「コンプライアンス」の考え方~「コンプライアンス=コンダクト・リスク」
しばしば、「コンプライアンス」は「法令遵守」と訳されることがありますが、最近では、“法律を守っていればよい”という考え方では不十分になってきています。企業運営をしていく中では、単に法律・法令(「法規範」)を遵守するというだけでは足りず、「社会規範」にまで視野を広げる必要があります。
こうした中で、近時、「コンダクト・リスク」という概念が注目されています。
「コンダクト・リスク」については、金融庁「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」( 2018 年 10 リスクの定義 月 15 日公表。金融事業者向けのものではありますが、一般の事業会社もコンプライアンス態勢を構築する上で参考になる考え方が示されています。)で次のように紹介されています(同方針 p11 ~ 12 。 https://www.fsa.go.リスクの定義 jp/news/30/dp/compliance_revised.pdf )。
「近時、コンダクト・リスクという概念が世界的にも注目を集めはじめている。コンダクト・リスクについては、まだ必ずしも共通した理解が形成されているとは言えないが、リスク管理の枠組みの中で捕捉及び把握されておらず、いわば盲点となっているリスクがないかを意識させることに意義があると考えられる。そのようなリスクは、法令として規律が整備されていないものの、①社会規範に悖る行為、②商慣習や市場慣行に反する行為、③利用者の視点の欠如した行為等につながり、結果として企業価値が大きく毀損される場合が少なくない。そのため、コンダクト・リスクという概念が、社会規範等からの逸脱により、利用者保護や市場の公正・透明の確保に影響を及ぼし、金融機関自身にも信用毀損や財務的負担を生ぜしめるリスクという点に力点を置いて用いられることもある。」
「コンダクト・リスクが生じる場合を幾つか類型化すれば、金融機関の役職員の行動等によって、 ① 利用者保護に悪影響が生じる場合、 ② 市場の公正・透明に悪影響を与える場合、 ③ 客観的に外部への悪影響が生じなくても、金融機関自身の風評に悪影響が生じ、それによってリスクが生じる場合等が考えられる。」
例えば、ある銀行において、顧客の同意がある以上、法律違反には当たらないとの認識の下、対価となるサービス内容又は算定根拠が不明な融資実行手数料を徴求していたこと等が、顧客本位の観点から問題があるとして、金融庁が行政処分(業務改善命令)を下したケースもあります( 2018 年 7 月 13 日付行政処分)。
確かに、顧客が手数料の支払いに同意していれば、法律違反を問うことは難しいですが、いくら顧客が同意しているとはいえ、サービス内容又は算定根拠が不明な手数料を支払わせることは、顧客本位ではなく、社会規範に悖る行為、利用者の視点の欠如した行為といえます。
このように明確な法令違反がなくても、行政処分を出されることもあります。
リスク管理
ゆうちょ銀行では、各リスクカテゴリーを管理する部署を設けるとともに全体のリスクを統合的に管理する機能の実効性を確保するため、各リスクカテゴリーを統合して管理する部署(リスク管理統括部)を、各業務部門からの独立性を確保したうえで設置しています。
また、リスク管理・運営のため、経営会議の諮問機関として専門委員会(リスク管理委員会、ALM委員会)を設置し、各種リスクの特性を考慮したうえでその管理状況をリスク管理部門の担当執行役を委員長とするリスク管理委員会に報告し、リスク管理の方針やリスク管理態勢などを協議しています。なお、リスク管理部門の担当執行役は、リスク管理の状況等について、定期的および必要に応じて取締役会、監査委員会にも報告しています。
新商品・新規業務の導入にあたっては、事前にリスク審査を行い、新商品・新規業務に関するリスクを適切に管理する態勢を整備しています。
統合リスク管理
ゆうちょ銀行では、5つのカテゴリーに区分したリスクについて、定量・定性の両面から管理を実施しています。
定量的な管理については、リスクを計量化して制御する「統合リスク管理」を導入しています。具体的には、自己資本のうちリスク取得の裏づけ対象とする総量をあらかじめ設定し、リスクの種類と業務の特性に応じて、リスクを取得している業務に割り当て(リスク資本の配賦)、客観性・適切性を確保した統一的な尺度であるVaR(バリュー・アット・リスク:保有する資産・負債に一定の確率のもとで起こり得る最大の損失額を把握するための統計的手法)を用いて市場リスクや信用リスクを計量化し、取得リスクを制御しています。
