リスクマネジメント
リスクマネジメントとは?
「リスクマネジメント」とは、企業がビジネスを進めていく中で、事業承継やセキュリティ、内部統制など、経営に影響を及ぼすさまざまな「リスク」を認識、評価し、計画性を持って対応する取り組みのことをいいます。
1. リスクとは何か?
そもそも、リスクとはどういうことを意味するのでしょうか。リスクの意味をひもとくと、「将来に対する不確かさと、そのことが及ぼす影響のこと」という記述が一般的となっています。ただ日本では、リスクという言葉はマイナスのイメージとして捉えられ、「危険性」という意味に解釈されることが多いようです。
しかし海外では、リスクは必ずしもマイナスのイメージで語られていません。例えば、アメリカの経済学者フランク・ナイトは、「リスクとは、不確定なことについて確率的に計測できるもと」と定義しています。つまり、リスクとは不確定な要素ではあるけれど、事前に測定できるものなのです。事前に測定できる「リスク」と、事前に測定できない「不確実なこと」を明確に分けて対応することが重要です。ところが日本では、この部分が曖昧に扱われているため、リスクをマイナスなもの(事前に測定できない不確実なこと)として、ネガティブに捉える傾向があるのです。
ポイントは、リスクは「事前に測定できる好ましくないこと」を意味するものと捉えた上で、マイナスとなる事態を引き起こさないために、前もってどのような対策を講じていくかという点にあります。そこで、リスクマネジメントの考え方が重要となるのです。
2. リスクマネジメントの定義・求める内容
リスクマネジメントとは、「事前に測定できる好ましくないリスク」を想定し、いかに実効性のある対応をしていくか、そのプロセス全体を指します。近年は経営を取り巻く環境の変化が激しく、リスクとなる要因が多様化かつ複雑化しています。その結果、リスクが想定される特定の部署が単独で対応することが困難になっています。そこで、リスクマネジメントの実効性を高めるため、リスクに対して全社的な視点に立ち、最適な方法で管理を行い、リスクを回避していくこと。また、適切な対応を実践していくことによって企業価値を高めていくリスクマネジメントのあり方が、今まさに求められています。
ビジネス社会では、事業を継続して行うことが企業としての大前提です。事業継続は、企業の社会的責任と言えるでしょう。この大前提を脅かすものが、リスクなのです。実際、企業はかつてないほど多くのリスクに取り囲まれています。製品の事故、顧客からの苦情、偽装問題、情報漏えい、コンプライアンス違反、自然災害など、リスクとなる要因を挙げるときりがありません。また、原材料や石油価格の高騰、環境問題など新たな社会規制、事業のグローバル化やM&Aなど、経営を取り巻く環境は不確実性が非常に高くなっており(※)、企業が直面するリスクは一段と巨大化、かつ多様化しています。
事業内容や従業員規模にかかわらず、リスクマネジメントが後手に回った結果、消滅していった企業は少なくありません。また、リスクマネジメントを怠った経営者が、巨額の賠償を命じられるケースも増えています。経営者の「過去からの業界慣行に従った」「今までと同じ判断を下した」といった言い訳は、もはや通用しません。厳しい判決が下されるのも、経営者には会社法の下、企業が直面するリスクに対する管理や内部統制の構築を行う義務があるからです。当然、これらを怠った場合の代償は大きく、投資家や顧客、取引先、金融機関、地域社会、従業員など、影響が及ぶ範囲は多岐に渡ります。つまり現代社会では、リスクをしっかりと管理できない会社は、生き残ることが難しいと言えます。このように企業におけるリスクマネジメントは、避けることのできない重要な経営課題であることが分かります。
3. リスクマネジメント導入のフレームワーク
では、どのようにリスクマネジメントを進めていけばいいのでしょうか。そのフレームワークと全体像、実施に当たってのポイントを紹介します。
リスクと目標の設定
まず、考えるべきことは、自社が何をリスク(管理する対象)として捉え、どのように管理していくかを決めること。これがリスクマネジメントを実施する時の起点となります。ポイントは、以下の4点です。
・最初に、自社はどのようなリスクを抱えているのか、的確に知る必要があります。自社のリスクを知るにはまず、過去事例を詳しく調べること。さらに、社内アンケートやホットライン(報告制度)、モニタリング、監査などの手法を用いて、リスクを明確化します。
