コンプライアンス
リスクマネジメントとは?その必要性と手順
本コラムは、企業の「リスクマネジメント」についてご紹介しています。近年、事業環境の変化により、リスクマネジメントの重要性が高まっています。ただ、具体的にどう対応をすればよいかが分かりづらく、お困りの方も多いと思います。このコラムは、リスクマネジメントとは何かを解説するだけでなく、その具体的な手法についてもご紹介いたします。
1.リスクマネジメント(リスク管理)とは?
「リスクマネジメント(リスク管理)」とは、想定されるリスクを未然に防ぐためのプロセスです。企業の価値を維持し、さらに高めるために、リスクを組織的に管理し、損失を回避又は低減を図ることが必要になります。企業におけるリスクの具体例としては、災害やサイバー攻撃、情報漏洩のリスク、粉飾決算のリスクなど様々あります。このようなリスクを回避、または最小限に抑えることができないと、企業としての社会的信頼を失うことになるため、日頃から十分にリスクマネジメントを意識しておくことが必要です。
また、「リスクマネジメント」に似た言葉で「クライシスマネジメント(危機管理)」があります。「リスクマネジメント」が想定されるリスクを未然に防ぐ予防的な側面があるプロセスであるのに対し、「クライシスマネジメント」は、危機が発生した後の対処法を予め検討しておくプロセスであり、対処的な側面を持ちます。つまり「クライシスマネジメント」は、起こってしまった危機の損失を最小限に抑え、さらにその危機からいち早く抜け出すための対処法のことを言います。
なお、「リスクマネジメント」は、クライシスマネジメントを含む、広義の意味で用いられる場合もあります。
2.リスクマネジメントで管理するリスクの種類
リスクを分類する方法は様々ありますが、一般的には「純粋リスク(マイナスのリスク)」と「投機的リスク(プラスとマイナス両方のリスク)」の2つに分類されます。リスクマネジメントでは両方のリスクを管理することが必要になります。
2-1 純粋リスク
「純粋リスク」とは、企業に損害・損失のみを発生させるリスクを指します。そのため、事態の発生を防止・抑制するという活動がリスクマネジメントのポイントになります。
「純粋リスク」の具体例としては、地震や火災などの災害、テロ、自動車事故、情報漏洩、粉飾決算などがあります。大きく分けて、以下の4つに分けられます。
- ①財産リスク:地震や台風のような自然災害や、盗難や詐欺のような人的災害など
- ②費用・利益リスク:取引先の倒産や施設の閉鎖による収益減少や費用増加など
- ③人的リスク:従業員の病気や事故など
- ④賠償責任リスク:著作権や特許権の侵害、製造物責任など
いずれも具体的な発生の予測は困難ですが、多くは損害保険などの利用で対策が取りやすいものとなっています。概念的にも理解しやすく、以前はリスク対策というと「純粋リスク」のみが対象とされ、損失を回避するためのものと考えられてきました。
2-2 投機的リスク
「投機的リスク」は「ビジネスリスク」とも呼ばれ、損失だけではなく利益を生む可能性も含みます。近年ではこのように、リスクは企業に損害を与える「純粋リスク」のみではなく、利益の源泉でもあり、企業が成長するためにはリスクを取って利益を追求する必要がある、とリスクを積極的に捉えられるようになってきています。
「投機的リスク」の具体例としては、為替や金利の変動や、営業戦略上のリスク(新商品の開発、海外進出)等があります。「投機的リスク」は政治情勢や経済情勢などの環境要因から影響を受けるため、近年のグローバル化などによって企業が直面する「投機的リスク」は増加傾向にあります。
「投機的リスク」は、大きく分けて①経済的情勢変動リスク、②政治的情勢変動リスク、③法的規制変更リスク、④技術的情勢変化リスクの4つに分けることができます。
- ①経済的情勢変動リスク:景気の悪化や、為替や金利の変動など
- ②政治的情勢変動リスク:政策変更、政権交代、消費動向変化など
- ③法的規制変更リスク:法改正、税制改正、規制の緩和・強化など
- ④技術的情勢変化リスク:新技術の開発など
「投機的リスク」は利益を生む可能性と損失を発生させる可能性の両方があり得るため、対策としては、損失を発生させる可能性をいかに小さく抑えるかがポイントとなります。
3.リスクマネジメントの必要性、リスクマネジメントの失敗事例とその損失
近年、業務の複雑化・分業化とこれに伴うアウトソーシング化が進んだ結果、従業員の法令違反により企業の経営をゆるがすような品質問題の発生や、外注先の業務停止が及ぼす自社への連鎖的影響の拡大など、新たなリスクが顕在化しています。さらに、グローバル化や情報化によって事業環境も大きく変化する中、リスクが企業に与える影響は非常に大きくなってきています。そのため、以前よりも積極的にリスクマネジメントを行うことが求められています。
