ビジネスに欠かせないのが“リスクマネジメント”です。皆さんの会社では、適切なリスクマネジメントを実施しているでしょうか?
企業が経営活動を維持する上で欠かせない経営管理の1つであり、近年ではコンプライアンス問題が多方面で発生していることからも、リスクマネジメントの重要性が一層と増しています。
本稿ではリスクマネジメントとは何か?という基礎解説に始まり、リスクマネジメントの手法をご紹介します。
リスクとは?
まず大切ことは、リスクマネジメントにおける“リスク”とは何かを?を明確にすることです。リスクと聞くと「将来的に発生し得る危険」のようなイメージを持たれる方も多いでしょうが、実際は違います。
リスクの正確な意味は「今後起こるかもしれない不確定な事象」です。従って、リスクと危険はイコールではなく、実は企業にとってプラス影響を与える不確定事象も、リスクだと定義できます。
ただし、企業によってリスクの定義は若干異なります。リスクマネジメントでは管理の根底に、常にリスクの定義を置く必要があり、その定義が企業によって異なれど、組織内でしっかりと共通認識されていれば問題なくリスクマネジメントは機能します。
本稿ではリスクを「自社の事業継続を脅かす事象」「事業の掲げる目標達成を妨げる事象」と定義し、話を進めていきます。
リスクマネジメントとは?
リスクマネジメントの定義はいくつか存在します。一般的には企業が経営を行っていく中で、想定される内外的なリスクを適切に管理し、リスクの発生を防ぐ経営管理手法だと認識されています。さらに、想定されるリスクを俯瞰的視点かつ合理的な方法で管理することで、最大限の利益を得るための戦略として“事業リスクマネジメント”と定義する場合もあります。
リスクが発生することで起こる不利益の対象は、企業経営の存続、株主、財務、従業員などリスクごとに対象が違います。それぞれに適切なリスクマネジメントを実施する必要があり、リスクマネジメントの取り組みは経営状況を把握する上で重要な情報と位置づけ、外部のその体制を公開している企業も多いでしょう。
リスクマネジメントの一例
食品を扱っている会社では製造過程で異物が混入したり、賞味期限切れの食材を使いまわしていたりと、会社の信用やイメージを著しく低下させるリスクが想定できます。異物混入が発生しないためには、徹底した衛生管理や社員教育をリスクマネジメントとして実施します。さらに、競合他社から優れた商品が販売され、市場シェアを奪われないようにすることもリスクマネジメントの一環です。
大手企業ではグループ子会社による粉飾決算で、株主の不利益になるような情報を公開してしまうというコンプライアンス問題が多発しています。社会的信用を著しく低下させるには十分な事象であり、株主からの信頼を失うことで株価は暴落し、資金調達が難しくなります。第三者委員会や監査法人による会計監査の徹底も、リスクマネジメントの一環だと言えるでしょう
さらに、近年ではサイバー攻撃による情報漏えい事件が度々発生しており、2018年にはEU(欧州連合)でGDPR(General Data Protection Regulation:一般データ保護規則)が施行されたことで、個人情報の取り扱い要件が一層厳しくなっています。
クライシスマネジメント(危機管理)との違い
世間ではよく、リスクマネジメントとクライシスマネジメントを混同し定義しています。しかし実際に2つの経営管理手法は異なるもので、クライシスマネジメントは企業経営の存続にかかわる如何なる危機に対して、被害の最小化と事業継続を行うために、危機を予測した対応策を実施するプロセスを意味します。
具体的には危機対応組織を構築し、情報管理から復旧活動などを行います。食品会社の事例を挙げると、商品の異物混入が判明した際に、消費者の問い合わせ窓口や、対象商品の改修連絡を管轄する対策本部の設置等がクライシスマネジメントにあたります。
要するに、今後発生するかもしれない不確定な事象を管理し、回避するための対策を立案し実行するのがリスクマネジメントであり、クライシスマネジメントはリスクが実際に発生した後の対応策を計画し、被害を最小限にとどめるためのものです。
リスクマネジメントとクライシスマネジメントを一体に考えることで、事業存続に向けた具体的な対応策を練ることができます。
リスクマネジメントの実施ポイント
