近年ビジネスの場でよく耳にする「リスクマネジメント」とは、どのような意味を持つのでしょうか。企業活動を安全に進め、取引先や顧客、従業員全体の信頼を得るために、企業にとってリスクマネジメントは欠かせないものです。
本記事では、リスクマネジメントの意味や種類、重要とされる背景といった基本的な情報から、リスクマネジメントにおけるリスクや対応のタイプ、具体的な手法やプロセスおよび対策例まで、網羅的に解説します。
そもそもリスクとは
「リスク」という言葉は一般的に使用されるビジネス用語なので、その意味をなんとなく理解している方は多いでしょう。しかしながら、リスクについて具体的に説明できる方は少ないのではないでしょうか。リスクマネジメントを理解するためには、まずリスクとは何かを理解する必要があります。
リスクの定義についてはプロジェクト管理に関するノウハウや手法を体系立てて説明しているガイド「PMBOK(Project Management Body of Knowledge)」を発行している米プロジェクトマネジメント協会の定義を参考にしてみましょう。それによるとリスクとは「少なくともひとつのプロジェクト目標に影響を与える不確実な事象」あるいは「プロジェクトにプラスの影響を与える可能性のある不確実なもの」と定義されています。
つまりリスクとは、プロジェクトや日常的な業務に対して何らかの影響を与える可能性がある、不確実な要素を指します。ただし一般的にリスクマネジメントでは、「マイナスの影響を与える可能性がある不確実な要素」を指す場合がほとんどでしょう。
リスクマネジメントの意味
企業が経営活動を続けていく中では、さまざまな部分にリスクが存在します。これらのリスクにはどのようなものがあるのかあらかじめ想定し、発生を予防するとともに、実際にリスクが起こったときには、損失を回避するか生じる被害や影響を最小限に抑えることが重要です。この考え方や手法のことを「リスクマネジメント」といいます。
リスクマネジメントを軽視すると、何らかの脅威に直面したとき、企業は適切な対処を実施することができません。自社の事業のみならず、取引先や顧客、ひいては社会全体に影響を広めてしまう恐れがあるため、企業は経営管理手法のひとつとしてリスクマネジメントを重視していく必要があります。
[RELATED_POSTS]リスクの種類
リスクを分解する方法はいくつか種類がありますが、一般的に、純粋リスクと投機的リスクの2つに分けられます。
純粋リスク
「純粋リスク」とは、自然災害や事故などの、損失のみを発生させるリスクをいいます。発生の予測は難しいので、損害保険の利用など、損害や損失を抑制する活動がリスクマネジメントとして行われます。
投機的リスク
「投機的リスク」とはビジネスリスクとも呼ばれる、新商品の開発や投資、金利や為替の変動などの、利益と損失どちらも発生し得るリスクをいいます。プラスとマイナス、どちらも起こり得るので、可能な限りマイナスの影響を少なくすることがリスクマネジメントの中心です。
リスクマネジメントが重要となった背景
リスクマネジメントという考え方は、近年ビジネスの場において注目を集めています。リスクマネジメントが重視されるようになった背景には、時代の流れや技術の発展とともに社会のあり方が変化してきたことが挙げられるでしょう。
では、具体的に、リスクマネジメントはどのようなきっかけ・経緯から重視されるに至ったのでしょうか。そこには、昨今、社会全体が抱える課題ともいえる2つのポイントが関係しています。
1つ目は、社会全体の環境がIT化によって変化し、ビジネスの場でも「アウトソーシング化が進んだこと」が挙げられます。自社だけでなく、さまざまな事業者が業務に関わるようになったため、その分情報漏えいなどのリスクは以前よりも高まったといわざるを得ません。アウトソーシング化が活発になったのは、近年のネットワーク技術の発展が影響しています。
2つ目のポイントとして注目しておきたいのは、「企業の不正や不祥事が近年頻発していること」です。食品メーカーが食品偽装を行ったり、従業員が会社の機密情報を不用意にSNSにアップしたりと、さまざまな不正行為・不祥事が取り沙汰されています。不正・不祥事が生じれば企業は大きく信頼を失うことになり、事業縮小や撤退も十分起こり得るでしょう。
