2021年03月19日
2024年09月10日
社会情勢や環境が大きく変化し、企業内外にさまざまなリスクが顕在化する現在、リスクマネジメントの重要性が高まっています。
本記事では、リスクをマネジメントするとはどういうことか、企業が行うべきプロセスをやさしく解説します。
【無料DL】プロが教えるリスクマネジメント対策を公開中
組織を強化し、企業が持続的な発展を遂げていくために欠かせないのが 「リスクマネジメント」であり、さまざまなペナルティを負った企業の事例がニュースなどで報じられており 、いま一度意識し直したい重要なテーマです 。
そこで本資料では、企業が抱えるリスクの中でも特に重要視すべき「コンプライアンス違反」と「ハラスメント」に焦点を当て、課題点と予防法を分かりやすく解説します。貴社のリスクマネジメントの一助としてご活用いただければ幸いです 。
目次
ビジネスにおける「リスク(risk)」とは、従来はさまざまな定義が混在していましたが、昨今は国際標準化機構(ISO)による国際的なガイドライン「ISO31000:2009, Risk management – Principles and guidelines」で定められた、以下の定義が定着しつつあります。
目的に対する不確実性の影響(Effect of uncertainty on objectives)
つまり、あらゆる組織は目的が達成できるかどうか、いつ達成できるか、という不確実性に直面しています。その不確実性は組織の内部にも外部にも存在します。
そもそもリスクという言葉は「危険」「危機」の意味で用いられることが多いようですが、企業におけるリスクは、「起こる可能性のある事象の分布」といった統計学的な意味合いに近い意味で使われています。
これらのほとんどは事前の調査・分析により影響を予測することができるリスクに分類できます。そして事前に予測することでリスクを回避、低減、ときにはリスクテイクするのが、リスクマネジメントです。
リスクの程度は誰にとっても同様に認識されるかというと、そうではありません。まったく同じ状況に対しても、人それぞれ感じ方や評価も異なるため、リスクの程度に対する評価は絶対的なものでなく、相対的なものであるといえます。
そこで、「発生した場合の影響度×発生する頻度」という考え方でリスクを評価・算定します。そしてその結果によって、リスクに対してどのように対応するかを決定していきます。
リスク評価・算定の例
リスクマネジメントとは、不確実性を管理することです。しかし、不確実だからといって事件や事故が起こるのをただ待つのではなく、必ず起こると仮定し、リスクの顕在化や影響の軽減策を平常時に準備・実行していきます。
VUCA(ブーカ)とは、社会環境が複雑化し、将来予測が困難な時代を意味する言葉です。
VUCAの時代となり、リスクマネジメントの考え方も変化しました。時代の変化を事前に予測できないため、重要なのは環境の変化に素早く対応することです。そのためにすべきことは2つあります。
1.時代に合わせたリスクマネジメント体制の構築
スマートフォンが普及して以来、情報のスピードは格段に変化しています。PCでしか作業できなかったものがスマートフォン1つで完結してしまう現代。だからこそ、時代に応じたリスクマネジメント体制の構築が必要です。
2.スピーディーな意思決定
SNSなどの発達で世界はより緊密につながり、日本で起きたリスク事象は瞬く間に世界に拡散され、さまざまな影響を与えます。1分1秒の対応の差が企業の命運を大きく左右してしまう時代になったといえます。
そんな時代のリスク対策は「明日やる」では通用しません。リスクが発生した際、誰が意思決定を下すのかを明確にしてスピーディーに決定できる体制が必要です。
【関連記事】VUCAとは?意味や時代に合わせた対策・必要な組織作りを解説
【調査レポート】ハラスメント・危機管理対策の取り組み実態
パーソルグループでは経営・人事1,300名を対象に、危機管理対策やハラスメント対策について、企業が抱える課題や具体的な取り組みについて調査しました。自社のハラスメント対策の検討時や他社の情報収集でぜひご活用ください。
