「A Risk  Management  Standard」について ③ 2.2 リスクマネジメント・プロセス  3.リスク・アセスメント 

2013年4月20日土曜日 | ラベル: , , |

4月11日(木)京都に行って、久しぶりに「都をどり」を見て来ました。

○祇園甲部歌舞練場
 

○お茶席
 
○祇園甲部歌舞練場のお庭の桜
 

「A Risk  Management  Standard」

2.2 リスクマネジメント・プロセス   
 
 
 リスクマネジメントは、以下の方法により組織の目標をサポートすることにより、組織及びそのステークホルダーを保護し、また、これに価値を与える。
  • 将来の活動を一貫性のある、管理された方法により行う為の組織の枠組みを作る。
  • 事業活動、変動性、プロジェクトの機会・脅威を総合的・体系的に理解することにより良い意思決定、計画策定、優先順位の決定を行う。
  • 組織内におけるより効率的な資本及び資源の利用・配分に資する。
  • 資産及び企業イメージを保護し、増大させる。
  • 人及び組織の知識ベースを発展させ、これらをサポートする。
  • 業務の効率の最適化を図る。
ご参考までに、ISO31000のリスクマネジメント・プロセスです。

3.リスク・アセスメント
 リスク・アセスメントは,ISO・IECガイド73において、リスク分析及びリスク評価の総合的プロセスであると定義されている。(参考資料参照)

○参考資料

 リスク特定の手法  具体例
  • ブレーンストーミング
  • アンケート
  • ビジネス・プロセスの検討を行い、これらのプロセスに影響を与える内部プロセス及び外部要因双方について解説する、ビジネス・スタディー
  • 業界のベンチマーキング
  • シナリオ分析
  • リスク・アセスメント・ワークショップ
  • 事例調査
  • 監査・検査
  • HAZOP(ハザード&オペラビリティ・スタディ)
リスク分析の手法   具体例

アップサイド・リスク
  • 市場調査
  • プロスペクティング
  • テスト・マーケティング
  • 研究開発
  • ビジネス・インパクト分析
アップサイドリスク及びダウンサイド・リスク
  • 依存モデル化
  • SWOT分析(強み・弱み・機会・脅威)
  • イベント・ツリー分析
  • 事業継続計画
  • BPFST分析(事業・政冶・経済・社会・技術)
  • リアル・オプション・モデル化
  • リスク・不確実性の条件下での意思決定
  • 統計に基づく推測
  • 代表値・分散度
  • PESTLE(政冶・経済・社会・技術・法律・環境)
ダウンサイド・リスク
  • 脅威分析
  • フォールト・ツリー分析
  • FMEA(故障モード影響分析)
(所感)
 ISO31000は、わが国においてJISQ31000として、JIS規格になっていますからリスクマネジメントの実践にあたっては、JISQ31000に準拠すべきですが、「A Risk Management Standard」の記述を参考にすることは十分意義があることだと私は思います。
 例えば、前記のISO31000のリスクマネジメント・プロセスに比べて、「A Risk Management Standard」のリスクマネジメント・プロセスは、ややステップが多くなっています。各ステップの内容の記述はISO31000のリスクマネジメント・プロセスの実践にあたっても参考になると思います。
 私は総てについて十分理解している訳ではありませんが、リスク分析の手法の具体例の中に、HAZOP、リス特定の手法の具体例の中にビジネス・インパクト分析、SWOT分析、イベント・ツリー分析、BPFST分析、リアル・オプション・モデル化、フォールト・ツリー分析、FMEAなど数多くの手法が例示されていることも参考になると考えます。
 また、我田引水かも知れませんが、2001年9月アメリカ同時多発テロ事件の翌年に作られた「A Risk Management Standard」のアップサイドリスク及びダウンサイド・リスク分析の手法の具体例の中に「事業継続計画」の項目があることも注目すべき点です。
次回からは、4.リスク分析の項をご紹介致します。

 ○「A Risk  Management  Standard」(日本語版)
http://www.theirm.org/publications/documents/Japanese_Risk_Management_Standard_031125.pdf
続きを読む »

