月初旬の軽井沢は「からまつ」の若葉が綺麗です。
  

 「A Risk  Management  Standard」
4.リスク分析
4.1 リスクの特定
 リスクの特定とは組織の不確実性に対するエキスポージャーを特定することである。これには組織やその業務を行う市場、法的・社会的・政治的・文化的環境についての深い知識、及び成功に不可欠な要因や、目標達成に関する脅威・機会等、戦略・業務目標についての健全な理解が必要である。

 リスクの特定は、組織の全ての重要な活動を特定し、これらの活動から発生する全てのリスクの定義付けを確実に行うため、体系的な手法により行われる。また、これらの活動に関連する全ての変動性を特定し、分類しなければならない。
 
 業務上の活動、決定の分類は、以下の様々な方法により行われる。
  • 戦略・組織の長期的戦略目標に関するもの。これらは、資本の利用可能性、国家或いは政治に関するリスク、法規制の改正、社会的評価、物理的環境の変動等の影響を受ける。
  • 業務 ー 組織がその戦略目標を実行する際に直面する日常的な問題に関するもの。
  • 財務 - 組織の財務及び信用枠・為替レート・金利の変動・その他市場エキスポージャー等外部要因の影響の効果的な管理に関するもの。
  • 知識管理 - 知識の源泉、製作物及びその保護並びにこれに係るコミュニケーションの効果的な管理に関するもの。外部要因としては、知的財産の不正使用、地域の停電、競合する技術等が挙げられる。内部要因には、システム障害、主要スタッフの離職等がある。
  • コンプライアンス - 健康・安全、環境、商品表示、消費者保護、データ保護、雇用慣行、規制上の問題等に関するもの。
リスクの特定は外部のコンサルタントが行うこともあるが、組織内の十分なコミュニケーションに基づく、一貫性のある、協調のとれたプロセス及びツール(参考資料参照)による方がより効果的に行えるであろう。組織内においてリスクマネジメント・プロセスを「所有」していることが不可欠となる。

10.参考資料(再掲)

 リスク特定の手法  具体例
  • ブレーンストーミング
  • アンケート
  • ビジネス・プロセスの検討を行い、これらのプロセスに影響を与える内部プロセス及び外部要因双方について解説する、ビジネス・スタディー
  • 業界のベンチマーキング
  • シナリオ分析
  • リスク・アセスメント・ワークショップ
  • 事例調査
  • 監査・検査
  • HAZOP(ハザード&オペラビリティ・スタディ)
リスク分析の手法   具体例

アップサイド・リスク
  • 市場調査
  • プロスペクティング
  • テスト・マーケティング
  • 研究開発
  • ビジネス・インパクト分析
アップサイドリスク及びダウンサイド・リスク
  • 依存モデル化
  • SWOT分析(強み・弱み・機会・脅威)
  • イベント・ツリー分析
  • 事業継続計画
  • BPFST分析(事業・政冶・経済・社会・技術)
  • リアル・オプション・モデル化
  • リスク・不確実性の条件下での意思決定
  • 統計に基づく推測
  • 代表値・分散度
  • PESTLE(政冶・経済・社会・技術・法律・環境)
ダウンサイド・リスク
  • 脅威分析
  • フォールト・ツリー分析
  • FMEA(故障モード影響分析)
(所感)
 「ISO31000・JISQ31000」でも、リスクマネジマントの実践に当たっては、組織の状況を確定して、目的を明確にすべきだとしています。前回も書きましたが、企業がISO31000・JISQ31000に準拠してリスクマネジマントを実践する場合でも、「A Risk Management  Standard」の記述は大変参考になります。
 「ISO31000・JISQ31000」はどのような組織にも、どのようなリスクにも適用出来る汎用的なリスクマネジメント規格なので、抽象的な記述が多いによう思われます。これに比べ、「A Risk Management  Standard」の記述は大変具体的です。
平成15年6月の経済産業省のレポート「リスク新時代の内部統制」は、リスクを「事業機会に関連するリスク」と「事業活動の遂行に関するリスク」に分けています。
 「A Risk Management  Standard」の記述では、「事業機会に関連するリスク」については、〈資本の利用可能性、国家或いは政治に関するリスク、法規制の改正、社会的評価、物理的環境の変動等の影響を受ける。〉「事業活動の遂行に関するリスク」は、〈業務、財務、知識管理、コンプライアンス等の項目が関係する。〉と書かれています。
 いつものことですが、当然の項目として「財務」が挙げられています。どうしてわが国におけるリスクマネジメントの実務では、「財務」はあまり問題にされないのでしょうか。
 次回は、4.2リスクの説明、4.3リスクの算定の項をご紹介致します。
 
○「A Risk  Management  Standard」(日本語版)


続きを読む »