「リスクマネジメント」は「危機管理」とも言われることがあります。しかし「危機管理」は、英語では「Crisis Management(クライシスマネジメント)」であり、両者は異なる概念です。
日本語で「危機管理」という時は、
・危機が発生する前の活動である「リスクマネジメント」
・危機が発生した後に行う「クライシスマネジメント」
の2つのプロセスをあわせた管理の概念として一般的に使われます。
リスクマネジメントを行う上で知っておきたい用語に「クライシスマネジメント」以外にも「リスクアセスメント」「リスクヘッジ」などがあります。ここで、それぞれの言葉を簡単に説明しておきましょう。
・リスクアセスメント
リスク特定、リスク分析およびリスク評価をするプロセスを指します。 リスクアセスメントは、ステークホルダーの知識と見解を生かし、体系的、協力的そして反復的に行われるプロセスです。必要に応じて追加調査で補完し、利用可能な最善の情報を使用して実行することが必要です。
・リスクヘッジ
考えられる危険に対して、何らかの対策・工夫を行うことです。リスクという言葉には、危険を表す意味以外に、「予想通りにいかない可能性」という意味もあります。思わぬ事態や避けられない危機的状況に関して、その影響を最小限に抑える対策・軽減させるような工夫も「リスクヘッジ」です。
・クライシスマネジメント
「既存のマニュアルでは対応できない重大事故に備えて対応する」行動のことです。リスクマネジメントより重大な事象、例えばテロや自然災害など、日常レベルの想定を凌駕する事案が発生した場合、その影響を回避し、被害を最小限に抑えるためにさまざまな対策を講じる行動のことです。
リスクマネジメントの目的は、問題発生時の事業存続です。起こり得るリスクやその影響を把握し、対策を講じておくことにより、問題が発生した場合でも問題発生時の損失を極小化できます。
また、近年では「企業の問題が社会にも影響を及ぼす」という考え方が広まっています。特に投資家にとっては、投資先に問題が発生し、事業が機能不全に陥ることは回避したい事態です。
そのため、IRにおいても人的資本情報や財務状況とともに、企業がどのようなリスクマネジメントに取り組んでいるのかが注目されています。
従来、リスクに対応する方法には「回避・低減・移転・受容」の4つがあるとされていました。これが先述した「ISO31000:2009」やその後継によって、現在は拡充されています。ここでは、従来の4手法から見ていきましょう。
リスクに対して前もって何らかの対策を行うことでリスク発生の確率を低くするのが「回避」策です。
・ノートパソコンの紛失、盗難、情報漏えいなどのリスクに備えて、保存する情報を暗号化しておく
・サーバ―ルーム室に不正侵入できないように二重三重の認証を必要とする入退室管理を実施する
・従業員に情報セキュリティ教育を実施して、セキュリティに対する知識を充実させ、認識を新たにさせる
リスクが発生したときの影響を少なくするのが「低減」策です。
・万が一事故が起きたときに備えて、被害を抑えるために後部座席でもシートベルトを締める
・高くて質のいいチャイルドシートを使う
リスクが起きたときに影響を第三者に移そうと考えるのが「移転」策です。ただし、すべてのリスクが移転できるとは限らず、金銭的なリスクなど、一部のみ移転可能です。
・保険で損失を補てんする
・社内の情報システムの運用を他社に委託する
・不正侵入やウイルス感染の被害に対して損害賠償の形でリスクを他社などに移す
リスクの発生を認め、何もしないのが「受容」策です。リスクの影響力が小さいため、特にリスクを低減するための対策を行わず、許容範囲内としてリスクを容認します。
現状そのリスクにおいて実施すべきセキュリティ対策が見当たらない場合や、コスト(ヒト、モノ、カネ等)に見合うリスク対応効果が得られない場合などにも、リスクを容認することがあります。
従来の手法に対して、新しい国際規格ではリスクへの対処法が拡充され、従来の対応法との対比は以下のようにまとめることができます。
従来のリスク対応と「ISO31000:2009」によるリスク対応
もっとも注目すべき点は、リスクは必ずしも低減されるのではなく、リスクはとるもの、または増加させるものとしても認識されていることでしょう。また、リスク適正化(低減)の方法がより詳細になっています。