・過去事例などを調べていく際、その目的はあくまで再発防止にあることを忘れてはなりません。関係者には、責任追及ではないことを事前に説明し、協力を得るようにします。
・「企業資産を保全するため」「事業を継続するため」「社会的責任を遵守するため」といったように、何のためにリスクマネジメントを行うのか、自社における目的を明確化します。
・洗い出したリスクに対し、何をどこまで管理するのか、管理する対象を明確にします。ここでは何を基準とし、優先順位を付けていくのかを考える必要があります。例えば、下図に示したような経営や人事管理に対する「影響度」と、発生する「頻度」による二つの評価軸で、管理する対象を分類する「リスクマップ」を作成、ターゲットを絞り込むといったアプローチが考えられます。法改正が頻繁に行われている現在、人事ならではのリスクを意識することが大切です。
・管理する対象がはっきりしたら、目的を達成するためにどうリスクをマネジメントしていけばいいのか、「全社的な視点で一元管理する」「各事業部門が事業計画として連携し管理する」など、管理方法を具体的に定め、明確化します。
| 頻度多 | 頻度少 | |
| 影響大 | 景気変動、市場ニーズの変化 為替・株価変動、税制改革、労働法制改革・変更 労働力人口の減少、少子高齢化 人材流出(離職)、人材獲得(採用)困難 など |
地震・津波、戦争・内乱 火災事故、水災洪水 不良債権、訴訟 リストラ、人員整理 情報漏えい など |
| 影響小 | 人事制度改革、組織改革 労働災害、ハラスメント システム障害・トラブル 業務の非効率化、生産性低下 など |
社内不祥事・不正 盗難事故 人身事故 雇用差別 など |
PDCAサイクルの実施
全体の方向性が定まったら、リスクマネジメントを実践するためのフレームワークを構築します。リスクマネジメントも企業におけるマネジメント活動の一つであることに変わりはありません。他のプロジェクトと同様に、PDCA(Plan-Do-Check-Action)のサイクルに基づいて行うことが、実効性を高めます。以下、PDCAの回し方のポイントを記します。
・最初が、基本方針・計画の策定。経営トップの考え方を従業員に対して明確に伝え、会社の向かうべき方向を周知徹底します。基本方針が明確であることは、社外のステークホルダーに対して大きな意味を持ちます。
・具体的な計画を策定するには、直面する(予想される)さまざまなリスクに対して、どこから対応していくのか優先順位を決め、計画を立てるようにします。
・優先順位を付ける際は、まずリスクを洗い出した上で、それらを一定の基準で評価していきます。優先順位の高いリスクに対して戦略、目標と対策、期限をそれぞれ設けます。
・リスク対策を進めていくには、リスクを細分化し、現場で行動を起こせるアクションプランへとブレークダウンする必要があります。
・実施に当たっては、社内外の専門家を交え、リスクに関連する業務を担当する専門のスタッフや事業部門が主導し、対応することが効果的です。
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・自己評価は遂行する側が行うため、リスク管理に対する当事者意識や責任感を高めることができますが、モニタリングの客観性が阻害される可能性があります。
・リスクマネジメント監査は、第三者が経営者の代わりとなって、リスクマネジメントの仕組み全体を客観的にチェックするものです。自己評価の結果も含め、確認した内容を、経営者に直接報告します。
・経営を取り巻く環境が激しく変化する昨今、リスクマネジメントにおいても見直しは必須です。そこで経営トップはモニタリングの結果を確認し、自社のリスクマネジメントの取り組みが期待通りに実践されているか、レビューを行います。
・さらにタイミングを見計らって、モニタリングで発見された問題点の是正・改善を行います。
リスクへの体制
リスクマネジメントを円滑に進めていくために、全社的な体制を整えていく必要があります。一般的には、経営者をトップに置き、その下にリスクマネジメント担当責任者(CRO:チーフ・リスクマネジメント・オフィサー)、リスクマネジメント委員会、リスク管理部署(リスクマネジャー)などを置く全社的な統括体制と、現場である各部門の管理体制の「2層階層」で対応していくケースが多いようです。
