残留リスクの承認とは?
審査用語は面倒で本質を見失わせてしまう。その手伝いをするのが愚かしい審査員とコンサル。何故コンサルか?。審査機関との癒着。
BSIジャパンに限らないが契約審査員は審査機関に片足突っ込んで審査をやりながらコンサルをやっている。BSIジャパンの場合は、癒着を生む背景として、契約審査員がコンサルをやり、営業もやることがある。BSIは紹介料を払うし、不合格にも出来ないと狂った圧力がまかり通る。このコンサルは100社を紹介しているので全部通せという訳だ。
コンサル専業なら癒着は回避できそうだが、認証取得を看板に掲げたら一定の関係を取らない訳にはいかないだろう。
※
さて、残留リスク。
リスクは組織が保有するリスクを経営陣が理解するのは当然のこと。経営者の必須事項の一つ。最大関心事。規格に記載があろうが無かろうが経営陣は最新のリスク状態、今後の見通し、過去の管理実績とトレンド。
国家安全保障会議に相当する「」リスクマネジメント会議が定期不定期に開催されるし、重要なデータはボードメンバー間で常に共有されていなければならない。
ところが、
全体のリスクマネジメントとの関連のない独立した唐突な会議体で承認が行なわれたり、単にリスクアセスメントの台帳に経営者承認欄を作って印を押させているところがある。
稚拙な審査員はOKですとやってくれる。リスクマネジメント全体の中に正しく位置づけられているかどうかは見ていない。BSIジャパンの場合は時間効率最優先だから、直接の審査範囲の周辺まで目を配ることはしない。
- 全社リスクマネジメントの中の位置づけを文書で確認せよ!
事業継続性を脅かす幾つかのリスクを構成するものだ。業態により比重は変わるが、無関係とすることは出来ないだろう。
※
リスクの定量化評価
方便の分析手法を使うと定量化評価は出来ない。大中小とか1~4のレベル評価とかでは子供のままごとリスクアセスメントになる。
単純で分かりやすいのは損失額評価。
幾つかの企業はチャレンジしている。しかし、単純でもないし分かりやすくもない。
※
