リスクマネジメントとは?正しい考え方と基本プロセスを徹底解説

事業継続(BCP) 経営者・役員

社会情勢や環境が大きく変化し、企業内外にさまざまなリスクが顕在化する現在、リスクマネジメントの重要性が高まっています。

本記事では、リスクをマネジメントするとはどういうことか、企業が行うべきプロセスをやさしく解説します。

コロナ以降の人事戦略2021最新動向レポート

【経営・人事 1,300名調査】
経営・人事がいま取り組むべきテーマ最新調査レポート2021
ーハラスメント・危機管理対策編ー

資料ダウンロードはこちら

目次

企業を取り巻くリスクとは

ビジネスにおける「リスク(risk)」とは、従来はさまざまな定義が混在していましたが、昨今は国際標準化機構(ISO)による国際的なガイドライン「ISO31000:2009, Risk management – Principles and guidelines」で定められた、以下の定義が定着しつつあります。

目的に対する不確実性の影響(Effect of uncertainty on objectives)

つまり、あらゆる組織は目的が達成できるかどうか、いつ達成できるか、という不確実性に直面しています。その不確実性は組織の内部にも外部にも存在します。

そもそもリスクという言葉は「危険」「危機」の意味で用いられることが多いようですが、企業におけるリスクは、「起こる可能性のある事象の分布」といった統計学的な意味合いに近い意味で使われています。

企業におけるリスクの例|製造業の場合

  • 原料の市場や製品、サービスを販売する市場の不確実性
  • 売り上げが低下した場合の回復能力
  • 営業力の不確実性
  • 資本調達に関する不確実性
  • コンプライアンス違反 など

これらのほとんどは事前の調査・分析により影響を予測することができるリスクに分類できます。そして事前に予測することでリスクを回避、低減、ときにはリスクテイクするのが、リスクマネジメントです。

リスクの評価・算定方法

リスクの程度は誰にとっても同様に認識されるかというと、そうではありません。まったく同じ状況に対しても、人それぞれ感じ方や評価も異なるため、リスクの程度に対する評価は絶対的なものでなく、相対的なものであるといえます。

そこで、「発生した場合の影響度×発生する頻度」という考え方でリスクを評価・算定します。そしてその結果によって、リスクに対してどのように対応するかを決定していきます。

リスク評価・算定の例

 

リスクマネジメントとは、不確実性を管理することです。しかし、不確実だからといって事件や事故が起こるのをただ待つのではなく、必ず起こると仮定し、リスクの顕在化や影響の軽減策を平常時に準備・実行していきます。

VUCA時代のリスク保有=リスクをとる時代へ

VUCA(ブーカ)とは、社会環境が複雑化し、将来予測が困難な時代を意味する言葉です。

関連記事「VUCA(ブーカ)とは?VUCA時代に求められるスキルと、組織づくりのポイント」を見る

VUCAの時代となり、リスクマネジメントの考え方も変化しました。時代の変化を事前に予測できないため、重要なのは環境の変化に素早く対応することです。そのためにすべきことは2つあります。

1.時代に合わせたリスクマネジメント体制の構築
スマートフォンが普及して以来、情報のスピードは格段に変化しています。PCでしか作業できなかったものがスマートフォン1つで完結してしまう現代。だからこそ、時代に応じたリスクマネジメント体制の構築が必要です。

2.スピーディーな意思決定
SNSなどの発達で世界はより緊密につながり、日本で起きたリスク事象は瞬く間に世界に拡散され、さまざまな影響を与えます。1分1秒の対応の差が企業の命運を大きく左右してしまう時代になったといえます。

そんな時代のリスク対策は「明日やる」では通用しません。リスクが発生した際、誰が意思決定を下すのかを明確にしてスピーディーに決定できる体制が必要です

リスクマネジメントの考え方

「リスクマネジメント」は「危機管理」とも言われることがあります。しかし「危機管理」は、英語では「Crisis Management(クライシスマネジメント)」であり、両者は異なる概念です。

日本語で「危機管理」という時は、

 ・危機が発生する前の活動である「リスクマネジメント」
 ・危機が発生した後に行う「クライシスマネジメント」

の2つのプロセスをあわせた管理の概念として一般的に使われます。

リスクアセスメント、リスクヘッジ、クライシスマネジメントとの違い

リスクマネジメントを行う上で知っておきたい用語に「クライシスマネジメント」以外にも「リスクアセスメント」「リスクヘッジ」などがあります。ここで、それぞれの言葉を簡単に説明しておきましょう。

1.リスクアセスメント
リスク特定、リスク分析およびリスク評価をするプロセスを指します。 リスクアセスメントは、ステークホルダーの知識と見解を生かし、体系的、協力的そして反復的に行われるプロセスです。必要に応じて追加調査で補完し、利用可能な最善の情報を使用して実行することが必要です。

2.リスクヘッジ
考えられる危険に対して、何らかの対策・工夫を行うことです。リスクという言葉には、危険を表す意味以外に、「予想通りにいかない可能性」という意味もあります。思わぬ事態や避けられない危機的状況に関して、その影響を最小限に抑える対策・軽減させるような工夫も「リスクヘッジ」です。

3.クライシスマネジメント
「既存のマニュアルでは対応できない重大事故に備えて対応する」行動のことです。リスクマネジメントより重大な事象、例えばテロや自然災害など、日常レベルの想定を凌駕する事案が発生した場合、その影響を回避し、被害を最小限に抑えるためにさまざまな対策を講じる行動のことです。