・経営者は、基本方針を決定し、最終責任を負う立場を担います。経営者が果たす役割として大切なのは、自社でリスクマネジメントを遂行する意志を、社内外に強く示すこと。そして、下図のような「リスクマネジメントの実施体制」を構築し、基本方針通りに進められているかどうか、レビューを行うことです。
・CROは、リスクマネジメントに関わる全ての業務を統括する役割を担います。基本計画や実施に関する指示や承認を行うと同時に、経営判断を下すための報告や提案を行います。
・CROを置くことによって、社内のリスクを経営のトップレベルで把握し、全てのリスクに対してトップダウンで関与していくことができます。
・活動が形がい化していないか、実効性が伴っているか、モニタリングを並行して行うことが重要です。モニタリングには、「自己評価」と「リスクマネジメント監査」の2種類があります。
・CROとともに、リスクマネジメント委員会を置くことで、リスクマネジメントに特化した話し合いが頻繁に行われ、スピーディーで的確な意思決定が期待できます。
・委員会を設置することが難しい場合、経営会議の中で別途リスクマネジメントに関する議論を行い、同様の機能を持たせるようにします。
・CRO、リスクマネジメント委員会の下に置かれる、リスク管理のための専門部署です。各部門で実施されているリスク管理の取りまとめを行います。一元管理の実効性を保つためには、専門部署の設置は不可欠と言えます。
・リスクマネジャーを置き、各部門のリスク管理責任者と密に連絡を取っていく中で、情報提供やリスクに対する教育・意識づけなどの働きかけを行います。
・リスク対策の実行主体は現場の各部門です。ただし、リスクの性質に応じて、部門横断的なチームや地域単位、人事、経理、ITなど職能別に、管理単位を考えていく必要があります。
・現場におけるリスク管理の実効性を高めるには、現場リーダーとしてのリスク管理担当者を決めておくと同時に、担当者に対する情報提供が欠かせません。
- 【参考】
- CROについてはこちら
関係者への働きかけ
リスクマネジメントを実施する体制において、その機能を維持し続けるために、以下のような関係者への教育(研修)、情報共有の仕組みや管理規定・マニュアルの整備などを行うことが大切です。
・リスクマネジメントに関わる人材への教育(研修)は不可欠です。特殊性・専門性の高い場合は社外の専門家に依頼しても構いませんが、継続的な教育を行う場合には、社内講師が望ましいと言えます。
・座学によるテキストの解説だけでなく、内容によってはワークショップなどによる体験型の研修も必要です。また、継続的に学ぶためにeラーニングによるメニューを用意するようにします。
・社内におけるリスク管理に関する情報を収集・整理(データベース化)し、共有化していくことによって、見落とされていたリスクの発見や対応策の立案が可能となります。
・情報を管理する際には、「発現したリスク」と、想定される「発現していないリスク」に分け、毎年、更新していく必要があります。
・管理規定・マニュアルは、実施すべき事項や守るべき事項を定めたもの。定められたルールに従った行動を行うことにより、リスクマネジメントに関する業務の標準化が図られます。
・状況によって、具体的に何をどのように行えばいいのかが分かるように、文書だけに限らず、画像や映像による対応(見える化)を行うといいでしょう。
注意点
これまでのリスクマネジメントのあり方を見ると、コンプライアンスは法務部、情報セキュリティ関連は情報システム部が対応するといったように、各部門の業務の責任範囲の下、「部分最適」にリスク対策が行われていました。しかし、部分最適が進むことによって、リスクに対する統括責任者が事業部の責任者なのか、経営トップなのか、それともリスク担当役員なのか、不明確になります。その結果、効果的なリーダーシップが発揮されず、リスク対応が滞ってしまうことがあります。さらに、部門ごとにリスク対策を行った結果、複数の部署で重複した活動や似たような対応をしてしまうこともあります。このように部分最適ではリスクの一元管理が難しくなるので、留意しなくてはなりません。