加えて、フォワード・ルッキングな視点で経営の持続可能性の観点から経営計画等の妥当性を検証することを目的に、マクロ経済環境の悪化を想定した複数のストレス・シナリオに基づき、財務、自己資本比率などに与える影響を確認するストレス・テストを実施しています。
リスクアペタイト・フレームワーク(RAF)
ゆうちょ銀行では、中長期的な収益性確保、財務健全性等を図るため、リスクアペタイト・フレームワーク(RAF) ※1 を導入しています。本枠組みに基づき、リスクアペタイト方針・指標、トップリスクを、経営計画の策定と一体的に議論して、設定しています。
トップリスクの選定
- お客さま本位の業務運営を行うための品質管理
- 適切な情報開示、2線 ※2 の機能強化、専門委員会の議論の深化 等
- サイバーセキュリティに係るアクションプランの着実な実行
- 感染拡大防止策や重要業務の運行確保
- 安全・安心を最優先としたデジタル化の推進
- 新たな収益源の確保、新規ビジネスの推進、既存サービスの収支改善
- マネー・ローンダリング/テロ資金供与対策の高度化・システム強化
- システム監視等の強化
- コンティンジェンシープランの策定、緊急時の対応研修実施
- ESG投資の積み上げ(目標化)
- 移行リスク・物理リスクの定性・定量分析を踏まえた開示強化
- ポートフォリオのストレス耐性強化
- 国際統一基準行目線での内部管理態勢の強化
- 運用・リスク管理の専門人材の強化
サイバーセキュリティ ※3 への対応
ゆうちょ銀行では、これらのサイバーリスクの低減を図るため、サイバーセキュリティに関する専門部署の設置やサイバーセキュリティ担当役員(CISO:Chief Information Security Officer)ならびに専門知識を有する人材を配置し、また外部専門機関との連携等を通じて新たな攻撃手口の分析や対策を行うなどして、多層的な防御・検知対策の整備をしております。
お客さまに、より安心・安全なサービスを提供するため、サイバーセキュリティ態勢の強化を継続して進めてまいります。
取り組み内容
金融機関向け管理態勢評価ツールとして国際的に活用されているFFIEC-CAT ※4 に基づく、第三者による評価および提言を受けて、サイバーセキュリティ態勢の強化に取り組んでおります。
リスクコミュニケーションとは何か?定義、事例を詳しく解説!
リスクコミュニケーションのあり方を定めている組織の一つが、アメリカ疫病予防管理センター(CDC)です。CDCは有事が生じた際の対策の方法として、「危機と緊急時のリスクコミュニケーション(Crisis&Emergency Risk Communication:CERC)」を設定し、公開しています。CERCにはマニュアルも作成されていますが、その冒頭部分にはリスクコミュニケーションにおける6つの原則が提示されているので、以下にご紹介しましょう。
- Be First(迅速に情報を発信する)
- Be Right(正しい情報のみ発信する)
- Be Credible(信頼性のある情報を発信する)
- Express Empathy(人々に共感を持つ)
- Promote Action(人々の行動を促進する)
- Show Respect(人々に敬意を持つ)
リスクコミュニケーションと危機管理、リスクマネジメントとの違い
・ 危機管理 ・・・実際にリスクが生じたときの対処法と、迅速に元の状態に回復するための対策を定めておくこと。例えば火事の場合であれば、消火活動のあり方と復旧方法の具体的な手順について、事前に定めておくことなどを指します。
・ リスクマネジメント ・・・実際にリスクが起こったときにその被害を回避する、被害をできるだけ抑えるために講じる対策・方法のこと。火事の例でいうなら、消火活動の手順に従った行動を素早く取れるように、事前に消火訓練を重ねることを指します。
・ リスクコミュニケーション ・・・実際にリスクが生じたときに、関係者間でコミュニケーションを取って情報共有を行ってリスクに向き合うこと。火事の場合であれば、消火・避難を迅速に行えるように、関係者間でコミュニケーションを取れる体制を事前に構築しておくことを指します。