それでは、リスクマネジメントを実施していく上で欠かせないポイントをわかりやすく解説していきます。
Point1.過去の事例からリスクを推測する
リスクマネジメントではまずリスクの洗い出しが大切です。最も簡単な方法が過去の事例からリスクを推測し、将来発生し得る不確定事象を特定することでしょう。ただし、過去の事例から推測するのはあくまでリスクを洗い出す方法の1つです。過去に発生したリスクがすべてではないので、リスク整理のための会議を開き、関係者の知恵を絞って様々なリスクを推測しましょう。
Point2.リスクの危険度を評価し優先順位を付ける
すべてのリスクに効く万能薬はありませんし、すべてのリスクを一挙に管理することも不可能です。そこで、リスクごとの危険度を評価し、優先順位を付けることで優先的に管理すべきリスクを把握します。
リスク評価の一例
|
発生確率/影響度 |
1.0 |
0.8 |
0.6 |
0.4 |
0.2 |
0.1 |
0.05 |
|
1.0 |
1.0 |
0.8 |
0.6 |
0.4 |
0.2 |
0.1 |
0.05 |
|
0.8 |
0.8 |
0.64 |
0.48 |
0.32 |
0.16 |
0.08 |
0.008 |
|
0.6 |
0.6 |
0.48 |
0.36 |
0.24 |
0.12 |
0.06 |
0.006 |
|
0.4 |
0.4 |
0.32 |
0.24 |
0.16 |
0.08 |
0.04 |
0.004 |
|
0.2 |
0.2 |
0.18 |
0.12 |
0.08 |
0.04 |
0.02 |
0.002 |
|
0.1 |
0.1 |
0.08 |
0.06 |
0.04 |
0.02 |
0.01 |
0.001 |
|
0.05 |
0.05 |
0.004 |
0.003 |
0.002 |
0.001 |
0.005 |
0.00025 |
リスクの発生確率と影響後からリスクを評価し、優先的に管理すべきリスクを明らかにしましょう。
Point3.リスク対応計画を立案する
リスクの対応計画を立てる際は4つのアクションから考えるのが効率的です。
①回避
リスクが発生する要素を取り除くことで、リスクそのものを排除します。一番有効的ですが、リスクに潜在するすべての要素を取り除けるケースは多くありません。
②軽減
発生確率の軽減、影響度の軽減という2つのアプローチからリスクを管理します。リスクマネジメントの中では最も現実的な対応策であり、手間やコストも削減できます。
③転嫁
リスクを第三者に移転することを転嫁(てんか)といいます。一般的には、アウトソーシング等を利用することでリスクを外部へ分散する方法です。コストはかかりますが確実なリスク対応策です。
④受容
最終的にはリスクを受け入れるという対応策を考えます。組織に与える影響度が低い場合は、リスクを受け入れることで無駄な手間とコストを削減し、結果的に有益な方向へと進みます。
Point4.5W1Hで対応計画を実行する
最後に、5W1Hに沿ってリスクマネジメントを実施していきます。
WHAT(なぜ)
自社にとって「リスクマネジメントとは何か?」を明確にします。リスクマネジメントの目的を明確にすることで、コンプライアンスや今後の対応計画に具体性が増し、適切な管理を行うための基盤ができます。
WHEN(いつ)
リスクごとに「リスクマネジメントはいつ行うのか?」を考えます。例えば情報漏えい対策としてのリスクマネジメントを行う際は、定期的なセキュリティ教育が必要になります。
WHERE(どこで)
「リスクマネジメントはどこで行うのか?」を明確にします。あるいは全社的に取り組むべきことなのかを明確にし、必要に応じて専任組織を構築するケースも想定しましょう。
WHICH(どちらを)
「どのリスクに対し優先的に取り組んでいくのか?」を考えます。この優先順位によってリスクマネジメントは大きく変わります。前述した優先度の付け方をご参照ください。
WHO(誰が)
「リスクの対応策をだれが講じるのか?」を考えます。適切な人選が重要です。時には外部コンサルタントへ依頼したりなど、リスクマネジメントを柔軟に考える必要があります。
いかがでしょうか?皆さんも事業継続や経営最適化のためのリスクマネジメントをぜひ実施してみましょう。
