目次
大規模災害の発生や技術革新による社会の変化、環境変動など将来の予測が立てづらい時代となった今、リスクマネジメントは企業における重要な課題のひとつです。
この記事ではリスクマネジメントの目的や重要性など基本的な情報から、実施のプロセスまでわかりやすく解説します。リスクマネジメントを強化するうえで覚えておきたい基本の4原則についても事例をもとに解説しているので、担当者の方はぜひ参考にしてください。
リスクマネジメントとは
リスクマネジメントとは企業活動におけるさまざまなリスクを管理し、被害を最小限に抑える活動・取り組みを指します。
国際的なリスクマネジメント手法のガイドライン「ISO31000」によると、「リスク」という言葉は「目的に対する不確かさの影響(effect of uncertainty on objectives)」と定義されます。企業が事業の継続や目標を達成するには、これらのリスクを管理し、事前に対策を練ることが必要です。
時代や人々の価値観の変化によってリスクは異なるため、企業においては事業に影響を与えるリスクを分析し、対策を考えるリスクマネジメントを体系的に行うことが求められます。
企業におけるリスクの身近な事例
リスクは大きく、純粋リスクと投機的リスクにわけられます。
純粋リスクは損失のみを発生させるリスクです。一方、投機的リスクは損失が出る場合もあれば、リスクを負うことで利益が得られる場合もあります。企業を成長させるには、損失を回避・低減を図るための対応だけでなく、リスクの対価として利益を得る考えも重要なので、投機的リスクの管理も必要です。
| 純粋リスク | 投機的リスク |
|---|---|
|
|
リスクヘッジ・クライシスマネジメントとの違い
リスクマネジメントと混同される用語に、リスクヘッジとクライシスマネジメントがあります。
| 言葉 | 意味 |
|---|---|
| リスクマネジメント | リスクの分析から予防と対応、復旧までのリスク管理全体 |
| リスクヘッジ | リスクの予測と対策にフォーカス |
| クライシスマネジメント | 想定したリスクを超える不測の事態が発生したときに、被害を抑えるための危機管理 |
いずれもリスクマネジメントに含まれるという考え方もありますが、少しずつ意味が違うことを理解しておきましょう。
リスク対応の基本4原則
まずは考えやすい方法として、リスクマネジメントの基本4原則(回避・低減・移転・受容)を理解しましょう。
【リスク対応の基本4原則】
上記の図を参考に、リスクの影響度と発生確率に応じて、回避・低減・移転・受容のいずれかの対策を講じます。発生頻度が高く、企業への影響が大きいリスクほど、起こり得るリスクそのものを除去するといった対応が必要です。
以下、事例とともにまとめましたので、ぜひ参考にしてください。
| リスク移転 | リスク回避 |
|---|---|
| 〈リスクを自社以外に移す〉 例)情報セキュリティを強化するため、自社内のシステムの運用を他社へアウトソーシングする 例)水害に備えて保険に加入する | 〈リスクの根本を取り除く〉 例)新規事業の立ち上げにより生じるリスクが、得られる利益よりも大きいと判断し、新規事業自体をやめる |
| リスク保有 | リスク低減 |
| 〈リスクで生じる損失を受容する〉 例)設備の故障に備えて、修理費用を積み立てておく | 〈リスク発生の可能性を減らす〉 例)自身の発生に備えて、工場や設備に耐震補強を行う 例)緊急時に事業継続できるようBCPを策定する |
ただしリスクの発生頻度や影響度は企業によって異なります。上記はあくまで一例のため、自社の状況を分析し、リスクごとに必要な対策を準備しましょう。
新たなリスク対応の視点
「ISO31000:2009」では、従来の4原則よりリスク対応が拡充されています。新しいリスク対応は7つの項目が設定され、リスクコントロールとリスクファイナンシングの2軸に分けることができます。
| リスクコントロール | リスクを回避する リスクを生じさせる活動を行わない、または継続しないことでリスクを回避する |
|---|---|
| リスクを取る、または増加させる ある機会や利益を追求するために、あえてリスクを取ったり、増加させたりする | |
| リスク源を除去する リスクを生じさせる要因自体を取り除く | |
| 起こりやすさを変える リスクの発生頻度を少なくするために対策する | |
| 結果を変える 自社に影響を与えるリスクにより生じる結果をコントロールする | |