意外と知らない安全の定義。やばすぎるリスクゼロ。ISO/IEC GUIDE 51から知る新しい発見があなたの未来のリスクアセスメントに役立ちます。
本ガイドラインは、規格の起草者が安全面を規格に盛り込む際に役立つ実践的なガイダンスを提供するものです。
また、本ガイドラインの基本原則は、安全側面の検討が必要な場合にはどこでも使用でき、設計者、製造者、サービスプロバイダ、政策立案者、規制当局などの他の関係者にとっても有用な参考資料です。
本ガイドラインに記載されているアプローチは、脆弱な消費者による使用を含め、製品やシステムの使用において発生しうるリスクを低減することを目的としています。
危険源は、さまざまな安全上の問題を引き起こす可能性があり、制御機構の完全性を含む製品やシステムのエンドユーザー、および製品やシステムが使用される環境によって大きく異なります。
職場ではリスクをより広範囲にコントロールすることが可能ですが、家庭環境や、弱い立場にある消費者が製品やシステムを使用する場合には、このような状況ではないかもしれません。
そのため、本ガイドは、特定の関心分野やユーザーのための他の出版物によって補完される必要があるかもしれません。そのような出版物の参考リストは「参考文献」に記載されています。
- 脆弱な消費者による使用を含め、製品の使用において発生しうるリスクを低減することを目的とし、製品のライフサイクルから生じるリスクを低減することを目的としている
- 製品のライフサイクルとは設計、製造、流通、使用(保守を含む)、破壊または廃棄
- 危険源は製品の使用環境でどこにでも存在する
- 職場環境では危険源をコントロールすることが可能かもしれないが、家庭環境や、弱い立場にある消費者が製品を使用する場合には、このような状況ではないかもしれない
- 品質と安全は区別されるべきである
3 章「安全」とは
- 安全とは許容不可能なリスクがないこと
機械的危険源(巻き込み)がむき出しになっている、ベルト駆動の機械
JIS リスクの定義 で定義されている日本語ではいまいち分かりにくいので、ISO/IEC GUIDE 51 の英語 の定義で「安全」の意味を考えます。
3 リスクの定義 Terms and definitions
3.14
safety
freedom from risk (3.9) リスクの定義 which is not tolerable
出典 GUIDE 51Third edition 2014-04-01 | Safety aspects — Guidelines for their inclusion リスクの定義 in standards | 3 Terms and definitions | page 2
Freedom from risk
前半の Safety: Freedom from risk の直訳をすると
which is not tolerable
つまり後半の、which is not tolerable を直訳すると
安全とは、許容不可能なリスクがないこと
Safety: Freedom from risk + which is not tolerable
ISO/IEC 版からJIS 化で日本語にする時に、JIS の担当者は下記のよう考え、JIS 用の定義を考えました。
許容可能と許容不可能な概念 リスクリミット
4 章「安全」や「安全な」という言葉の使用について
- 安全な状態であっても、ある程度のリスクが存在する
- リスクゼロは存在しない
- 「安全」や「安全な」という言葉は、時に人に誤解を生じさせる
よく考えると、意味がわからない「安全に妥協なし」という標語
4.1 項 「安全」や「安全な」という用語
やばすぎるリスクゼロの考え
4 “安全”及び“安全な”という用語の使用
4.1 一般社会では,しばしば“安全”という用語は,全てのハザードから守られている状態と理解されている。しかし,正しくは,安全とは危害を引き起こすおそれがあると思われるハザードから守られている状態をいう(3.14参照)。製品又はシステムには,あるレベルのリスクが内在している。
出典 JIS Z 8051:2015
「安全」の概念はある程度のリスクを含んでいます。
リスクリミット内なので許容可能なリスクではあるが、ある程度のリスクが存在している
4.2 “安全”及び“リスクの定義 安全な”という用語は,特に有益なその他の情報を伝えない場合には,形容詞としての使用は避けることが望ましい。