部分最適に見られる問題点を解決し、リスクマネジメントの実効性を高める観点から、これからのリスクマネジメントは「全体最適」であることが不可欠です。そのためには、全社的な視点に立って全社のリスクを俯瞰(ふかん)し、マネジメントできる統括責任者を決めておく必要があります。その下で、リスクマネジメントが適切に行われなければなりません。全体最適型のリスクマネジメントであれば、各部門がどのようなリスクを抱え、どのような対策を行っているか、一元管理することができます。同じような対策が必要なら、同時に行うなど効率化もできるようになります。
4. リスクマネジメントの事例紹介
ここでは近年、よく見受けられるリスクマネジメントに関する幾つかの事例(パターン)を紹介します。
(1)製品の品質管理体制
食品メーカーなどで見られるケースです。食品を扱うメーカーにとって、品質管理は企業存続の生命線となります。ある事例を元に、具体的にどのようなリスク対応を行っているのか、そのポイントを記します。
・品質管理には、必須となる基本条件となる事項があります。例えば、材料・製品の「先入れ先出し」の実行。その他にも、「工場や倉庫の温度・湿度の適切な管理」「機械設備の清掃管理」などがあります。これらは、間違いなく実行されなくてはならない事項であるため、そのためのチェック機能を万全にしておく必要があります。
・梱包の管理も怠ることはできません。直接製品に触れる梱包材料は、その材質や印刷インキなどに安全上問題がないことを、基準を設けて確認します。また、梱包・容器は、製品として出荷後の物流、保管時の安全確保も考慮した仕様としなければなりません。
・製造年月日、消費期限、賞味期限などを正確に、かつ消費者に分かりやすく印字する必要があります。
(2)情報漏えい対策
近年はIT技術の発展により、情報を簡単かつ大量に集めやすくなりました(※)が、同時に流出事故も起こりやすくなっています。個人情報保護法(※)が施行されたこともあり、企業の個人情報漏えいに対する危機意識は非常に高まっていますが、依然として情報漏えいは後を絶たず、社会問題化しています。最近の傾向を見ると、電子媒体関連では一定のリスク対策が行われているのに対して、紙媒体での漏えいについてはリスク対策が進んでいないことが分かります。ここでは、紙媒体の情報漏えい対策の事例を紹介します。
・紙媒体は、限られた担当者しか持ち出せない状態にする必要があります。セキュリティルームや施錠できるストレージに保管するなどの措置が求められます。
・また「どんな情報」を「どの程度」保管しているのかを、把握しておくことが重要です。個人情報の管理台帳を作成し、定期的に棚卸しを行うといった措置が有効です。
・「そのうち、役に立つかもしれない」と、紙媒体を保管し続けてしまうケースが見受けられます。「廃棄」という行為は、適切に行うことでリスクをゼロにする最良の対策と言えます。
・その際、廃棄する時期や方法を明確にすることが不可欠です。また、廃棄する方法として、シュレッダーを利用する、外部業者を利用するといった方法を、事前に決めておくことが重要です。
・外部委託先からの情報漏えいも、少なくありません。外部に委託する場合は、情報管理の体制として執務室への入退室管理、預けている情報のアクセス制限など、選定基準を明確に定めておく必要があります。また、要求事項に関するチェックリストを用意し、口頭だけではなく、その内容を業務委託契約に盛り込むことが効果的です。
・モニタリングの観点から、外部委託先が要求事項を守っているかどうかを、定期的に確認します。守っていない場合は、契約解除ができる条項を契約書類には入れておくようにします。
(3)グループ・リスクマネジメント対策
日本企業の多くは、企業グループを形成してビジネスを展開しています。そのため、リスクマネジメントにおいても、子会社を含めた企業グループ全体での推進(グループ・リスクマネジメント)を検討することが求められます。しかし現状を見ると、一部の先進的企業を除き、グループ・リスクマネジメントへの取り組みは十分とは言えません。特に、多角化やM&Aを活発に行う企業グループでは、親会社の専門領域以外の事業を行う子会社が存在します。しかし、子会社のリスクをほとんど把握していないケースも見られます。また、海外の子会社に対して、リスク管理の対象から外しているケースもあります。このような企業では、グループ・リスクマネジメントが大きな経営課題となっています。ここでは親会社が、PDCAサイクルのステップの下、グループ・リスクマネジメントを導入した事例を紹介します。
