ISMS Society

一般社団法人マネジメントシステム品質協会

一般社団法人マネジメントシステム品質協会ーISMS Society

5.リスクマネジメント支援

HOME | マネジメントシステム支援 | 5.リスクマネジメント支援

Case Study

リスクマネジメントが形骸化していませんか?
その目的を果たせていますか?

実践的で即戦力となるリスクマネジメント手法があります
 もちろん規格要求事項を満たすとともに管理者の負担も軽減します

環境の変化に伴いリスクも変化し続けています

その目的を明確にして全社的に取り組むことが必要です

実践事例をもとにしてリスク管理体制の再構築を支援します

リスクマネジメントの目的は、事業計画や業務推進を阻害する要因を取り除き事業目標達成を支えることです。一人一人がリスク感性を持って対応し、手戻りやうっかりによる無駄な残業で生産性を下げることがないようにすることも大切です。変化の激しい時代では、リスクを取って新たなチャレンジが必要となる場合もあります。リスクマネジメントを業務の一つとすることが求められています。

稼ぐ力を支えるためにリスクマネジメントする

グローバル化や情報化の進展、取引構造の変容等を背景に企業の経営環境は大きく変化し
ています。これまで以上に世界規模で不確実性が増大しており、様々なリスクに直面しています。成長・発展を遂げるためには、リスクを許容し成長に向けた投資を行うとともに、将来発生する費用を防止するため、潜在なリスクを把握し、そのリスクに適切な対応を行うことが必要です。


  • 収益の源泉としてリスクを捉え、リスクのマイナスの影響を抑えつつ、リターンの最大化を追求する。
  • リスクを全社的視点で合理的かつ最適な方法で管理してリターンを最大化することで、企業価値を高める
  • 価値を維持・増大していくために、事業に関連する内外の様々なリスクを適切に管理する活動

出典:(経済産業省)先進企業から学ぶ事業リスクマネジメント 実践テキストー 企業価値の向上を目指して

部門別リスクマネジメントから全社的リスクマネジメントへ
全社的(統合)リスクマネジメントシステム構築の意義
昨今「リスクマネジメント」という言葉を目にする機会が多くなりました。しかし従来より「リスクを管理する」という概念は存在していたため、特に目新しい物ではない、昔から実施している、と感じている企業も多いようです。こうした従来型のリスクマネジメントは、主に各部門や部署別に実施されてきました。その役割を担う人材が部門の中に存在し、その道の経験側の中で発見したリスクをマネジメントするという形です。多くの場合リスクの発見から対応まで部門の中で完結して遂行され、経営トップや他部門に逐一情報が伝わることはまれでした。 一方事業リスクマネジメントは、リスクを企業として把握し適正に管理することで、リターンを最大にすることを目指すものです。そのためにはリスク情報の集約や明確な管理体制が非常に重要になります。これにより全体最適かつ機動力のあるリスク対応が可能になり、また対外的な説明責任を果たす土台が整うことになります。

出典:(経産省)先進企業から学ぶ事業リスクマネジメント 実践テキスト - 企業価値の向上を目指して -

ERM(全社的リスクマネジメント)のススメ

リスクは、目標達成や事業計画推進を阻害する、もしくは妨げる要因のことで、社会環境、市場、取引先、国、自然災害、業務上のミスや不正など様々なところに内在しています。ISMS認証組織への審査・監査に訪問すると、推進担当部門(者)が管理しているケースが多く、さらに形骸化していることに直面します。会社法で「損失の危険管理に関する規程その他の体制の構築」が取締役会の責任として明記されており、組織内のリスクを一元的に管理していく必要が生じています。ERMの特徴は、部門ごとに行われる個別型リスクマネジメントを統合し、異なるリスク同士でその重要度を比較評価しリスク対応の優先順位を決定することができ、複数リスクの対策を連携させることにより効果的・効率的なリスクマネジメントを行うことができるようになることです。
 

実践的で即戦力となるリスクマネジメント手法があります
 もちろん規格要求事項を満たすとともに管理者の負担も軽減します

リスクマネジメントプロセス

リスクマネジメントにおいては、リスクという言葉の定義やリスクマネジメントのフレームワークについて共通の認識を持つことが必要最低限の要件となります。リスクは形がなく捉えどころがないため、言葉の定義を明確にしておかないと人によって違う意味を想定する場合があるためです。リスクの定義はすべてのリスクマネジメントの原点となるため、非常に重要なものであるといえます。

出典:先進企業から学ぶ事業リスクマネジメント実践テキスト-企業価値の向上を目指して
(経済産業省発行)

新規認証/スリム化支援先で実践しているプロセス

全員参加でリスクを管理するために重視する3つのやすい

1.わかりやすい 2.すすめやすい 3.管理しやすい


2020年は新型コロナ感染症対応で、テレワークを推進するなど事業環境が劇的に変化しています。ISMSを含め急速に変化する内外環境の変化に対応すべく、リスクマネジメントの見直しやスリム化・定着させたいというニーズが急増し、MSQA(ISMS Society)では、全従業員がその目的を理解(認識)し意欲的に取り組める方法を試行錯誤した結果、全社的リスクマネジメント実践プロセスを確立しました。既に多くの企業でアプローチを開始し成果をあげています。大切なことは、ラインスタッフ・管理職・トップマネジメントにとってその方法や目的が『わかりやすく』、『すすめやすい』ことで、リスクマネージャ・推進管理担当者の管理負担を軽減することです。
リスク基準事例(電子書籍)詳しくはこちら