さらに,“安全”及び“安全な”の用語はリスクがないことを保証していると誤解されやすいので,可能な限り目的を示す用語に置き換えることが望ましい(例 参照)。
例 “安全ヘルメット”の代わりに“リスクの定義 保護ヘルメット”。“安全インピーダンス装置”の代わりに“保護インピーダンス装置”。“リスクの定義 安全床材”の代わりに“滑りにくい床材”。
出典 JIS Z 8051:2015
-
リスクの定義
- 「安全ヘルメット」 → 「保護ヘルメット」
- 「安全帯」 → リスクの定義 「墜落制止用器具」
リスク (risk)とは
- リスク = 危害の発生確率 リスクの定義 x 危害の度合いの組み合わせ
- 組み合わせ → 掛け算をおすすめ
リスクとは
リスクの定義
3.9 リスク(risk)
危害(3.1)の発生確率及びその危害の度合いの組合せ。
注記 発生確率には,ハザード(3.2)への暴露,危険事象(3.3)の発生,及び危害の回避又は制限の可能性を含む。
出典 JIS Z リスクの定義 8051:2015
リスクを構成する要素(リスク = 危害の度合い x 危害の発生確率)
JIS では、原文の “is a function of” を 「関数」 と訳しています。「関数」だと、足し算や掛け算などが該当します。
理由は、リスクとは “risk: リスクの定義 combination of” 「組み合わせ」と定義されているからです。
リスクアセスメント
- リスクアセスメントの手順の詳細はA 規格 ISO リスクの定義 12100 に従う
- リスクアセスメントは「許容する」か「許容しないか」を求める手段
- リスクアセスメント終了後は3ステップ(本質的安全設計方策→安全防護及び付加保護方策→使用上の情報)で対策する
許容可能なリスク(tolerable risk)
設計者は目の前にあるリスクやあらかじめ想定されるリスクについてリスクアセスメントという手法を用いて「許容するか(可能か)」OR「許容しないか(不可能か)」を決定します。
- 現代の社会の価値観
- 与えられた状況下
- 受け入れられるリスクのレベル
リスクアセスメントとリスク低減の反復プロセス
ISO 12100:2010
Safety of machinery – General principles for design
– Risk assessment and risk reduction
JIS B 9700:2013
機械類の安全性 − 設計のための一般原則 − リスクアセスメント及びリスク低減
リスクアセスメントとリスク低減のプロセス
許容可能なリスクの達成のためには、それぞれの危険源についてのリスクアセスメント・リスク低減の反復プロセスが必須です
ISO 12100 リスクアセスメントとリスク低減の反復プロセス
リスクの低減方法 3ステップメソッド
3ステップメソッド
ISO 12100 設計者の観点によるリスク低減プロセス
規格における安全側面
- 規格の分類にはA, B, C 規格がある
- A 規格はISO 12100 リスクアセスメントのこと
- 細かい要求はB 規格を参照し、個別の製品についての要求はC 規格を参照すること
安全規格の種類
ISO/IEC GUIDE 51 は規格の体系を説明し、3つの規格の分類(基本安全規格・グループ安全規格・製品安全規格)を示しています。
7 規格における安全側面
7.1 安全規格の種類
規格の体系は,次のような種類の規格で成り立っている。
− 基本安全規格:広範囲の製品及びシステムに適用可能な一般的な安全側面に関する基本的な概念,原則及び要求事項からなる。
− グループ安全規格:幾つかの製品若しくはシステムに,又は類似の製品若しくはシステムのファミリーに適用可能な安全側面からなり,一つ以上の委員会で扱われ,できる限り基本安全規格を引用する。
− 製品安全規格:特定の製品若しくはシステム,又は製品若しくはシステムのファミリーのための安全側面からなり,一つの委員会の範囲内にあり,できる限り基本安全規格及びグループ安全規格を引用する。
− 安全側面を含んでいる規格:その規格は安全側面だけを取り扱うものではなく,できる限り基本安全規格及びグループ安全規格を引用する。
出典 JIS Z リスクの定義 8051:2015
- 基本安全規格 → A 規格
- グループ安全規格 → B 規格
