ISO 31000を指針として使用した戦略的計画におけるリスク管理の実践的視点。
2026年のリスク管理の状況を形成する主なトレンド
私たちは、戦略的計画における新たなトレンドを積極的に追跡しており、特にそれらがリスク管理に与える影響に注目しています。
2025年に観察されたリスク関連のユースケース:
- エンタープライズリスクを整合した戦略的および機能別スコアカードに展開し、リスク、シナリオ、KPIを各機能横断で連携することで、リスク管理を戦略に組み込む。
- 単一のパフォーマンスフレームワーク内でボウタイ分析を通じて予防的および軽減的管理策を継続的に監視することで、リスク管理を戦略実行へ統合する。
2026年に予想されるリスク管理の変化は次のとおりです:
- より多くの規制がリスク管理実践の要件を明示的に含めるようになっています。ステークホルダーという概念がリスク管理においてより一般的になりつつあります。
- 新たに生成されるAIに伴うリスクを軽減するため、AIガバナンスが広く採用されています。
- Coupang、Aflac、フェニックス大学を含む著名なデータ漏洩事例が、サードパーティーベンダーの検証への関心を高めるきっかけとなっています。
- 地政学的分断、貿易制限、マクロ経済の不安定さが続く中、2026年には組織がリスクモデルを拡大しストレステストする動きが加速しており、特にサプライチェーン全体で顕著です。
- 極端な気象現象により、災害復旧への関心がコアIT以外にも広がっています。
リスクはプロフェッショナルコミュニティで注目を集めているトピックです。米国および欧州各地でリスクおよびGRCカンファレンスが増えています。私たちは計画されたカンファレンストークを通じて、リスク管理における実践的な経験を共有してまいります。
はじめに:確率と影響を超えたリスクの定義
リスク管理の分野における指針となる標準はISO 31000です。この標準のリスクの定義がどのように進化してきたかを観察することは興味深いです:
- 以前のISOにおけるリスクの定義:「損失の可能性または確率」
- ISO 31000:2018による定義:「目標に対する不確実性の影響」
何が変わったのでしょうか?
- 古い定義では「損失」が言及されていましたが、新しい定義では「影響」という用語が使われています。この変化は、潜在的なプラスとマイナスの影響を示唆し、顧客の認識のような無形資産の重要性を強調しています。
- 古い定義では「可能性」と「確率」が出来事の発生の可能性を説明するために使われていました。現代の定義では、「不確実性の影響」に出会いますが、これは不完全な知識の影響としても説明されています。このアプローチは、リスクを「確率 x 影響」モデルを超えて定義する柔軟性をもたらします。
- 新しい定義に「目標」という用語が追加されたことで、リスクが特定の文脈内で定義されることが強調され、全体的な戦略と潜在的に整合性が取れないことを防ぎます。
ISO標準の指針を用いて、戦略的計画におけるリスク管理の実際の応用を探索しましょう。
1. リスク評価: システマティックでステークホルダーを意識したもの
組織の戦略とステークホルダーの利益の文脈で、推進要因とその初期兆候指標の体系的な分析を通じて可能なリスクをマッピングします。
ISO標準の一般ガイドラインは、リスク評価が体系的であり、異なるステークホルダーの意見を考慮に入れるべきであることを強調しています。
実際にはどういう意味ですか?
リスク評価:体系的
業界によって「体系的」なリスク評価の概念は異なります。基本的には、以下のような定められたプロセスと基準に従うことを含みます。
- リスク評価の定期性
- リスクの定量化
- 責任ある個人の割り当て
以下では、これを業務レベルでどのように実施できるかを説明します。
リスク評価: ステークホルダーの視点
他のビジネス領域(例えば、サステナビリティ報告指令を参照)と同様に、ISO標準はステークホルダーの定義に焦点を当て、リスクを管理する際にステークホルダーの意見を考慮することを要求しています。
実際には、組織は次のことを行う必要があります:
- 関係する当事者を定義するためにステークホルダー分析を実施する。
- 目的の文脈でリスクモデルを作成する際にステークホルダーの利益を考慮する。
この標準要件は、私たちの戦略実施システムを通じて推奨するアプローチとよく整合しています。
BSC Designerのユーザーは、アカウント内でステークホルダー分析テンプレートを見つけることができます。
- ステークホルダーのリストは、設定 > 組織 > 戦略から定義できます。
- リストのステークホルダーは ‘担当者‘ リストに含まれ、目標、リスク、またはリスク軽減計画に割り当てることができます。
目標の文脈におけるリスク特定
次のリスク評価のステップは、具体的なリスクに名前を付けることです。新しいISO規格では、リスクを目標の文脈で定義することが求められています。この規格の目標は、リスクとビジネス文脈の整合を改善することです。
著名なGRCアナリストのMichael Rasmussen氏は、価値創造のためのリスク管理とコンプライアンスのためのリスク管理についての視点を共有しました:
- 「[リスク管理の良いツール]は、ビジネスの目標から始まり、それらの目標の文脈でリスクをマッピングし管理します(真のISO 31000)。」
戦略的計画において、別々のリスクスコアカードを持つのではなく、リスクを戦略スコアカードに統合する。
価値ベースの戦略分解を行う際、ステークホルダーの戦略的野望をより具体的な目標とサブゴールに分解します。この時点で、目標を定量化し、リスクを定義して、取り組んでいるビジネス文脈をよりよく理解します。
ビジネス環境をスキャンするために使用するほとんどのツール(図の戦略分析セグメントを参照)は、自然にリスクの特定を助けます。
BSC Designerでリスクを定義するには:
- 既存の目標を選択するか、新しい目標を作成します。
- 追加ボタンメニューからリスクを追加を選択します。
- 説明欄に関連する要因を記入し、ドキュメントセクションを使用してサポート文書をアップロードします。
リスク分析の結果を入力するには:
- 可能性インジケーターを選択します。
- 固有フィールドに初期リスクの見積もりを入力します。
- 許容可能フィールドに許容リスクを入力します。
- 残余フィールドに現在のリスクの見積もりを入力します。
影響インジケーターの手順を繰り返します。
早期サイン指標の定義
リスクの根本原因は、ISOで「不完全な知識」の影響と呼ばれています。
推進要因の文脈でリスクモデルをどのように強化できますか?