「A Risk  Management  Standard」について ②  1.リスク  2.リスクマネジメント  2.1 外部・内部要因

2013年4月10日水曜日 | ラベル: , , |

 2002年4月中旬にRIMS(the risk management society)の年次総会に出席するため、アメリカ南部のニューオーリンズに行きました。

 ○RIMS年次総会風景


 ○フランス植民地時代の名残が色濃いフレンチ・クォーター


 ○外輪船に乗ってミシシッピ川を周遊しました。
 


 
 「A Risk  Management  Standard」
1. リスク
 A Risk  Management  Standardでは、リスクとは「一定の事象の発生確率及びその結果の両方を合わせたものである。」と定義しています。(ISO・IECガイド73)
 そして、「あらゆる種類の活動について、利益の機会(アップサイド)或いは成功への脅威(ダウンサイド)となる事象や結果の可能性がある。」と言っています。「リスクマネジメントとは、リスクのプラス・マイナス両面に関するもので、本基準においても両方の観点からリスクについての考察を行う。」とされています。
 「COSO2報告書〈Enterprise Risk Management Framework〉」のリスクの定義は、「組織の戦略や目的達成に影響するような内的・外的事象をイベント という。
正の影響を与えるイベントを機会(opportunity)・負の影響を与えるイベントをリスク(risk)という。」と定義し、リスクは「負の影響を与えるイベント」に限定しています。従ってリスクマネジメントの対象は、「A Risk  Management Standard」で言う「ダウンサイド・リスク」に限定されることになると思います。
 私は、「アップサイド・リスク」と言うのか、「機会(opportunity)」と言うかはさて置き、リスクについては、プラス・マイナス両方の観点かマネジメントすべきだと思います。
 わが国では、「アップサイド・リスク」或いは「機会(opportunity)」を如何にマネジメントするかの議論はまだまだ不十分だと思います。
 「安全面の観点からは、結果にはマイナス面しかないという認識が一般的で、安全面リスクの管理は危険の予防・軽減に重点が置かれている。」こともいつも言われています。

2.リスクマネジメント
 A Risk  Management  Standard では、「リスクマネジメントはどの組織においてもその戦略管理上、中心的な役割を果たす。」と言っています。わが国企業のリスクマネジメントはまだまだ、「事業活動の遂行に関するリスク」中心の場合が多く、経営判断の基礎に使われるケースは少ないと思います。
 リスクマネジメントの目的は「組織の全活動について、最大限の継続的価値をもたらすことであり、組織に影響を及ぼす可能性のある全ての要因についてプラス・マイナス両面の理解を深める。また、成功の確率を高め、失敗の確率及び組織の全体目標達成についての不確実性を低下させる。
 リスクマネジメントは、組織の戦略及びその戦略の実行において適用される継続的で発展的なプロセスでなければならない。また、組織の過去・現在、そして特に将来の活動に係る全てのリスクについて、体系的に対処しなければならない。
リスクマネジメントは、経営最上層部の主導による効果的な政策・計画の実行により組織の文化に取り入れられなければならず、また、リスク管理担当の各管理者・社員に職務の一環として全体のリスクマネジメントの責務を課すことにより、この戦略を戦術・業務目標へと変えていかなければならない。これが説明責任,成果に対する評価及びこれに対する報酬の裏付けとなり、全レベルにおける業務効率を向上させる。」と言っています。
 11月20日の記事でご紹介した Implementing Turnbull  A Boardroom Briefingのリスクマネジメントの目的の記述は、「リスクを効果的に管理し、企業が事業活動の目標を達成するためのプロセスに内部統制を組み込むための健全な経営感覚を作り上げる」ということでした。企業の経営戦略の達成・企業価値の増大が常に強調されています。従って経営最上層部の主導が求められています。
 平成15年6月の経済産業省のレポート「リスク新時代の内部統制」でも、『リスクは「企業が将来生み出す収益に対して影響を与えると考えられる事象発生の不確実性」として、むしろ、企業価値の源泉と言う見方で積極的に捉えられるようになってきている。』と記述されていますが、わが国のリスクマネジメントの現状と比べる時、考えさせられることが多々あります。

2.1 外部・内部要因
 「組織及びその業務の直面するリスクの原因には、外部・内部要因の両方がある。下記の表において、各領域の主要リスクの具体例をまとめているが、これによれば、特定のリスクの中には外部・内部両方の要因により生ずるものがあり。これらは2つの領域にまたがっていることがわかる。これらのリスクはさらに、戦略・財務・業務・危険等の幾つかのタイプに分類される。」と書かれています。
 平成15年6月の経済産業省のレポート「リスク新時代の内部統制」のリスクの分類は、
① 事業機会に関連するリスクと②事業活動の遂行に関するリスクです。
 1月1日の記事でご紹介した、Implementing Turnbull  A Boardroom Briefingのリスクの分類は、①経営(Business) ②事業その他(Operational & others) ③Finantial) ④コンプライアンス(Compliance)です。
 A Risk  Management  Standardの「特定のリスクの中には外部・内部両方の要因により生ずるものがある」と言う見方は参考になると考えます。
 聊か我田引水のきらいがありますが、Implementing Turnbull  A Boardroom Briefing もA Risk  Management  Standard も共に「財務」が重要な項目の一つとして分類されています。わが国のリスクマネジメントやBCPの議論では、財務に関する部分の議論が非常に少ないのに比べ、英国では当然の重要な項目になっている点にも注目して頂きたいと思います。



 ○「A Risk  Management  Standard」(日本語版)
http://www.theirm.org/publications/documents/Japanese_Risk_Management_Standard_031125.pdf
続きを読む »