リスクマネジメントをどう行うか

従来、リスクに対応する方法には「回避・低減・移転・受容」の4つがあるとされていました。これが先述した「ISO31000:2009」やその後継によって、現在は拡充されています。まず従来の4手法から見ていきましょう。

1.回避:リスクを発生させない
リスクに対して前もって何らかの対策を行うことでリスク発生の確率を低くするのが「回避」策です。

例)

・ノートパソコンの紛失、盗難、情報漏えいなどのリスクに備えて、保存する情報を暗号化しておく
・サーバ―ルーム室に不正侵入できないように二重三重の認証を必要とする入退室管理を実施する
・従業員に情報セキュリティ教育を実施して、セキュリティに対する知識を充実させ、認識を新たにさせる

2.低減:リスクの影響を小さくする
リスクが発生したときの影響を少なくするのが「低減」策です。

例)自動車を運転するケース

・万が一事故が起きたときに備えて、被害を抑えるために後部座席でもシートベルトを締める
・高くて質のいいチャイルドシートを使う

3.移転:リスクの影響を他に移す
リスクが起きたときに影響を第三者に移そうと考えるのが「移転」策です。ただし、すべてのリスクが移転できるとは限らず、金銭的なリスクなど、一部のみ移転可能です。

例)

・保険で損失を補てんする
・社内の情報システムの運用を他社に委託する
・不正侵入やウイルス感染の被害に対して損害賠償の形でリスクを他社などに移す

4.受容:リスクを受け入れる
リスクの発生を認め、何もしないのが「受容」策です。リスクの影響力が小さいため、特にリスクを低減するための対策を行わず、許容範囲内としてリスクを容認します

現状そのリスクにおいて実施すべきセキュリティ対策が見当たらない場合や、コスト(ヒト、モノ、カネ等)に見合うリスク対応効果が得られない場合などにも、リスクを容認することがあります。

リスクへの新しい対処方法

これに対して、新しい国際規格ではリスクへの対処法が拡充され、従来の対応法との対比は以下のようにまとめることができます。

従来のリスク対応と「ISO31000:2009」によるリスク対応

 

もっとも注目すべき点は、リスクは必ずしも低減されるのではなく、リスクはとるもの、または増加させるものとしても認識されていることでしょう。また、リスク適正化(低減)の方法がより詳細になっています。

リスクマネジメントのプロセス

ビジネスを遂行するうえで発生するリスクの内容や規模は、状況によってさまざまです。そして、リスクの内容や企業の規模、事業環境によって、その対応策もさまざまです。一つの方法を準備しておけばすべてに適応可能というものでは必ずしもありません。それだけにリスクマネジメントでは「プロセス」が重要になってきます。

ここでも「国際規格ISO31000:2009」が標準的なリスクマネジメントのプロセスを明らかにしていますので、見ていきましょう。

「ISO31000:2009」による具体的なリスクマネジメントプロセス

 

企業がリスクマネジメントを行うための基本的なプロセスは下記の通りです。

企業がリスクマネジメントを行うための基本的なプロセス

1.ステークホルダーとのコミュニケーションおよび協議
2.組織の状況の確定
3.リスクアセスメント(リスク特定・リスク分析・リスク評価)
4.リスク対応
5.モニタリングおよびレビュー

組織の活動には当然リスクが伴うため、まずリスクを特定・分析し、そのリスクは修正されるべきか評価することによって管理していきます。

注目すべきはリスクマネジメントプロセスのすべての段階で、ステークホルダーとのコミュニケーションおよび協議をおこなうべきとしていることでしょう。ステークホルダーとの対話と情報共有なくして、企業によるリスクマネジメントは不可能だと考えているわけです。

また、企業行動はすべてリスクを伴うため、リスクの概念やリスクマネジメントの考え方、実践のプロセスを経営層・管理層がしっかりと身につけることは重要です。リスクは企業目的に対する不確実性の影響であるため、逆にいえば目的をはっきり定めなければリスクも定まらないことになります。

考え得るリスクの一覧が膨大になり、対応に至るまでが大変になってしまう例がよくあります。明確な経営目標の策定、確実なリスク評価をおこなって優先度合いを適切に算定し、上手にリスク管理を行っていきたいものです。

まとめ|リスクマネジメントは適切なプロセスに沿って、各企業の実態に即して実践しよう

本記事では、一般的な使われ方とは少し異なる「リスク」という考え方と、リスクマネジメントの考え方、対応法、プロセスなどを見てきました。

リスクマネジメントを行うことで、予測できるビジネスリスクを回避、あるいはその影響を削減することが可能となります。特にVUCA時代のビジネスでは「リスクをとる」という形でリスク対策を行う必要もあり、従来からリスク対応の考え方は変化しています。

すべてのプロセスでステークホルダーとの対話と情報共有を欠かさず、適正にリスクを評価し、プロセスに沿って管理する自社の実情に合ったリスクマネジメントを心がけましょう

【今すぐできるチェック】

  • リスクマネジメントの規定を1年以内にチェックしたか?
  • リスク発生時の意思決定権の範囲と所在を明確に定めているか?
  • マニュアルでなく、守るべきことの原理原則を理解し、意思決定できているか?

コロナ以降の人事戦略2021最新動向レポート

【経営・人事 1,300名調査】
経営・人事がいま取り組むべきテーマ最新調査レポート2021
ーハラスメント・危機管理対策編ー

無料ダウンロードはこちら

ご相談・お見積り・資料請求等
お気軽にお問い合わせください

Webでのお問い合わせ

お電話でのお問い合わせ

0120-959-648