ISO31000はリスクマネジメントにおける指針を示した規格です。ISO31000は組織全体のリスクマネジメントを行う上で重要な指針といえます。

CIA（公認内部監査人）の資格取得を目指す場合、試験においてISO31000の基礎的な知識が問われるため、しっかりと理解しておきたい内容です。

本記事では、CIA（公認内部監査人）の資格取得を目指す人に向けて、ISO31000の内容と他のリスクマネジメント規格との違いを分かりやすく解説します。

目次
ISO31000とは
ISO31000と比較される他のリスクマネジメント規格
ISO31000を使って企業のリスクマネジメントを行おう

ISO31000とは、リスクマネジメントにおける一般的な指針を示した国際標準規格です。リスクマネジメントの手法や関連用語が記載されています。

部署ごとに異なるシステムを利用している場合、ISO31000を活用することでリスクマネジメントにおける意思統一を図ることが可能です。

また、ISO31000を組織内でのリスクマネジメントの用語や概念の基準とすると、将来的に他のシステムを導入する場合でも整合性がとりやすくなる点が利点といえます。

ISO31000は2009年に発行され、2018年に9年ぶりに改訂が行われました。第1版と2018年に改訂された内容に大きな変更点はありませんが、経営を意識したリスクマネジメントが強調されています。

主な変更点は、リスクの定義を「目的に対する不確実性の影響」と改め、マイナスとプラスの両面が存在することとされました。

また、不確実な状況における意思決定のあり方や、経営陣はガバナンスや組織全体の活動に対しリスクマネジメントを徹底する責務があることが強調されています。

参照：一般財団法人日本情報経済社会推進協会「ISO31000－2018年版：リスクマネジメント－指針の経営への活用」

ISO31000における「リスク」は「目的に対する不確かさの影響」と定義されています。

ここでいう「影響」とは、期待されていることへの乖離を指し、プラスとマイナスの両面が存在するものとして捉えています。そのため、リスクを考える際には、悪い影響をもたらすものだけでなく、良い影響をもたらすものも考慮すべきとされています。

参照：一般財団法人日本情報経済社会推進協会「ISO31000－2018年版：リスクマネジメント－指針の経営への活用」

ISO31000におけるリスクマネジメントの指針では、「原則」「枠組み」「プロセス」に分けて、リスクマネジメントとはどのようなものなのかを説明しています。

ここでは、「原則」「枠組み」「プロセス」について詳しく見ていきましょう。

ISO31000の「原則」では、リスクマネジメントを効果的に実施するために、企業が遵守すべき事項を記載しています。

「価値を創出および保護」という大原則を基に、次の8つの原則が示されています。

原則	内容
統合	・リスクマネジメントは企業全体の活動に統合される
体系化及び包括	・体系的かつ包括的な取り組み方は一貫性のある比較可能な結果になる
組織への適合	・リスクマネジメントの枠組みとプロセスは、企業内部だけでなく、外部の状況などと均衡がとれている
包含	・ステークホルダーを適切に加えると、知識や見解、認識を考慮できるようになり、情報に基づくリスクマネジメントを可能にする
動的	・企業内外の状況変化により、リスクが出現・変化したり、消滅したりするため、適切に対応する
利用可能な最善の情報	・リスクマネジメントへのインプットは過去・現在の情報と将来の予想に基づくものであり、制約や不確かさを考慮することが適切 ・情報は必要かつ明確でステークホルダーが入手できるようにする
人的要因及び文化的要因	・人間の行動と文化はリスクマネジメントの全ての側面に大きな影響を与える
継続的改善	・学習や経験を通じて継続的に改善される

ISO31000では、上記の原則をすべての階層で遵守することで、会社経営そのものが支援されるとしています。

ISO31000における「枠組み」とは、リスクマネジメントを組織全体に定着させるための仕組みです。リスクマネジメントを定着させるための具体的な枠組みは次の6つです。