| リスクファイナンシング | リスクを共有する 保険購入や他社との新規契約などによってリスクを分散させる |
| リスクを保有する 発生頻度の低い、また影響の少ないリスクに関してはあえて損失を受容する |
もっとも大きな変化は“リスクを取る、または増加させる”という概念です。これは、新規事業の立ち上げや海外進出など、あえてリスクを取ることで利益を追求する考えで、成功すれば企業の成長が見込めます。
リスクマネジメントの目的と必要性
緊急事態が発生した際に事業を継続させるためには、リスクの発生を防いだり、適切な対策を事前に準備したりするリスク管理が重要です。しかしグローバル化の進展やIT技術の発展など、時代の変化が激しい現代では企業を脅かすリスクがますます複雑化してきています。
これまでも経営判断の際に自然とリスク管理を意識していた企業は多いと思いますが、リスクが多様化している現代においては、より組織的にリスクの管理を行うリスクマネジメントの重要性が増してきています。
また、企業活動においては、株主や顧客、取引先などさまざまなステークホルダーとのかかわりが欠かせません。ステークホルダーから信頼を得て、責任ある経営を持続するためにもリスクマネジメントは重要です。
リスクマネジメントの5つのプロセス・実施手順
リスクマネジメントを実施する際は、リスクを特定・分析し、PDCAサイクルを回しながら、精度を高めていきます。具体的な実施手順は以下のとおりです。
| 1 | コミュニケーションおよび協議 | 社員や取引先、株主など社内外のステークホルダーと意思疎通を図る。 具体的にはリスクマネジメントの必要性を共有し、リスクマネジメントに対しての共通意識をもつこと。 |
| 2 | 適用範囲・状況・基準の決定 | 自社内の状況を整理し、リスクマネジメントを適用する範囲や基準を明確化する。 |
| 3 | リスクアセスメント | 自社を脅かすリスクを特定し、分析・評価を行い、優先順位をつける。 |
| 4 | リスク対応 | 3で分析したリスクに関して、効果的な対策を計画する。 |
| 5 | モニタリングおよびレビュー | リスクマネジメントの内容が適切かを定期的にモニタリングし、必要に応じて改善を行う。 |
上記で重要なのはリスクを分析し、評価するリスクアセスメントです。リスクを評価するには、以下の計算式が参考になります。
リスクの大きさ= 発生したときの影響の大きさ× 発生確率
影響の大きさや発生確率を予測し、前章で解説したリスク対応の基本4原則や、「ISO31000:2009」に記載されているリスク対応に当てはめて、必要な対策を練りましょう。
また、リスクマネジメントを進めるうえでは、ステークホルダーとの連携が非常に重要です。企業に対する社内外のステークホルダーからの評価は、場合によってリスク要因となるため、ステークホルダーの意見も聞きながら、リスクマネジメントに反映することが求められます。
リスクマネジメントに役立つ資格
企業がリスクマネジメントを強化するうえで役立つ2つの資格を紹介します。
| CRISC(Certified in Risk and Information Systems Control) | リスクマネジメントの設計や導入などに携わる専門家を対象とする資格で、運営元は情報システムコントロール協会(ISACA)です。 リスク対応や情報セキュリティなどに関する試験への合格と、実務経験により資格を取得できます。 |
|---|---|
| 公認リスク管理監査人(CRMA) | 内部監査人協会(IIA)が認定する、リスクマネジメントの専門性を証明する国際資格です。 試験への合格に加え、リスクマネジメントおよび内部監査に関する5年間の実務経験が必要になります。 |
上記のような資格を取らずとも、書籍などでリスクマネジメントのスキルが勉強できるため、リスクマネジメントの担当者はまず基本を押さえるところから始めましょう。
リスクマネジメントは組織で取り組んでいくことが重要
変化が激しい現代では、あらゆるリスクを想定し、事前の対策を行うことが企業にも求められます。近年、リスクマネジメントの重要性がさらに増しているため、経営者がリーダーシップをとり、全社的に取り組むことが必要です。
リスクマネジメントを強化するには、情報収集が非常に重要になってきます。インフォコムでは、緊急事態発生時に社内外のあらゆる情報を迅速に収集・共有できる「BCPortal」や、世界中のさまざまな情報をリアルタイムに分析してリスクを可視化する「Spectee」などのサービスを提供しているので、ぜひお問い合わせください。