これらの理由・背景が影響することで、リスクマネジメントはビジネスの場において重視されるようになりました。
リスクマネジメントに似た言葉との違い
リスクマネジメントに似た言葉として、クライシスマネジメント、リスクアセスメント、リスクヘッジがあります。リスクマネジメントを正しく理解するために、違いを知っておきましょう。
クライシスマネジメントとの違い
「クライシスマネジメント」とは、企業の存続が脅かされる事態が発生したときの対処方法をいいます。リスクマネジメントが発生後の対応策だけでなく、危機を発生させないための予防策を練るのに対し、クライシスマネジメントは、危機的状況の発生を前提として、正常な状態へ回復させる方法の検討を重視する点で異なります。
リスクアセスメントとの違い
「リスクアセスメント」とは、潜在的な危険性を洗い出し、生じる影響の度合いや発生の可能性を考慮してリスクを見積もるものです。その上で、リスクを除去または低減させる方法について優先順位をつけて検討します。リスク発生後の対応策を講じるリスクマネジメントと異なり、リスクアセスメントの中心はリスクの見積もりと発生の防止にあります。
リスクヘッジとの違い
「リスクヘッジ」とは、起こり得るリスクを予測し、回避するための体制を整えることをいいます。リスクを想定し予防策だけでなく発生後の対応を検討するリスクマネジメントとは異なり、リスクヘッジはリスクの回避がメインです。
リスクマネジメントにおける5つのリスク
リスクマネジメントを実施するためには、実際にどのようなリスクがあるのかをあらかじめ認識しておく必要があります。具体的なポイントとして、リスクマネジメントにおける重要な5つのリスクを整理していきましょう。
- コンプライアンス違反
- ネットワークやシステムの障害
- 製品のリコール
- 地震や台風などの自然災害
- 景気や経済による市場の変化
まず、「コンプライアンス違反」とは、法令遵守の観点から見た違反行為にあたります。事業を行う際には、企業は法令や倫理を無視するような事件・事故を起こす可能性があることを自覚する必要があります。例えば、商品の盗作問題は著作権法違反にあたるリスクがあり、食品偽装は食品衛生法に抵触します。
また、多くの企業は事業に必要なものをコンピューターで管理しています。そのため、「ネットワークやシステム障害」のリスクには注意する必要があります。加えて、業務遅延・停止は「地震や台風などの自然災害」が要因となって起こる場合もあるため、自然災害というリスクに対する備えも不可欠です。
メーカーにとっては「製品のリコール問題」も重大なリスクです。製品のプログラムや部品に問題が発生し、リコールによって業績が大幅に悪化したメーカーも少なくありません。
そして、どのような業種・業態の企業にとっても、「景気や経済の影響による市場の変化」は大きなリスクとなります。2020年の新型コロナウイルスの感染拡大によって、国全体で消費が縮小し、影響を受けた企業は数多く存在します。
リスク対応のタイプ
リスクの対応方法には2種類のタイプがあります。リスクコントロールとリスクファイナンシングです。そしてリスクに対応する具体的な方法は、それぞれに2つずつ、合計4つ挙げられます。
リスクコントロール
「リスクコントロール」は、損失の発生防止や最小化を目的として、発生する可能性のあるリスクを把握し低減させることをいいます。具体的な対応方法は、リスク回避とリスク低減の2つです。
回避
「リスク回避」とは、リスクの要因となるものを排除することでリスクの発生を避けることをいいます。リスクの発生頻度が高い場合や、得られるリターンが少ないにもかかわらずリスク発生時に生じるマイナスの影響が大きい場合に、リスク回避は適します。
具体的には、利益は期待できるけれどもそれを上回るリスクが懸念される事業活動を停止させることや、自然災害による深刻な被害が予測される地域にある工場を安全な地域へ移転させることなどです。
低減
「リスク低減」とは、リスクの発生を防止するか、もしくは発生時の影響を最小化するための対策をいいます。起こり得るリスクを検討して、それぞれに対して防止策を実行することや、リスクの源泉を分散させることで、問題発生時にも全てが駄目になるのは防ぐよう備えることなどがリスク低減に含まれます。
具体的には、地震などの自然災害発生時に備えて、オフィスや工場を分散させることや、耐震補強を行い災害に耐えられる体制を整えること、多角化戦略を取り収入源を複数確保することなどが挙げられます。
