社会情勢や環境の激変により、企業内外に色々なリスクが発現する現代において、リスクマネジメントの重要性が増しています。
本記事では、リスクマネジメントとはどういったことか、企業が実施するべきプロセスを詳しく解説します。
企業を取り巻くリスクとは何か
ビジネスにおける「リスク(risk)」とは旧来は色々な定義が混ざり合っていましたが、近年では国際標準化機構(ISO)による国際的なガイドライン「ISO31000:2009, Risk management – Principles and guidelines」により定められた、下記の定義が定着しています
目的に対する不確実性の影響(Effect of uncertainty on objectives)
従って、組織としては目的が達成できるか否か、それが達成にどのくらいの時間を要するか、といった不確実性を避けられません。
その不確実性は組織の内外部の両方にあります。
そもそもリスクというワードは「危険」や「危機」の意味を指すことが多いようですが、企業にとってのリスクは、「起こり得る事象の分布」という統計学的な意味合いで使用されています。
企業におけるリスクの例|製造業の場合
- 売り上げが下がった場合の回復能力
- 原料の市場及び製品やサービスを販売する市場の不確実性
- 資本調達についての不確実性
- 営業力の不確実性
- コンプライアンス違反 など
これらの大半は事前の調査や分析で影響を予測することが可能なリスクに分類されます。そこで、さらに事前の予測によるリスクの回避、低減、もしくはリスクテイクするのが、リスクマネジメントです。
リスクの評価・算定方法
リスクの程度は万人に同じ認識をされるかというと、そんなことはありません。まったく同じ状況においても、人それぞれ評価や感じ方も違うので、リスクの程度への評価は絶対的なものではなく、相対的なものになります。
そこで、「発生する頻度×発生した際の影響度」という数式でリスクを評価や算定していきます。そしてその結果で、リスクについてどういった対応をするかを決めていきます。
リスクマネジメントとは、不確実性の管理をすることになります。しかし、不確実な場合でも事件や事故が起こるのをただ待機するのではなく、必ず起こるものと想定して、リスクの顕在化及びその影響の軽減策を平常時に準備や実行をする必要があります。
VUCA時代のリスク保有=リスクをとる時代へ
VUCA(ブーカ)とは、社会環境が複雑になり、将来の予測が難しい時代を意味する言葉です。
VUCA時代になり、リスクマネジメントの捉え方も変わりました。時代の変化を事前に予測することはできないので、大事なのは環境の変化にいち早く対応することです。そのためにやるべきことは2つあります。
1.時代に合わせたリスクマネジメント体制の構築
スマートフォンの普及以降、情報の流通スピードは格段に激化しています。PCだけでしか作業不可能だったものがスマートフォンで完結できてしてしまう昨今。それ故に、時代に合わせたリスクマネジメント体制の構築が必須です。
2.スピーディーな意思決定
SNSなどの発達で世界はより密接につながり、日本で起きたリスク事象はあっという間に世界に拡がり、さまざまな影響を及ぼします。1分1秒の対応の違いが企業の活路の明暗を分ける時代になったといえます。
そんな時代のリスク対策は「明日やる」では通用しません。リスクが発生した際、誰が意思決定を下すのかを明確にしてスピーディーに決定できる体制が必要です。
リスクマネジメントの考え方
「リスクマネジメント」は「危機管理」とも言われます。しかし「危機管理」は、英語では「Crisis Management(クライシスマネジメント)」であり、両者は違った概念です。
日本語で「危機管理」という場合は、
・危機が発生する前の活動における「リスクマネジメント」
・危機の発生後に行う「クライシスマネジメント」
の2つのプロセスをあわせた管理の概念として使われるのが一般的です。
リスクアセスメント、リスクヘッジ、クライシスマネジメントとの違い
リスクマネジメントを行うにあたり、知っておくべき用語に「クライシスマネジメント」以外にも「リスクアセスメント」「リスクヘッジ」などが存在します。ここで、それぞれの言葉を簡単に解説します。
1.リスクアセスメント
リスク特定、リスク分析やリスク評価をするプロセスを指します。 リスクアセスメントは、ステークホルダーの知識と見解を活用して、体系的、協力的及び反復的に実施されるプロセスです。
必要に応じた追加調査で補完して、利用できる最も良い情報を使用して実行することが重要です。
2.リスクヘッジ
想定される危険に対して、何かしらの対策や工夫を行うことを指します。リスクという言葉には、危険を示す意味合いの他に、「予測通りに進めない可能性」という意味も含まれます。思いもよらない事態や避け切れない危機的状況について、その影響を最小限に留める対策や削減できるような工夫も「リスクヘッジ」と言えます。
3.クライシスマネジメント
「既存のマニュアルでは対応不可能な重大な事故に備えた対応をする」行動を指します。リスクマネジメントより重大な事柄、例えばテロだったり自然災害など、日常レベルの想定を遙かに上回る事案が発生した際、その影響を避けて、被害を最小限にするために色々な対策を講じる行動を指します。
リスクマネジメントをどのように行うべきか