「A Risk  Management  Standard」について ①

2013年4月1日月曜日 | ラベル: , , |

ブログを始めて2年経ちました。今年度もどうか宜しくお願い申し上げます

○東京の櫻
 3月23日(日)靖国神社・千鳥ヶ淵に行って来ました。
・靖国神社

 
・東京で櫻の開花宣言をする標準木の内の1本が靖国神社の能舞台の前にあります。


・千鳥ヶ淵   いつもながら、千鳥ヶ淵の桜は絶景です。


1. リスクマネジメント規格について
 私が初めてリスクマネジメントに接したのは、1987年1月です。銀行退職後或る製薬会社の経理部長になり、損害保険も担当でしたので、どのように損害保険を掛けるのかを損害保険会社にお聞きしたところ「それにはリスクマネジメントを勉強すべきです。」と言ってリスクマネジメントに関する資料を頂きました。それから25年経ちました。
 昨年3月10日にも書きましたが、25年前は部門別の個別のリスク管理の時代でした。1992年にアメリカで「COSO報告書」が公表され、従来型のリスクマネジメントとは別の、不正な財務報告リスクの防止を主眼とする内部統制と結びついたリスク管理の手法が導入されました。
 1995年に世界で初めてオーストラリア・ニュージーランドでリスクマネジメントに関する国家規格「AS/NZS4360」が制定されました。
 わが国では2001年に「JISQ2001リスクマネジメントシステム構築のための指針」が制定されました。
 2002年8月にアメリカでサーベンス・オックスリー法(SOX法)が成立し、2004年9月には 「COSO2報告書〈Enterprise Risk Management Framework〉」が公表されEnterprise Risk Management (全社的リスク管理)の時代になりました。
 2009年11月に発行された、リスクマネジメントに関する国際規格・「ISO 31000:2009 "Risk management - Principles and guidelines(リスクマネジメント-原則及び指針)"」は、2010年9月にJISQ31000となり、JISQ20001は廃止されました。
 これらの経緯については参考文献もあり、またISO31000等についても参考書がありますが、上場企業でない大企業や中小企業でリスクマネジメントを実践する場合に企業のリスクマネジメントの担当者がこれらの経過の全てを理解するのは大変で、担当者はどうしたら良いのか困惑することが多いと思います。

2.「A Risk  Management  Standard」について
 前回までにご紹介した「ターンブルの実行 取締役会への説明(Implementing Turnbull A Boardroom Briefing)」もそうですが、イギリスでは極めて実務的な規格や解説がなされていて、特に中小企業では参考になります。
 2002年9月に,英国の3大リスクマネジメント機関である、
  • IRM :The Institute of Risk Management  
  • AIRMIC :The Association of Insurance and Risk Managers
  • ALARM :The National Forum for Risk Management in the Public Sector 
が、「A Risk Management Standard」を発表しました。 「A Risk  Management  Standard」は日本語版を下記で読むことが出来ます。従って、これからは読者が日本語版を読むことを前提に解説を書こうと思います。

3.『「A Risk  Management  Standard」はじめに』の記述
 「A Risk  Management  Standard」の「はじめに」には、下記のように記述されています。
 はじめに
 リスクマネジメントは急速な発展を遂げている規律であり、その適用範囲,遂行方法および目的については様々な意見・記述がある。従って、以下の各事項についての合意を形成するためには、一定の様式による基準を設ける必要がある。
  • 使用される用語
  • リスクマネジメントの遂行プロセス
  • リスクマネジメントの組織構造
  • リスクマネジメントの目的
 ここで、重要なのは、リスクにはアップサイド・リスク及びダウンサイド・リスクの2タイプがあることを基準において認識していることである。
 リスクマネジメントは企業や公共団体のみをその対象としているのではなく、短期・長期を問わず、いかなる活動についても適用されるべきものである。利益や機会は、単に活動自体の観点のみならず、これにより影響を受けるであろう様々なステークホルダーとの関連において考慮されるべきである。
 リスクマネジメントの目的達成には多様な方法があり、その全てを一つの文書に記載することは不可能であろう。このため、該当項目にチェックする方式となるであろう規範的な基準の作成や、証明可能なプロセスの策定は、これまで行われてこなかった。方法は異なるであろうが、本基準の定める様々な規定に従うことにより、組織は法令を遵守している、という報告をすることが出来る。本基準は組織が自身についての判断を下す際の基準となるベスト・プラクチスをまとめたものである。
 
4.「A Risk  Management  Standard」の目次
 「A Risk  Management  Standard」の目次は次の通りとなっています。 
  1. リスク
  2. リスクマネジメント
  3. リスク・アセスメント
  4. リスク分析
  5. リスクの評価
  6. リスク対応
  7. リスクの報告及びコミュニケーション
  8. リスクマネジメントの制度及びその運営
  9. リスクマネジメント・プロセスの監視及び見直し
  10. 参考資料
(所感)
 中小企業や、中堅以下の大企業などで、経営資源や人材の不足、またノウハウの不足から、リスクマネジメントや内部統制の実行に苦労されている担当者や、リスクマネジメントの実践に苦労をされている心ある経営者に対し、前回までの「ターンブルの実行 取締役会への説明(Implementing Turnbull A Boardroom Briefing)」に続き、「A Risk  Management  Standard」も必ずやご参考になるものと、私は確信致します。
 
○「A Risk  Management  Standard」(日本語版)
http://www.theirm.org/publications/documents/Japanese_Risk_Management_Standard_031125.pdf
続きを読む »

次の記事へ»
«前の記事へ
登録: 投稿 (Atom)