リスクファイナンシング
「リスクファイナンシング」とはリスク発生時に生じる損失を金銭的に補填するためのマネジメント手法です。リスクを金銭で定量的に評価し、発生時の被害に備えます。具体的な方法は、リスク移転とリスク容認の2つです。
移転
「リスク移転」とは、金銭的な損失の負担を第三者に移転し、分散させることをいいます。リスクの移転には、第三者にリスクを許容してもらうことが必要です。
リスク移転の代表的なものは、損害保険の契約です。定期的に一定の保険料を支払うことで、リスクが発生したときに生じる損害に対して金銭的な補填を得られます。リスク発生の頻度が低く、発生時に生じるマイナスの影響が大きい場合はリスク移転が適しています。
容認
「リスク容認」は、リスク発生時に生じる損失を受け入れ、防止策や低減策を取らないことをいいます。
リスクに対して何らかの対策を取るためにはコストがかかります。企業の経営資源には限りがあるため、すべてのリスクに対しコストをかけて対策を取るのは不可能です。発生する可能性が非常に低いものや、発生時に生じるマイナスの影響がとても小さい場合などに、必要になるコストとのバランスを考慮した上でリスク容認を選択できます。
リスク容認が可能なものと、手厚い対策を取るべき重要なリスクを見極めるためには、リスクを理解し分析および評価する、リスクマネジメントが必要です。
リスクマネジメントの具体的な手法・プロセス
リスクマネジメントの実施には、具体的な手法やプロセスを理解しておく必要があります。順を追って、リスクマネジメントの方法を整理していきましょう。
自社のリスクを理解する
リスクマネジメントは、実際にどのようなリスクが業務の中に潜んでいるのかを洗い出すところから始まります。上述した5つのリスクは重大なリスクとして参考になりますが、具体的なポイントとして、どのようなリスクがあるのかは企業によって異なります。
自社の業務内容に基づき、まずは細かく具体的にリスクを整理していきましょう。このとき、リスクマネジメントの担当者のみがリスクを挙げるのでは、現場ならではの視点を持てない可能性があります。部門ごとに代表者がミーティングに参加し、現場の意見も取り入れながらリスクを見つけていくことが大切です。
特定したリスクの分析を行う
あらゆるリスクのリストアップが終わったら、次に行うのはそれぞれのリスクに関する具体的な分析です。場合によっては、冷静なリスク分析をするのが難しい場合もあるでしょう。そのときは、各担当者を立ち会わせるなど、より多角的な視点で分析を行っていく必要があります。リスクごとの影響や、発生確率の程度などを考えた上で、それぞれの重要度を認識していきます。
リスクそれぞれに重要度の評価をつける
分析が終わったら、リスクそれぞれの重要性が見えてくるはずです。リスクの分析結果を一覧で見える状態にして確かめ、重要度の評価づけを行いましょう。重要度の評価についても、客観的な視点を持つことを忘れず、各担当者の意見を取り入れることが大切です。重要度が高い順に並べ替えたり、グラフに表したりすることで、日常的にどのようなリスクに注意する必要があるのかわかります。
特におすすめなのが、発生頻度と影響度を縦軸・横軸に設定してリスクマップを作成することです。リスクレベルが一目瞭然となり、優先順位をつけやすくなります。影響が大きく発生確率も高いリスクが、重要度が最も高く優先して対策を講じておくべきリスクです。
具体的なリスク対策を立てて実行する
評価づけを行えば、早急に対策を立てる必要があるリスクが明確になります。発生時の影響度や頻度が高いリスクに対しては、コストをかけてリスク回避やリスク移転、リスク低減などの対策をとるべきでしょう。一方、重要性の低いものにはリスク容認をするといった対応が可能です。
リスクを整理した上で、一つひとつに合った具体的な対策・ルールを策定し、実行していくことが大切です。
残留リスクを評価する
対策を打つ前のリスクを「固有リスク」と呼ぶのに対し、対策を取ったあとにもまだ残っているリスクを「残留リスク」といいます。残留リスクが自社の容認できるレベルまで抑制されるのであれば、対策は目的を果たしていると考えられます。また、「固有リスク」と「残留リスク」の差を、必要であれば数値化するなどして費用対効果を考慮することもできます。