・グループ・リスクマネジメントの導入で不可欠なのが「グループ・リスクマネジメント方針」です。リスクマネジメントの範囲、目的、親会社と子会社の責任と権限といった、基本的な事項を定めます。
・次に、グループ・リスクマネジメントを導入するための計画を作成します。その際、「導入順序」や「導入期限」などを、あらかじめ定めておくことが肝心です。
・導入計画に基づき、実際に子会社に導入します。子会社の従業員に対しては、方針の背景や趣旨を十分に説明した上で、グループ全体で意識の統一を図るようにします。
・グループ・リスクマネジメントを確実に浸透させるためには、モニタリングが不可欠です。各子会社に導入した後、どの程度、従業員の理解が進んでいるのか、実際に機能しているかを確認することを忘れてはなりません。
・モニタリングを行った結果、発見された問題を改善します。その際、発生した問題がその子会社特有のものなのか、他の子会社でも同様に発生するものなのかを、親会社はしっかりと見極める必要があります。
・他の子会社でも発生し得る問題の場合は、問題が顕在化する前にグループ全体で対処しなくてはなりません。場合によっては、グループ・リスクマネジメント方針や導入計画の見直しを行うこともあります。このような形でPDCAサイクルを回しながら、グループ全体としてのリスクマネジメントを図ります。
親会社と子会社の責任と所在が曖昧では、実効性のあるグループ・リスクマネジメントは期待できません。実行主体が親会社なのか子会社なのか、それに伴い不祥事が発生した場合の親会社と子会社の責任はそれぞれどのように問われるのか。また、責任に見合った権限として何を付与するのかなどを、事前に明確にする必要があります。
5. 実効性のあるリスクマネジメントを行うために
実際に事故や事件が起きてしまった場合、その被害・ダメージを最小限にとどめるため、どのように対応すればいいのでしょうか。以下、外してはならない基本的な事項を記します。
・重大な事故や事件が発生した際、現場で情報を吟味(取捨選択)するのではなく、リスクを管理する部門にいち早く連絡を行います。
・取捨選択することによって、必要な情報が見落とされてしまうことが少なくありません。そこで、普段から現場は緊急情報をそのまま管理部門へと伝達するよう、周知徹底しておく必要があります。
・緊急時には、対策本部を設置します。メンバーは経営トップ以下、リスク担当部署、法務、広報、総務・人事、営業、技術などの各責任者で構成。また、コンプライアンスを確保するため、信頼の置ける弁護士が必要です。
・対策本部では、緊急情報を集中管理します。判明した情報は、対策本部にある特定のPCなどに集約します。
・情報の発信も本部に一本化し、社内に対しては個別のメディア対応やSNSへの書き込みを禁止する旨を、従業員に周知徹底します。
・緊急時の広報には、謝罪、原因究明、再発防止を丁寧に伝えていくことが求められます。その際、情報を隠ぺいすることなく、コンプライアンス対応に努めるスタンスが最優先されます。また、プレス発表においては記者が記事にしやすいよう、起承転結・5W1Hを明確にして伝えるようにします。
リスクマネジメント対応において、経営トップの果たす役割は非常に大きいと言えます。経営トップには、リスクを防止する観点から、社内に向けてコンプライアンス(法令遵守)の重要性を、幾度となく発信することが求められます。組織では経営トップの意向を受けて、従業員は行動を起こすからです。特に、リスクマネジメントの場合、事件や事故が起きた時のダメージが非常に大きいため、より経営トップの発言と行動が重要視されます。
しかし、事業規模を問わず、そういったことを行わない経営トップを見かけることがあります。肝心の経営トップのメッセージや行動がなくては、従業員にコンプライアンスを求めても、主体的な行動を促すことはできません。むしろ、現場では負担が大きくなり、モチベーションが下がってしまいます。このような状態では、全社的にリスクマネジメントを進めていくことは難しいでしょう。だからこそ、経営トップは自らのメッセージがリスクを防止するという意識を強く持ち、言葉を発し、行動を示すことが重要なのです。