リスクマネジメントが十分でなかったために企業が損失を被った具体的な事例をいくつかご紹介します。
- ①建設業界で起きた建築基準法違反の例です。そもそも設計ミスや建築基準法の改正に対応しておらず、3つの建築基準法違反が発覚しました。2018年12月時点で特別損失は累計で430億円となり、その後も集団訴訟などが続いています。
- ②自動車用安全部品メーカーのエアバック不良の事例です。エアバックが異常破裂することが判明し、大量の日本車がリコールの対象になりました。それにより負債総額は1.7兆円となり、本社と国内連結子会社が民事再生法の適用を受けました。
- ③ある銀行のニューヨーク支店では嘱託行員が10年以上に渡り不正操作を繰り返し、同行に合計11億ドルもの損失をもたらした事例も有名です。
- ④とある食品会社においては、消費期限の改ざんや不適切な原材料表示、さらに不適切な在庫管理により、無期限の営業禁止処分を受けました。
- ⑤大手引越会社においても、組織風土に問題があり、意図的に法人顧客向けの引越料金を過大請求していたことが明らかになり、国土交通省から貨物自動車運送事業法に基づき事業改善命令が出されました。
このように、リスクマネジメントが不十分であったことで企業経営に大きな影響が出ている事例が多くあります。リスクマネジメントが十分でないと、巨大な損失が出るだけでなく、時には事業継続が不可能になることがお分かりいただけるかと思います。
4.「Pマーク」「ISMS」マークとは?
企業が、リスクマネジメントをしっかり対策していることを示す証明として、「Pマーク(プライバシーマーク)」と「ISMS(ISO27001)」があります。自社がリスクマネジメントをしっかり行っていることを対外的にアピールするためには、これらを取得することが大切です。いずれも情報を適切に管理する体制を構築できていることを認証する制度で、第三者による審査に合格することでマークの使用が認められます。
PマークとISMSにはいくつか違いがありますが、大きな違いは保護対象と規格です。
保護対象の違い
Pマークは個人情報に限定しているのに対し、ISMSは個人情報を含む、企業全体の情報資産を保護対象としています。そのため、ISMSの保護対象はPマークより広くなります。また、取得する範囲も異なります。Pマークは会社全体で取得するのに対し、ISMSは、1つの部門のみ、1つの工場のみというように認証範囲を指定して取得することが可能です。
規格の違い
Pマークはあくまで国内規格です。一方、ISMSは「国際標準規格ISO27001」の日本語訳に則っています。そのため、企業が国際的なやりとりをする場合、ISMSを取得するケースが多くあります。
5.リスクマネジメントのプロセス(手法)
5-1 リスクの特定
リスクマネジメントは、まず「リスクの特定」から始まります。「リスクの特定」では、企業の事業内容や目的に対してどのようなリスクあるかを明らかにします。具体的な手法としては、各部門でヒアリングやブレインストーミングを行い、想定されるあらゆるリスクを洗い出します。主観的な判断で些細なリスクだと判断したりすることなく、すべてのリスクを漏れなく拾うことが大切になります。
5-2 リスクの分析
次に、洗い出したリスクに対して「リスクの分析」を行います。
リスクには、数値で表すことができる「定量的リスク」(例:地震発生による建物の損傷リスク)と、数値で表すことが難しい「定性的リスク」(例:コンプライアンスリスク)があります。
「定量的リスク」に関しては、列挙したリスクの重要度を「発生確率」と「リスクが顕在化した場合の影響の大きさ」という二つの軸で定量的に算定します。ここでは、2つの軸でマトリックスを作成し、各リスクをマッピングして可視化する方法が有効です。
また、「定性的リスク」の場合は、客観的な統計などを参考に可能な限り定量化します。あるいは、定量化が難しければ定性評価によりリスクの大きさを相対的に「大」、「中」、「小」に区分する方法も有効になります。
5-3 リスクの評価
次に「リスクの評価」を行います。リスクは数多く存在するため、すべてに対処することは不可能です。そのため、どのリスクから対応するかの優先順位をつけることが大切です。
原則は、「リスクの分析」でマッピングしたマトリックス上で、影響度と発生確率の高いものが優先度の高いリスクと言えますが、社内外の状況や環境に照らし合わせて、冷静に1つ1つのリスクの優先順位を判断するようにしましょう。