リスク基準をつくる

MSQA推奨:リスクマネジメントプロセス

JIS Q 27001 6.1.2では、『情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。』とされています。
a) 次を含む情報セキュリティのリスク基準を確立し、維持する
 1) リスク受容基準
 2) 情報セキュリティリスクアセスメントを実施するための基準
 (リスクマネジメントプロセス=リスクアセスメントを実施する手順)
b) 繰り返し実施した情報セキュリティリスクアセスメントが、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。
c) 次によって情報セキュリティリスクを特定する。
ISMS の適用範囲内における情報の機密性、完全性及び可用性の喪失に伴うリスクを特定する ために、情報セキュリティリスクアセスメントのプロセスを適用する。これらのリスク所有者を特定する。
d) 次によって情報セキュリティリスクを分析する。
 1) リスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
 2) 現実的な起こりやすさについてアセスメントを行う。
 3) リスクレベルを決定する。
e) 次によって情報セキュリティリスクを評価する。
 1) リスク分析の結果とリスク基準(受容基準)とを比較する。
 2) リスク対応のために、分析したリスクの優先順位付けを行う。
情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならないと要求されています。

(出典:JIS Q 27001:2014 箇条6.1.2)  
リスク基準サンプル(電子版)はこちらをご覧下さい

アセスメントを全員でいっしょにやってみる

一人1件のリスクをアセスメントしてみる

自らの業務(仕事)で「起きては困ること」「業務を阻害すること」は?
最もリスクが高いと思うこと、過去に発生し残業になったことは何か?
お客様に迷惑をかけたり、ストレスとなったトラブル・アクシデントは?
それらの中から一つを特定してみましょう(=リスク特定)
現在どのような対策をしてますか?発生しないように何をやってますか?
それは、個人として意識して実施?組織的な対策として実施してますか?
特に何もやっていない場合は再発する可能性が高くなります
現在実施している対策状況により発生可能性を評価することができます
もちろん最もリスクと感じることなので影響は極めて大きいですよね
評価値を決めてリスクレベルを算定してみましょう(=リスク分析)
どうすれば再発もしくはリスクを顕在化させないかも考えてみましょう
リスクレベルは受容できるレベルでしょうか?対策を必要としますか?
あらかじめ定めた基準で判定してみましょう(=リスク評価)

ある機会を得るためにはリスクを取るという選択肢もあります
リスクを「低減させる」「リスク源を除去する」「移転する」など
リスク対応の選択肢から対策を考えます(=リスク対応)
リスク対応後のリスクレベルを再度算定してみましょう

 
リスクマネジメント実践研修スケジュールはこちら

わかりやすく・すすめやすく

リスクマネジメント実践研修

1.企業内(講師派遣)型開催
2.通学・リモート研修型開催

企業内開催事例
❶全従業員を対象に1回3時間のリスクマネジメント入門+実践研修を開催
 リスク分析票で、業務上起きては困ること一人1リスクをアセスメント
 集まったリスクから全社的なリスト部門固有のリスクに分けて対応
❷新規認証取得を進めている組織において、部門長を対象に研修を開催
 MSQAが提唱する標準リスク基準を使ってリスクマネジメントを解説
 リスク分析票を使って、部門固有のリスク(問題視していること)
 業務上起きては困るこをワークショップ形式で実施した。
❸組織内開催のISMS審査員研修で、リスクマネジメントを理解するため
 リスク分析表の作成及び管理策選択とリスク対応計画作成演習を実施
 ワークショップにより実践的なノウハウ(技法)修得を目指した。
リスクマネジメント研修コースについてはこちらをご覧下さい 
企業内開催についてのお問い合わせはこちら

 
 
通学コース・リモート開催コース受講予約
開催スケジュールはこちらをご覧下さい

Price

料金表

事前相談

1.5時間2回まで 無料(全国リモート対応)

入会金・会費

Cloud for LMS登録・年間利用料を含む

MSQA法人会員入会金:30,000円

MSQA法人会員年会費:36,000円(Cloud foe LMS専用コース利用料)

※管理者アカウント3名及び50名までのユーザーアカウントを含みます

MSQA組織概要と会員制度について詳しくはこちら

Cloud for LMS 標準コース内容専用コース内容についはMSQA事業案内18Pをご覧ください

現状調査(監査業務委託)

監査チーム派遣(MSQA会員価格) 1人日 150,000円〜

臨時監査:現状調査を目的とした臨時監査を実施し現在のリスク基準やリスクマネジメントの状況やパフォーマンス評価を実施し定着させるための方針や是正計画立案を支援します。

内部監査を外部委託するという選択

ワークショップ開催

講師派遣・リモートによるワークショップ開催(MSQA会員価格)

スリム化研修                1回3時間:60,000円〜

その他教育研修コースについては『意識向上・教育訓練支援』をご覧ください

教材・研修資料については電子版をご覧ください(冊子による提供も可能です)

リスクマネジメント定着支援

訪問/リモートコンサルティング

(MSQA会員価格)1回 1時間:15,000円〜

文書作成支援(別途見積)

標準様式やサンプル提供

Cloud for LMS専用コース内に実装して提供します

MSQA法人会員年会費に含まれます

教材見本についはhttps://msqa.actibook.one.com(電子版)をご覧ください

上記価格には別途消費税が加算されます