- 製品安全規格 → C 規格
タイプA リスクの定義 規格(基本安全規格)
ISO 12100:2010
機械類の安全性−設計のための一般原則 − リスクアセスメント及びリスク低減
Safety of machinery-General principles for design- Risk assessment and risk reduction
タイプB 規格(グループ安全規格)
- タイプB1 規格 特定の安全面(例えば、安全距離,表面温度,騒音)に関する規格
- タイプB2 規格 安全防護物(例えば、両手操作制御装置、インターロック装置、圧力検知装置,ガード)に関する規格
IEC 60204-1:2016
機械類の安全性−機械の電気装置− 第1部:一般要求事項 Safety リスクの定義 of machinery-Electrical equipment of machines- Part 1: General requirements
ISO 14119:2013 リスクの定義
機械類の安全性-ガードと共同するインタロック装置-設計及び選択のための原則
Safety of machinery — Interlocking devices associated with guards — リスクの定義 Principles for design and selection
ISO 13849-1:2015
機械類の安全性-制御システムの安全関連部-第1部:設計のための一般原則
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
ISO 13849-2:2012
機械類の安全性-制御システムの安全関連部-第2部:妥当性確認
Safety of machinery — Safety-related parts of control systems — Part 2: Validation
B 規格 IEC 60204-1 やISO 13849-1 については、こちらの記事を参照してください。
後から困らないために電気設計初心者が当然知っておくべき最初の関門。電気的危険源と採用できる電気部品。 電気回路設計者が電気回路の安全対策設計をする場合に最初に考えることがあります。電気的危険源について、採用できる部品について正しく理解できていますか? この記事は現役リスクアセスメントエンジニアがIEC 60204-1 1章、4章の要求について実際の例を用いながら解説します。.
安全回路設計入門者にとって難しいSRP/CSやPLrの意味。リスクアセスメント例題からPFHdを求めてみよう。 安全回路設計初心者がISO 13849-1 に基づいてパフォーマンスレベル計算をするとき、最初に出会うワードがあります。このワードの定義をしっかり理解できていないと、パフォーマンスレベル計算の苦手意識がでてしまいます。この記事は現役リスクアセスメントがSRP/CS, PLr, PL, PFHd について、例を用いながら解説します。.
タイプC 規格(個別機械安全規格)
EN 415-10:2014 (包装機械)
Safety of packaging machines – Part 10: General Requirements
ISO 23125:2015 (旋盤)
Machine tools — Safety — Turning machines
ISO 16089:2015 (研削盤)
Machine tools — Safety — Stationary grinding machines
規格の体系のイメージ
A 規格でカバーしきれないリスクについてはB 規格でカバーします。B 規格でカバーしきれないリスクについてはC 規格でカバーしてリスクを評価します。
ISO/IEC GUIDE51 規格の分類 (A 規格 ISO 12100)
発生確率・影響度マトリックスとは何か?PMBOKのリスク分析の手法を解説
図1:発生確率・影響度マトリックス
ここからはリスクの定性的分析をする過程での発生確率・影響度マトリックスの作り方を見ていきます。
最終的には図1のような発生確率・影響度マトリックスが完成するようにしていきます。
発生確率・影響度マトリックスを使ったリスクの定性的分析の手順をまとめると、以下のような流れになります。
リスクの洗い出し
発生確率・影響度マトリックスを作成する際は、まずリスクを洗い出していきます。