確率指標に加えて、早期サイン指標を定義します。例えば、これらは経済危機や戦争の早期警告指標である可能性があります。一般的な推進要因をより具体的な要因に変換することで、信頼できる早期警告指標を見つける可能性が高まります。
戦略的計画において、我々は成功要因と整合したこれらの予測/先行指標と、結果を測定する指標(遅行指標)を区別します。
BSC Designerで予測的な早期サイン指標を作成するには:
- 新しい指標を作成します。
- コンテキストタブに切り替えます。
- 指標の種類を「先行」に変更します。
リスク管理の例. この指標は親目標のパフォーマンスを計算する際には考慮されませんが、リスクの発見やリスク軽減施策を定量化するために追跡し、利用することができます。
2. リスク分析: 可能性、影響、脆弱性
リスクを、可能性、影響、脆弱性といった属性を定量化することでより具体的にします。
リスク分析は、リスクとその組織への影響を理解することに焦点を当てた幅広い実践です。以下は、戦略的計画の文脈でのリスク分析に関する提案です。
可能性/確率指標を定義する
可能性指標は次のように定義できます:
- 質的に、例えば、[低、中、高] のスケールで
- 量的に、例えば、[0から100%] のスケールで。
量的スケールは、リスクイベントがその 可能性 をある期間で推定するための十分な経験的データを持っている場合に適しています。
Risk Management Example. 
BSC Designerのユーザーは、ソフトウェアが特定の値に変換できる質的な測定単位(カスタムスケール [“稀、ありそうにない、可能性がある、ありそう、確実”])を定義できます。
Risk Management Example. リスク影響指標
類似して、リスク指標を0から100%までのスケールで定量的に定義できます。
代替オプションとして、リスク影響指標にドルスケールを使用することもできます。
Risk Management Example. 類似して、影響のためにカスタム定量スケールを定義できます:
Risk Management Example. 脆弱性指標
リスクの可能性とその影響を見積もる際、組織がこの種のリスクに対してどれだけ敏感であるかは考慮されていません。
初期の兆候インジケーターを議論する際に、特定の推進要因の発展を予測できるビジネス環境の側面を定量化しました。脆弱性の場合、組織とそのインフラに焦点を当てて同様の分析を行います。
例えば、ウォーゲームや攻撃シミュレーションを通じて既存のサイバーセキュリティ脆弱性を評価することができます。より具体的な例は、サイバーセキュリティに関する記事で見つけることができます。
「脆弱性」は、CVSSの0から10のスケールで「最小化」最適化機能を使用して定量化できます。
リスクを内部統制の有効性に整合させる
リスクの可能性や影響を推定する一つの方法は、内部統制の有効性を評価することです。
統制の有効性は遅行指標によって検証されます。それらが緑色ゾーンにある場合、リスクの見積もりが低くなると予想できます。
時間要因を追跡する
推進要因の絶え間ない変化やリスク予防施策は、リスクの見積もりに変化をもたらします。
時間の経過に伴うリスクの進化を追跡し、学習と改善サイクルのための関連するアイデアを記録してください。
BSC Designerでこれを自動化するには:
- リスク指標の更新間隔を設定します。
- 内部カレンダーと値フィールドを使用して、新しいデータで指標を更新します。
- コメントボタンを使用して、更新に関連するメモを追加します。
3. リスク処理: リスクに対する対応の決定
リスクに対する軽減計画を実施し、施策とリスク軽減指標のステータスで実施の成功を追跡します。
許容可能なリスクの既定の閾値に従い、リスク分析の結果を受けて、意思決定者は以下のような選択肢でリスクに対する対応戦略を策定します:
- 関連性がないとしてリスクを除去する
- 既存のリスクモデル内で監視する
- リスク処理計画を導入する
- リスク分析を再評価する
- 文脈(目標やステークホルダーの野望)を再評価する
BSC Designerでは:
- リスク軽減の施策を使用して、リスク処理計画を書き留めます。
- 進捗指標をリスク軽減施策と整合させます。
- 受け入れられたリスクマネジメントのワークフローに従って、リスクの現在のステータスを示すためにステータスフィールドを使用します。
リスク管理例. - 施策ダイアログを通じて追加項目を追加します(新しいリスク、施策、根拠、仮説、期待される結果)
- 予算、タイムライン、進捗指標、責任者など、リスク処理に関連するデータを追加します
- 関連する支援ドキュメントをアップロードします
4. リスクモニタリング: リスクエクスポージャーの再評価