このように、残留リスクを評価することでリスク対策による効果が可視化され、取るべき対策のレベルを的確に判断できるようになります。
修正・改善を続ける
残留リスクの大幅な抑制が期待される対策が失敗した場合、リスクマネジメントに与えるマイナスの影響は甚大です。問題を迅速に発見し対応できるよう、効果の期待値が高い対策を重点的にモニタリングすることで、効果的かつ効率的にリスクマネジメントを行えます。
それぞれのリスク対応策について、モニタリングにより判明した効果や運用状況を評価します。望ましい結果が出ていないものは、新たな対策の検討が必要です。新たな対策案に関する残留リスクを評価し、かかるコストを考慮して必要なものを実施します。その結果をさらにモニタリングし対策の検討を行うというように、PDCAサイクルを回し続けることが、リスクマネジメントのプロセスです。
企業が着手すべきリスクマネジメント
監査やコンサルティングを行っているデロイトトーマツグループが公表している「企業のリスクマネジメントおよびクライシスマネジメント実態調査 2021年版」では、上場企業が優先して着手すべきと判断しているリスクの種類がランキング形式で挙げられています。
日本国内・海外拠点それぞれについて1位から10位まで順に紹介します。
【日本国内】
1位:異常気象(洪水・暴風など)、大規模な自然災害(地震・津波・火山爆発・地磁気嵐)
2位:人材流失、人材獲得の困難による人材不足
3位:サイバー攻撃・ウイルス感染等による情報漏えい
4位:疫病の蔓延(パンデミック)等の発生
5位:原材料ならびに原油価格の高騰
6位:サイバー攻撃・ウイルス感染等による大規模システムダウン
7位:市場における価格競争
7位:グループガバナンスの不全
7位:製品/サービスの品質チェック体制の不備
10位:長時間労働、過労死、メンタルヘルス、ハラスメント等労務問題の発生
【海外拠点】
1位:疫病の蔓延(パンデミック)等の発生
2位:グループガバナンスの不全
3位:サイバー攻撃・ウイルス感染等による情報漏えい
4位:中国・ロシアにおけるテロ、政治情勢
5位:人材流失、人材獲得の困難による人材不足
5位:サプライチェーン寸断
7位:異常気象(洪水・暴風など)、大規模な自然災害(地震・津波・火山爆発・地磁気嵐)
8位:原材料ならびに原油価格の高騰
9位:製品/サービスの品質チェック体制の不備
10位:米中貿易摩擦の激化
引用元:企業のリスクマネジメントおよびクライシスマネジメント 実態調査 2021年版
日本では2021年に地震・風水害・火山噴火・豪雪などの自然災害が相次いだことから、異常気象や自然災害へのリスクに注目する企業が多く、1位となりました。
海外拠点に関しては、新型コロナウイルスがパンデミックリスクへの関心を集めるとともに、人材流失・原材料ならびに原油価格の高騰・サプライチェーンの寸断といったリスクにも影響を与えています。加えて、国家間の競争激化による経済安全保障リスクの高まりなど、激しく変化する事業環境の中でリスクを把握して柔軟に対応していくことが重要です。
具体的なリスクマネジメントの対策例
リスクマネジメントの具体的な対策例としては、第三者からの証明であるISMSおよびPマークの取得や、企業の存亡を左右するリスクへの対応計画であるBCPの策定が挙げられます。
ISMS・Pマークの取得
リスクマネジメント対策を行っている企業であることを証明するものに、ISMSとPマークがあります。「ISMS」は情報セキュリティマネジメントシステムを意味し、「Pマーク」はプライバシーマークと読みます。
対象となる情報や認証範囲などの違いはありますが、ISMSもPマークも第三者による審査を経て、情報の管理体制について適切であると認証を受ける制度です。ISMSやPマークの取得は、セキュリティ体制が整備されていることの証明になるので、取引先や顧客の信頼獲得につながります。
ISMSが情報セキュリティの要素として挙げているのが、機密性・完全性・可用性の3点です。「機密性」は許可のない者が情報資産にアクセスできない状態を指し、「完全性」は情報資産が削除や改ざんをされず正確で完全な状態にあることを意味します。機密性と完全性は、第三者からの不正アクセスや改ざんを防ぐセキュリティ要素ですが、過度に強化してしまうと情報の利用に支障が生じます。許可された人がスムーズに情報へアクセスできることを示す「可用性」を、バランスよく取り入れることが重要です。