リスクマネジメントの旗振り役として、人事部に期待される役割は大きくなっています。例えば、リスクが発生する前に、従業員の意識や行動面に何かしらの兆候が認められることがありますが、日頃から従業員の勤務態度や生活習慣などに変化がないかどうか、現場の管理職などの協力を仰いで観察していくことが求められます。さらに、人事部が情報を救い上げる仕組みとして、「社内相談制度」などを設けるのも効果的です。従業員が気軽に相談できるような雰囲気を作っていくことにより、事前のリスクの兆候を把握し、対応することが可能になります。
問題の解決に当たって関係者から事情聴取を行うことがありますが、その際は個人情報やプライバシーに対する配慮が不可欠です。また、事実を客観的に把握するため、書類などの物的資料を重視し、じっくりと話を聴くこと、丁寧に事実確認をすることが人事部には求められます。
今後は、これまで以上にコンプライアンスが重要視されるようになることは間違いありません。その際、リスクマネジメントに求められるのは、賢くリスクテイクを行い、リスクを効果的に管理する組織体制を構築し、運用していくこと。このような観点で「リスクインテリジェンス」に富んだ企業が、これからの時代の生き残りの条件となるでしょう。リスクインテリジェンスにおいてカギを握るのは、「リスクガバナンスの構築」「リスクインフラの管理」「リスクオーナーシップの発揮」といった領域での実効性のある対応です。以下、その際に基軸となる「原則」を記します。
(1)リスクガバナンスの構築
リスクマネジメントを進めていく上で、最も重要な位置付けを占めるのがリスクガバナンス、すなわち経営判断を司る「取締役会の機能強化」です。リスクガバナンスは、取締役会が主導する領域。そこで、取締役会が戦略的な意思決定やリスク管理体制のモニタリングなどを適切に実行するためには、以下の四つの原則が求められます。
- リスクの考え方の共有:企業価値の保護と創造の両面からリスクが理解され、組織全体で共有されている
- フレームワークの共有:・組織全体のリスクマネジメントに対して、共有のフレームワークが活用されている
- 役割・責任・権限の明確化:リスクマネジメントに関する役割、責任、権限が明確に定められている
- ガバナンスに関わる会社機関の的確な監督:取締役会、監査役会などガバナンスに関わる会社機関が、その責任を果たすために組織のリスクマネジメント活動を的確に見通している
(2)リスクインフラの管理
リスクインフラとは、リスクマネジメントが機能するために不可欠な設備・施策・ITシステムを指します。リスクインフラの管理は、経営者が主導する領域と言えます。経営者が効果的なリスク管理プログラムを設計し、適切に実施、維持していくためには、以下の三つの原則が求められます。
- 共通のリスクインフラの利用:各部門がリスクに関する責任を果たすために、共通のリスクインフラが利用されている
- 経営者の責任の明確化:効果的なリスクマネジメントプログラムの設計、導入、維持に関して、経営者が最大の責任を負っている
- 適切な内部監査と監視機能:内部監査など特定の部署が、取締役会と経営者に対してリスクマネジメントプログラムの有効性を監視し、報告を行っている
(3)リスクオーナーシップの発揮
リスクオーナーシップとは、リスク対策の実行主体(当事者)のこと。リスクマネジメントにおいて、リスクが発生しないように策を講じる(発生後の対応を行う)のは各部門に他なりません。このようにリスクオーナーシップは、事業部門やスタッフ部門など各部門が主導する領域なのです。各部門が特定のリスクの認識、評価、監視、報告などを適切に実行するために、以下の二つの原則が求められます。
- 各部門の責任の明確化:各部門は、自部門の業績対して責任を負うとともに、経営者の定めたフレームワークに従って、自部門のリスクマネジメントを遂行する責任を負っている
- コーポレート部門による適切なサポート体制:財務、法務、人事、ITなど特定のコーポレート部門は、全社のリスクマネジメントに広範な責任を持つとともに、他の各部門のリスクマネジメント遂行をサポートする役割を担っている
用語の基本的な意味、具体的な業務に関する解説や事例などが豊富に掲載されています。掲載用語数は1,300以上、毎月新しい用語を掲載。基礎知識の習得に、課題解決のヒントに、すべてのビジネスパーソンをサポートする人事辞典です。
- 参考になった1
- 共感できる0
- 実践したい0
- 考えさせられる0
- 理解しやすい0
- 1
