読み方 : アイエスオーさんまんいっせん
ISO 31000
概要
ISO 31000とは、リスクマネジメントに関する国際標準で、組織がリスクを体系的・効果的に管理するための原則、枠組み、プロセスを規定したもの。業種・規模を問わずあらゆる組織に適用できる汎用規格として広く参照されている。
国際標準化機構(ISO)によって2009年に初版が発行され、2018年に改訂された。正式名称は「Risk management - Guidelines」(リスクマネジメント - 指針)で、日本では「JIS Q 31000」として日本産業規格(JIS)に採用されている。
認証取得を目的とした規格ではなく、組織がリスクマネジメントの体制を構築・改善する際の指針として活用されるガイドラインである。単独で運用されるほか、情報セキュリティ分野の「ISO/IEC 27001」や事業継続マネジメントの「ISO 22301」など、他のマネジメントシステム規格と組み合わせて活用されることも多い。
規格の構成は大きく「原則」「枠組み」「プロセス」の三層から成る。「原則」はリスクマネジメントが効果を発揮するための基本的な考え方を示しており、統合性、構造化、包括性、カスタマイズ性、動的対応などが挙げられている。「枠組み」は組織全体でリスクマネジメントを機能させるための体制・責任・資源の整備に関する事項を扱い、トップマネジメントのリーダーシップと関与が重要な要素として位置づけられている。「プロセス」は、リスク特定、リスク分析、リスク評価、リスク対応、モニタリング、レビューという一連の活動を指し、継続的改善の考え方が基盤となっている。
2018年の改訂では、リスクを「目的に対する不確実性の影響」と再定義し、リスクが必ずしも損失だけでなく機会(ポジティブな結果を生むリスク)も含む概念であることを示した。従来のリスク管理が主に損害回避や安全確保を目的としていたのに対し、リスクマネジメントを組織の意思決定や戦略と一体化させる「統合」の概念が強調され、より動的かつ反復的なアプローチが求められるようになった。
共有ボタンをタップ