ISMSを構築および運用する際に遵守すべきルールとして定められた規格が「ISO/IEC 27001」と「JIS Q 27001」です。JIS Q 27001は日本産業標準調査会により日本産業規格(JIS)として制定された国内規格ですが、国際規格との整合性が厳密に保たれており、国際規格である「ISO/IEC 27001」と内容に大きな違いはありません。
国際規格があるISMSと異なり、Pマークは国内規格です。JIS Q 15001個人情報保護マネジメントシステムの要求事項に準拠した指針に基づいて、個人情報を適切に保護する体制を整備していると認められた企業に付与されます。
Pマークの適用範囲は企業全体のみですが、ISMSは任意に設定できるので、法人単位だけでなく事業所単位や部署単位での認証もできます。Pマークの保護対象は個人情報に限定されますが、ISMSは個人情報に限らず、企業全体もしくは一部の組織が所有する情報資産全般が保護対象です。
BCP対策
「BCP」は事業継続計画を意味するBusiness Continuity Planの頭文字をとった言葉です。自然災害や製品、セキュリティなどに関連する事故、不祥事や風評被害といった、企業の存続を脅かすような災害・事故・事件は、いつ発生するか分かりません。このようなリスクに対して、損害を最小限に抑え事業の継続や早期復旧を可能とするために、平常時に行っておくべき活動や、リスクが発生してしまった緊急時に取るべき対応を定めた計画をBCPといいます。
BCP対策を取らずに緊急事態に直面すると、適切な対応を取れず甚大なダメージを被る恐れがあります。いつ起きるか分からない重大なリスクに対し、普段から準備しておくことが重要です。BCPを策定・運用している企業は、緊急時にも被害を最小限とし事業を復旧させられます。そのため、取引先や顧客から高い評価を得やすく、企業価値が高まります。
緊急時は経営資源が限られるため、業務に優先順位をつけて対応することが重要です。それぞれの業務について影響度や重要性を判断するには、「ビジネスインパクト分析(BIA)」が役立ちます。BIAとは、緊急時の被害リスクを評価できる分析手法です。
「BIA」は、リスクの洗い出し、優先業務の明確化、要する経営資源の洗い出しという手順で行います。リスクを洗い出し業務に優先順位をつけるためには、評価軸と時間軸の2つを考慮して分析を行うことが重要です。
「評価軸」は、3つの視点から業務の価値を評価して優先順位をつけます。その視点とは、取引先・消費者・従業員といったステークホルダーに与える影響、資金繰りや法的問題などの法人としての企業自体が受ける影響、企業のブランド価値や社会的立場に与える影響の3つです。
最大許容停止時間と目標復旧時間の2つからなる「時間軸」は、ビジネスインパクト分析をBCP策定に役立てる上で重要な要素です。
「最大許容停止時間」を設定することで、緊急事態に優先して復旧させるべき事業と、その事業に影響を受けるステークホルダーが明らかになります。
「目標復旧時間」は、復旧が遅れた場合に発生する損害や顧客離れなどの、ステークホルダーに与える影響を考慮して設定することが求められます。
BIAを行い最大許容停止時間と目標復旧時間を明確にすることで、より現実に即した正確なBCPを策定できるようになります。
[SMART_CONTENT]
まとめ
リスクマネジメントとは、自社のリスクを洗い出した上で、それぞれについて分析と評価をし、必要な対策を実施することで、損失の回避や低減を図る管理手法のことです。社会のIT化によりビジネスのアウトソーシング化が進んだことや、企業の不正や不祥事が頻発していることなどを背景に、近年重要性が高まっています。
リスクマネジメントを行う際は、リスクマップを作成するなどして、発生頻度と影響度の高いものから優先的に対策を講じます。対策実行後も存在する残留リスクを評価し、費用対効果も考慮することも必要です。
ISMS・Pマークの取得やBCPの策定といったリスクマネジメント対策を取っている企業は、取引先や顧客に好印象を与えます。企業を維持し価値を向上させることに役立つリスクマネジメントを適切に実施していきましょう。