また、リスクに対して対応を取った後に、リスクがゼロになるとは限りません。リスクを評価するにあたっては、対応した後にどれだけのリスクが残るか(残存リスク)も考慮しましょう。
5-4 リスクへの対応
リスクの優先度を決めた後は、リスクに対する具体的な対策を検討します。リスク対策は大きく分けて、リスクによる損失の発生頻度と大きさを抑える「リスクコントロール」と、損失を補填するために金銭的な手当てをする「リスクファイナンシング」の2つがあります。
リスクコントロール
- ・回避:リスクを伴う活動そのものを停止する。事業の売却など。
- ・損失防止:損失を未然に防ぐ予防策を講じる。取引先倒産リスク防止のための取引前審査など。
- ・損失削減:事故が発生した際の損失規模を小さく抑える。火災対策として防火扉の設置など。
- ・分離、分散:リスクの源泉が集中するのを防ぐ。地震対策として生産拠点の分散など。
リスクファイナンシング
- ・移転:損失発生時に、保険等により金銭的な損失補填を受ける。
- ・保有:リスクに対しては特に対策を講じず、損失発生時に自社で損失を負担する。
リスク対策として適切な手段を選択し、具体的なスケジュールを検討しましょう。また、リスク対策案決定後は、実施で終わらずに、その効果をしっかりとチェックして対策案を改善していくというPDCAサイクルを回していくことが大切です。
6.組織のトップのリーダーシップと従業員の協力が不可欠
リスクマネジメントを進めていくには、まず組織のトップのリーダーシップが不可欠です。例えば外部認証を取得する場合も、業務負担が増え従業員から反発されることも想定されます。組織のトップは、そのようなときも従業員に働きかけ、リスクマネジメントに関する認識を共有し、従業員の協力を得ながらリスクマネジメントを推進していくことが必要となります。
さらに、リスクマネジメントのためにはそもそもリスクを発生させない組織作りが大切です。従業員が会社を嫌いな場合と、会社を大切に思っている場合では、全社の組織の方がリスクの発生は多くなることは想像しやすいと思います。普段から、そのように社員による統制が効く組織風土の醸成を意識することが大切です。
まとめ
リスクマネジメントは、想定されるリスクを未然に防ぐとともに、リスクが起こった場合の損失を最小限に留めることにより、企業の未来を守るために大変重要なプロセスです。リスクマネジメントの正しい知識を得ていただき、リスクに対して正しいプロセスで対応することで、企業の価値を維持・向上することが可能です。さまざまな手法がありますが、自社の状況と照らし合わせながら、明日より適切なリスクマネジメントを実施していけるようにしましょう。
LEC東京リーガルマインドのeラーニング研修で、組織内のリスク対策を強化しましょう!
LECのeラーニング研修は、企業におけるリスクマネジメントの必要性について、その経緯と背景を含めて学習することで、基本的な知識と心構えを身につけることができます。さらに、既成コンテンツで満たせないご要望には、柔軟かつ迅速にカスタマイズ対応いたします。自社独自の事例外国語への翻訳も可能です。
eラーニング
リスクマネジメントとは?(初級) リスクマネジメントとは?(中級)
講師派遣型・オンライン
こちらもおすすめ
- 事業戦略・組織強化関連研修
-
- eラーニング
- 企業を取り巻くリーガルリスクを学ぶ
- 入門・不当景品類及び不当表示防止法(景品表示法)
- インサイダー取引とは何か
- 情報セキュリティ
- 30分で学ぶコンプライアンス
- わかりやすい個人情報保護法入門
- 営業担当者のための個人情報保護法入門
- 講師派遣型・オンライン
- コンプライアンスリーダー研修
- ビジネス実務法務研修
- 個人情報保護法研修
- CSR(企業の社会的責任)入門研修
- 経営戦略研修
監修者情報
増澤 祐子 ますざわ ゆうこ
| 保有資格等 | 経済産業大臣登録 中小企業診断士、TOEIC925点、中国語(ビジネスレベル)、日商簿記2級 | |
|---|---|---|
| 講師領域 | 経営法務、ビジネスマナー研修、プレゼンテーション研修、レジリエンス研修、ビジネスディベート研修 | |
| プロフィール | 京都大学大学院農学研究科を卒業後、外資系コンサルティングファームに入社し、大手企業に対する業務分析や改善提案など様々なプロジェクトに携わる。その後食品メーカーに転職。コールセンターのスーパーバイザー業務、商品企画、業務効率化を主導し、社長賞を受賞。その後、台湾支店に駐在し、業務全体の管理および現地スタッフのマネジメントを行う。帰国後は、本社経営企画室の課長として、他社の買収統合を含む新規事業の立ち上げを担当。様々な厳しい環境への適応力と、日本国内外でのマネージャー経験を強みとする。 |
