CSV ERM ISO-MS を統合したトータルリスク管理システムについて
財務報告の適切性を維持することからスタートしたCOSOのERM(エンタープライズ・リスク・マネジメント)は、リスクマネジメントとしては合理的でわかりやすいと思います。
一方、ISO9001や14001などに代表されるISOマネジメントシステム規格の考え方も、合理的なのはもちろん、緻密で隙がありません。
これらリスクマネジメント手法をうまく使えば、あらゆるリスクを高いレベルで未然に防止することは可能かもしれません。
もし、うまく予防できないとすれば、それはこれらの仕組みに問題があるのではなく、それを使う組織側に問題があると思います。(想定外のリスクにはどんな方法をもってしても限界はありますが)
ERMは概念だけを示しています。
IPPFの基準を用いてERMを構築し運用するにしても、IPPFには具体的な方法が示されているわけではないので、運用の自由度が高い代わり仕組みを作る人や運用する人のスキルによって完成度にばらつきがでるのではないでしょうか。
一方、ISOマネジメントシステム(以下、ISOーMS)は要求事項が多く、「そこまで必要?」といったところはありますが、その反面、仕組みの完成度はおのずと高くなります。
しかも、ERMやIPPFについては認証がありません。ですから、システムの完成度を証明するものはありません。(あるとしたら、CIAライセンスホルダーがいる場合は、彼らによって内部監査が行われているという事実によってある程度は担保できると思います)
ただ、ERM、ISO-MS、いずれも考え方の基本は同じで、優先度の高いリスクから対応するということです。
企業の存在意義は、外部(社会)と内部(組織内)の状況を考慮に入れながら自社の経営戦略を立て、社会ルールを守って経営目標を達成していくことで企業価値を高めていこうというもので、これら二つは、その際のリスク管理について述べているものです。
ですから、出自は違いますが融合することは可能です。
また、これら二つを同時に運用している組織も実際には存在します。
融合することで大幅な事務工数は削減と完成度の高いリスク管理システムができると思います。
ドラッカー風にいうと、企業は社会の中に存在するひとつの生態です。
社会のために存在するわけで、適性や志をもった人が集まって社会発展のために活動する機能であり組織ともいえます。
その基本的な考え方に立ち返るかのごとく最近よくいわれるのがCSV(Creating shared Value:共通価値の創造)という概念で、社会貢献、経済発展、環境保全、これら三つのバランスをうまく取りながら価値創造していくことをいいます。
この考え方を踏まえて先のリスクマネジメントシステムを考えるとこうなります。(以下)
- 統制環境
統制環境とは、社会情勢や自社の特性や経営理念などで、組織の外部および内部の状況のことです。(4.1)
また、利害関係者からの期待やニーズ、それに適用する法令なども含みます。(4.2)
自社の敷地や立地といった物理的なエリアについても、この「統制環境」です。(4.3)
会社のしくみそのものも「統制環境」でしょう。(5.1)(5.3)
※括弧内の数字は、ISO14001:2015の要求事項番号
- 目的設定
目的設定は、これから自社が進むべき方向の設定です。
その際にCSVの考え方が必要になってきます。
自社の社会的役割を認識し、社会状況や自社のコア・コンピタンスをもとに決定します。
その際には、ファイブ・フォース分析やSWOT分析といった方法が使えると思います。
(5.2)
- リスク評価
設定した目的を達成するうえでのリスク(または機会)を洗い出し、その影響度を評価します。
影響度が高いものを管理対象として取り上げ、それぞれの原因(作業や業務)について明確にします。(ISO14001における環境側面の抽出と著しい環境側面の決定)
(6.1.1)(6.1.2)
- リスク対応
決定したリスクの原因に対する対応計画の策定です。
改善可能なものは改善計画を立て、その中で目標を設定します。
また、改善が難しいものについては、現状を悪化させないためにも監視対象として適切な対応策を考えます。
(6.1.4)(6.2)
・プロセス設定
リスク原因(作業や業務)には、それを構成する要素があります。
ここでは、それを”プロセス”と定義します。
プロセスは、「インプット」「(人的)スキル」「ハードウェア」「手順」「評価指標」によって構成されています。
これら5つがプロセスです。
それぞれのプロセスについて、適切なアウトプット(リスクまたは影響)を出すために必要なプロセスを設定します。
(7.1)(7.2)(7.3)(7.5)
- 運用管理
設定したプロセスを運用します。
(8.1)(8.2)
- 情報とコミュニケーション
運用に必要な内部および外部とのコミュニケーションです。
(7.4)
- 監視活動
上記についてのモニタリングです。
目的の達成度、プロセスの状況、パフォーマンスの状況、それらを含めた運用全体、これらのチェックです。
もちろん、問題があればその是正もしなくてはなりません。
そして、それら運用に関する結果は、トップマネジメントへ報告します。
そして、その監視結果をもとに更なる改善の指示をトップマネジメントが出します。
(9.1)(9.2)(9.3)(10.1)(10.2)(10.3)
上の箇条で書いたことを、「環境保全」「社会貢献」「経済発展(企業の発展)」のバランスをとりながら、また、組織の各階層で計画を作って取り組むわけです。
以上が私が考えたトータルリスク管理システムです。
どうでしょうか?