ビジネスを遂行するうえで発生するリスクの内容や規模は、状況によってさまざまです。そして、リスクの内容や企業の規模、事業環境によって、その対応策もさまざまです。一つの方法を準備しておけばすべてに適応可能というものでは必ずしもありません。それだけにリスクマネジメントでは「プロセス」が重要になってきます。
ここでも「国際規格ISO31000:2009」が標準的なリスクマネジメントのプロセスを明らかにしていますので、見ていきましょう。
「ISO31000:2009」による具体的なリスクマネジメントプロセス
企業がリスクマネジメントを行うための基本的なプロセスは下記の通りです。
1.ステークホルダーとのコミュニケーションおよび協議
2.組織の状況の確定
3.リスクアセスメント(リスク特定・リスク分析・リスク評価)
4.リスク対応
5.モニタリングおよびレビュー
組織の活動には当然リスクが伴うため、まずリスクを特定・分析し、そのリスクは修正されるべきか評価することによって管理していきます。
注目すべきはリスクマネジメントプロセスのすべての段階で、ステークホルダーとのコミュニケーションおよび協議をおこなうべきとしていることでしょう。ステークホルダーとの対話と情報共有なくして、企業によるリスクマネジメントは不可能だと考えているわけです。
また、企業行動はすべてリスクを伴うため、リスクの概念やリスクマネジメントの考え方、実践のプロセスを経営層・管理層がしっかりと身につけることは重要です。リスクは企業目的に対する不確実性の影響であるため、逆にいえば目的をはっきり定めなければリスクも定まらないことになります。
考え得るリスクの一覧が膨大になり、対応に至るまでが大変になってしまう例がよくあります。明確な経営目標の策定、確実なリスク評価をおこなって優先度合いを適切に算定し、上手にリスク管理を行っていきたいものです。
本記事では、一般的な使われ方とは少し異なる「リスク」という考え方と、リスクマネジメントの考え方、対応法、プロセスなどを見てきました。
リスクマネジメントを行うことで、予測できるビジネスリスクを回避、あるいはその影響を削減することが可能となります。特にVUCA時代のビジネスでは「リスクをとる」という形でリスク対策を行う必要もあり、従来からリスク対応の考え方は変化しています。
すべてのプロセスでステークホルダーとの対話と情報共有を欠かさず、適正にリスクを評価し、プロセスに沿って管理する自社の実情に合ったリスクマネジメントを心がけましょう。
【無料DL】プロが教えるリスクマネジメント対策を公開中
組織を強化し、企業が持続的な発展を遂げていくために欠かせないのが 「リスクマネジメント」であり、さまざまなペナルティを負った企業の事例がニュースなどで報じられており 、いま一度意識し直したい重要なテーマです 。
そこで本資料では、企業が抱えるリスクの中でも特に重要視すべき「コンプライアンス違反」と「ハラスメント」に焦点を当て、課題点と予防法を分かりやすく解説します。貴社のリスクマネジメントの一助としてご活用いただければ幸いです 。
A.リスクは必ず起こるものだと仮定し、リスクの顕在化や影響の軽減策を普段から準備・実行することが大切です。定期的にコンプライアンス研修や業務監査などを実施して、リスク軽減に努めましょう。
リスク対策に関する企業の取り組み状況は、ガイドブックでまとめて紹介しています。ガイドブックは、以下リンクよりどなたでも無料でダウンロードいただけます。
>>ハラスメント・危機管理対策編【経営・人事最新調査レポート】
A.リスクマネジメントの目的は、問題発生時の事業存続です。起こり得るリスクやその影響を把握し、対策を講じておくことにより、問題が発生した場合でも問題発生時の損失を極小化できます。
>>リスクマネジメントの目的
A.企業がリスクマネジメントを行うための基本的なプロセスは下記の通りです。
1.ステークホルダーとのコミュニケーションおよび協議
2.組織の状況の確定
3.リスクアセスメント(リスク特定・リスク分析・リスク評価)
4.リスク対応
5.モニタリングおよびレビュー
>>リスクマネジメントのプロセス