枠組み	内容
リーダーシップ及び コミットメント	経営者や取締役会は、リスクマネジメントへの取組みや活動を確立する責任を持つ
統合	組織のリスクマネジメント活動を、ガバナンス、戦略、業務活動等と一体化させる
設計	リスクマネジメントの設計にあたっては、外部や内部の状況を検証し状況を理解する
実施	設計にて決定されたリスクマネジメントプロセスが、組織に確実に導入し運用させる
評価	枠組みの各活動が、組織の目標達成に役立っているかどうか、その有効性を定期的に評価する
改善	内部や外部の変化に対応できるように、枠組みの有効性を継続的にモニタリングし、改善させる

また、リスクマネジメントを効果的に行うためには「意思決定を含む組織統治への統合にかかっている」とし、ステークホルダーやトップマネジメントによる支援が大切だとしています。

ISO31000の「プロセス」では、リスクマネジメントに取り組む上で、次のプロセスを実施すべきと示されています。

項目	内容
コミュニケーション及び協議	・組織の内部および外部のステークホルダーとコミュニケーションをとり、リスクに対する意識や理解を促すことが必要 ・適切な意思決定を判断できるように協議を行い意見と情報を収集する
適用範囲、状況及び基準	・リスクマネジメントの適用範囲や組織内外の状況、リスクの基準を明確にする
リスクアセスメント	・リスクの特定・分析・評価を行う
リスク対応	・リスクアセスメントの結果を受け、対処法を検討し、実施する
モニタリング及びレビュー	・継続的にリスクマネジメントの効果を向上させるために、客観的な視点からモニタリング及びレビューを実施する
記録作成及び報告	・実施結果を記録し、組織の内部及び外部のステークホルダーに伝達する

プロセスの内容は相互に関連しており、継続的に改善することを目指したものだと考えられます。

ISO31000と比較されるリスクマネジメント規格としては、「ISO27005」や「COSO-ERM」が挙げられます。

ここでは、ISO31000とISO27005・COSO-ERMとの違いについて詳しく見ていきましょう。

ISO27005は情報セキュリティリスクマネジメントにおける国際規格の1つです。組織におけるリスクマネジメントのプロセスと情報セキュリティ管理の作業・手順を提示しています。

ISO31000との違いはリスクマネジメントの対象です。

ISO31000は組織の戦略や業務活動全般へのリスクマネジメントに取り組む方法を提示しています。一方、ISO27005は情報セキュリティのリスクマネジメントに特化した規格です。

そのため、情報セキュリティにおけるリスクアセスメントやリスク対応を実施したい場合は、ISO27005が適切といえます。

COSO-ERMとは、2004年にCOSO（米国トレッドウェイ委員会支援組織委員会）が発表したERM（Enterprise Risk Management）のフレームワークのことを指します。組織が効果的にリスク管理を行うために設計されています。

COSO-ERMとISO31000は、両者ともに効果的なリスクマネジメントを策定するために包括的なガイダンスを提示しています。

ISO31000はあらゆる組織体のレベルや規模に適用できるリスクマネジメントの考え方を提示しています。一方、COSO-ERMは事業体全体のリスク管理を目的としている点が特徴です。

そのため、ISO31000はCOSO-ERMよりも簡易化されており、QMS（品質管理システム）やEMS（環境マネジメントシステム）など、他のマネジメントシステムとの整合性を持たせた作りとなっています。

参照：wbcsd「全社的リスクマネジメント」
参照：金融庁検査局「COSOレポートの概要等について｜『内部統制フレームワーク』と『全社的リスクマネジメント』」

ISO31000では、組織全体におけるリスクマネジメントの手法が示されています。

ビジネス環境が急速に変化している中で、企業の持続的な成長を図るためには、効果的にリスクマネジメントを行うことが欠かせません。ISO31000の内容を把握し、企業における適切なリスクマネジメントを行いましょう。

また、CIA（公認内部監査人）の試験でも、ISO31000の基礎的な知識が求められます。試験対策のためにもISO31000の改訂内容を知っておくことが大切です。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さを求めています。

講師は対法人向けの内部監査の実務研修を行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また、通学・通信を併用できるコースやスキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率良く学習できる環境が整っています。

CIAをはじめとする内部監査に関連する資格の取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。