すでに作成していたリスク登録簿を確認したり、改めて会議で議論したりして、プロジェクトのリスクを洗い出していきます。
リスクの発生確率と影響度の定義
発生確率と影響度を5段階に分ける
プロジェクトのリスクが洗い出せたら、次にリスクの発生確率と影響度の定義をしていきます。
とくに決められたものではありませんが、多くの場合、 リスクの定義 発生確率・影響度ともに各5段階 に分けていきます。
例えば図1では発生確率を90%、70%、50%、30%、10%の5段階に区切っていきます。
影響度についても図1では極めて低い、低、中、高、極めて高い、の5段階に分けていきます。
しかし、影響度というのは一般的な指標はなく、その指標を定義していく必要があります。
例えば下の表1のように、「スケジュールが当初の予定より5%~10%の延長を引き起こすならば、影響度中とする」など、影響度の指標を定義していきます。
極めて低い (0.05) | 低い (0.1) | 中 (0.2) | 高い (0.4) | 極めて高い (0.8) | |
---|---|---|---|---|---|
コスト | コスト増 1%未満 | コスト増 1%~10% | コスト増 10%~20% | コスト増 20%~40% | コスト増 40%以上 |
スケジュール | 期間延長 1%未満 | 期間延長 1%~5% | 期間延長 5%~10% | 期間延長 10%~20% | 期間延長 20%以上 |
品質 | 軽微な品質劣化 | 限定した用途にのみ影響 | 品質低下にスポンサーの承認が必要 | 品質低下をスポンサーが許容しない | プロジェクトの最終成果物は実用に耐えない |
過去の状況や専門家の意見などから定義していく
この リスクの発生確率と影響度の定義が、発生確率・影響度マトリックスを作成する中でもっとも重要な手順 かもしれません。
なぜならリスクの発生確率や影響度はプロジェクトで共通した指標はなく、プロジェクトごとにリスクの発生確率や影響度を定義していかなければならないからです。
先ほどの影響度の定義でみたように、何をもって「影響度が高い」とみるかはなかなかプロジェクト・マネジャーだけでは判断できないところです。
こうした時は組織のプロセス資産(以下、OPA)を使い、過去のリスクの発生状況がノウハウとして蓄積されていないか確認したり、専門家の意見を聞いて発生確率や影響度の定義をしていきます。
発生確率・影響度マトリックスの作成
リスクの発生確率と影響度の定義が終われば、発生確率・影響度マトリックスを作成していきます。
図1のように表組を作成していきますが、縦には発生確率を、横には影響度をとり、その交差する部分にはリスク・スコアと呼ばれる数値をとっていきます [2] リスクの定義 図1では小数点第3位を四捨五入しています 。
リスク・スコアは以下の計算式で算出されます。
リスクの発生確率と影響度の査定
発生確率・影響度マトリックスが完成したら、リスクの発生確率と影響度の査定を行っていきます。
例えば「プロジェクト・メンバーの離脱」というリスクは5段階の発生確率・影響度の中でどこに属しているのかを査定します。
こうした場合もOPAから過去の状況を確認したり、会議や専門家と相談しながら発生確率と影響度を査定していきます。
そして下の表2のように、各リスクとそのリスク・スコアをまとめて一覧化していきます。
リスク | 発生確率 | 影響度 | リスク・スコア |
---|---|---|---|
メンバーの力量・スキル不足 | 中 | 極めて高い | 0.40 |
事故・病気によるメンバーの離脱 | 低 | 極めて高い | 0.24 |
他のプロジェクトで作成している資料Aの遅延 | 高 | 低 | 0.07 |
リスクに優先順位をつけて対応する
発生確率・影響度マトリックスを作成し、リスクの定性的分析を行ったら、資料にその分析結果をまとめるだけでなく、実際に対策を講じていきます。
大切なのは、すべてのリスクに対して同じように扱うのではなく、リスク・スコアの数値に応じて優先順位を決めて対応することです。
例えばリスク・スコアが0.20より大きい場合は、緊急度の高いリスクとして扱い、リスク対策のための会議を開いたり、改めて専門家に対策を相談していきます。
こうした対策内容を最終的にリスク報告書にまとめ、承認を得るまでがリスクの定性的分析と言えるでしょう。
コメント