主要リスク指標とダッシュボードを用いて、時間とともにリスクエクスポージャーの変化を追跡する。
リスクを定義するために使用した指標は、特定の更新間隔で設定されています。リスク指標に割り当てられた担当者は、次回の更新間隔や更新が遅れた場合に通知を受け取ります。
ダッシュボード上で、時間通りに更新されなかった指標を視覚化することも可能です。
すべての更新の詳細(更新した人物、更新された時期、以前の値が変更されたかどうか)は、指標の監査ログを通じて視覚化できます。
ガバナンススコアカードのレベルでは、定期的なリスク分析が専用の指標によって定量化できます:
- 「体系的なリスク評価の実施」をガバナンススコアカードに追加します。
- 指標を四半期または年次で更新するように設定します。
- 定期的なリスク分析を担当する人物/チームをこの指標の担当者として割り当て、次回の更新についてのメールリマインダーを受け取るようにします。
- この指標を、特定の領域で行われたリスク評価を定量化する下位レベルの指標と整合させます。
ダッシュボード
定期的に更新される指標を用いて監視することに加えて、関連する図を含むダッシュボードを追加することを検討してください:
- リスクの一覧、ステータス、処理の進捗状況、担当者を示す図
- 最も重要なリスクに特化した図
- リスク指数とその時間経過による変化を示す図。
リスク管理の例. 
重み付けリスク指数
リスクインシデントを報告する一般的な手段の一つとして、重み付けリスク指数があります。簡単な指数は次のようになります:
- 低影響イベント(重み = 5%)
- 中程度影響イベント(重み = 15%)
- 高影響イベント(重み = 30%)
- 重大イベント(重み = 50%)
この指数の使用により、高価値イベントを低価値の解決策で隠すことでインジケーターを操作するのを防ぐことができます。
リスク管理の例. BSC Designerでは:
- 追加ボタンを使用して、インジケーターの階層構造を作成します。
- パフォーマンスタブの重みプロパティを使用して、インジケーターに関連する重みを割り当てます。
大規模なリスク管理: リスク登録簿と目標重視のリスク定義
リスク関連の実践を拡大する際、組織は通常、リスクの可視性と整合性をバランスさせるために、これら2つのリスク管理方法を組み合わせます:
- 一般的なリスクに対するリスク登録簿スコアカードの使用、および
- より具体的なリスクに対する目標重視のリスク定義に焦点を当てること。
Risk Register. 包括的なリスク分析 – ボウタイ手法
上記では、特定リスクの定量的分析に焦点を当てました。しかし、複数の脅威や結果がさまざまな側面に関係する特定のリスク事象に関連する不確実性について、より詳細に理解する必要がある場合はどうすればよいでしょうか。
そのような場合、ボウタイリスク分析手法は、その特定のリスク事象だけでなく、予防や軽減対策もマッピングし、明確で体系的な視点を提供します。
スライド
結論: 戦略的計画におけるリスクの統合
私たちはもはやリスク管理、コンプライアンス、およびガバナンスの別個の分野について話しているのではありません。急速に変化するビジネス環境は、組織に統合されたGRCフレームワークを求めさせています。
私たちの戦略実行システムで概説されているように、実際の実装には以下が含まれます:
- 複雑な問題を特定の領域に分解し、専用の戦略と機能スコアカードで管理する。
- 適切なリスク定義、指標、および施策を用いて目標を策定する。
- コンプライアンス、サイバーセキュリティ、サプライチェーンなどの関心領域にスコアカードを集中させる。
Risk Management Exampleテンプレートを使用してください
BSC Designerは、組織が複雑な戦略を実施するのを支援します:
- プラットフォームで無料プランにサインアップしてください。
- 新規 > 新しいスコアカード > その他のテンプレートで、
Risk Management Exampleテンプレートを開始点として使用してください。 - 利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。
今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください!
Alexis Savkinは、戦略実行アーキテクトであり、戦略実行およびバランスト・スコアカードのソフトウェアプラットフォームであるBSC Designerの創設者です。彼は、組織がパフォーマンス管理を自動化し、戦略を測定可能な成果へと転換することを支援しています。Alexisは「Strategy Execution Canvas」の作成者であり、戦略およびパフォーマンス測定に関する100本以上の記事の著者で、業界イベントで定期的に講演しています。