旧来、リスクへの対応方法には「回避・低減・移転・受容」の4つが挙げられていました。これが前述の「ISO31000:2009」やその更新されたものによって、現在は拡充されています。まずは旧来の4つから解説します。
1.回避:リスクを発生させない
リスクに対して未然に何らかの対策を講じることでリスク発生の確率を低く抑えるのが「回避」策です。
例)
・サーバ―ルーム室には不正侵入不可能なように、二重三重の認証を要する入退室管理の実施
・ノートパソコンの盗難、紛失、情報漏えいなどのリスクに備えて、保存する情報の暗号化を徹底
・従業員に情報セキュリティ教育を行い、セキュリティへの知識を拡充させ、新たな認識を徹底
2.低減:リスクの影響を削減する
リスクの発生時の影響を減らすのが「低減」策です。
例)自動車を運転するケース
・万が一の事故の際に備えて、被害を最小限に抑えるためにも後部座席でもシートベルトの着用をする
・高価で品質の良いチャイルドシートの使用
3.移転:リスクの影響を他に移す
リスク発生時に影響を第三者に移す考えが「移転」策です。ただし、すべてのリスクが移転できるとは限りません。金銭的リスクなどの一部だけが移転できます。
例)
・ウイルス感染や不正侵入の被害への損害賠償の形でリスクを他社などに移転する
・保険で損失を補う
・社内の情報システム運用を他社に委ねる
4.受容:リスクを受け入れる
リスクの発生を容認して、対策を講じないのが「受容」策です。リスクの影響力が乏しいので、特にリスクを削減する策を打たず、許容範囲の中の1つとしてそのままにします。
現状では、そのリスクにおける実施すべきセキュリティ対策が不明な場合や、ヒト、モノ、カネ等のコストに見合うだけのリスクの対応効果が得られないケースなどにも、リスクの容認が起こります。
リスクへの新しい対処方法
新しい国際規格においてはリスクへの対処法が拡充されて、旧来の対応法との対比は下記のようにまとめられます。
旧来のリスク対応と「ISO31000:2009」におけるリスク対応
もっとも注目したいポイントは、リスクは必ずしも削減できるとは限らず、リスクはとるもの、もしくは増加させるものとして認められている点です。また、リスク適正化(削減)の方法が格段に詳細化されています。
リスクマネジメントのプロセス
ビジネス遂行上において起こりえるリスクの内容及び規模は、状況によって色々あります。さらに、リスク内容や企業規模、事業環境によっても、その対応策も多岐にわたります。一つの方法を準備すれば、必ずしもすべてに適応可能とは限りません。それ故にリスクマネジメントにおいては「プロセス」が大切になります。
ここでも「国際規格ISO31000:2009」が標準としてのリスクマネジメントのプロセスを明確にしているので、解説します。
「ISO31000:2009」による具体的なリスクマネジメントプロセス
企業がリスクマネジメントを行うにあたって基本的なプロセスは以下の通りです。
企業がリスクマネジメントを行うための基本的なプロセス
1.ステークホルダーとの協議及びコミュニケーション
2.組織の現状の確定
3.リスクアセスメント(リスクの特定・リスクを評価・リスクの分析)
4.リスク対応
5.モニタリングやレビュー
当然のことですが、組織の活動にはリスクが伴うので、まずリスクの特定及び分析をして、そのリスクは修正が必要か否かの評価によって管理します。
注目したいのはリスクマネジメントプロセスの全段階で、ステークホルダーとのコミュニケーションや協議を行うことを推奨していることです。ステークホルダーとの対話や情報共有なくしては、企業によるリスクマネジメントは不可能だと考えられています。
また、企業行動はすべてのリスクを伴うので、リスクの概念及びリスクマネジメントの考え方、実践のプロセスを経営&管理層が修得することは必須です。リスクは企業目的への不確実性の影響なので、逆転の発想では、目的を明確に定めないと、リスクも定まらないということになります。
考え得るリスクの量が膨れ上がり、対応に至るまで困難になってしまうケースが多々あります。明確な経営目標の策定のもと、確実なリスク評価を行い、優先度合いを正しく算定し、上手くリスク管理を行っていきましょう。
まとめ|リスクマネジメントは正しいプロセスに沿って、それぞれの企業の実態に即して実践していこう
本記事では、一般的とは少し違った「リスク」の捉え方と、リスクマネジメントの捉え方や対処法、プロセスなどを解説しました。
リスクマネジメントを行い、予測可能なビジネスリスクを避け、もしくはその影響を軽減することができます。特にVUCA時代のビジネスにおいては「リスクをとる」という形でリスク対策を行わなければならない場面もあり、旧来からリスク対応の考え方は激変しています。
すべてのプロセスでステークホルダーとの対話や情報共有を綿密に行い、適正にリスクを評価し、プロセスに沿った管理をする自社の現状に適合するリスクマネジメントを心がけましょう。
【今すぐできるチェック】
リスクマネジメントの規定を1年以内に確認したか?
リスク発生時の意思決定権の範囲及び所在を明らかにしているか?
マニュアルではなく、守るべきことの原理原則を把握し、意思決定を行えているか?
===============
HOUSE MEDIAでは、お得な情報を随時配信しています!
お友達登録をして、お得な情報を受け取ってくださいね!
==============
コメント