リスクマネジメントとは|基本の考え方、プロセスを簡単に解説

社会情勢や環境が大きく変化し、企業内外にさまざまなリスクが顕在化する現在、リスクマネジメントの重要性が高まっています。

本記事では、リスクをマネジメントするとはどういうことか、企業が行うべきプロセスをやさしく解説します。

【調査レポート公開中】リスクマネジメント施策の動向をご覧いただけます

リスクマネジメントは、企業の社会的責任として経営・人事が取り組むべき重要なテーマです。
発生しうるリスクは多岐にわたるため、担当者はあらゆるリスクに対策する必要がありますが、
・リスクの優先度付けが難しい
・他社はどのようなリスク対策を行っているのか知りたい
といった方も多いのではないでしょうか。

そのような方に向けて、経営・人事 1,300名へ調査を行い、リスク対策に関する課題と取り組みをまとめた【ハラスメント・危機管理対策調査レポート】を公開しています。
リスクマネジメント施策の検討にぜひご活用ください。

資料をダウンロードする(無料)

目次

企業を取り巻くリスクとは

ビジネスにおける「リスク(risk)」とは、従来はさまざまな定義が混在していましたが、昨今は国際標準化機構(ISO)による国際的なガイドライン「ISO31000:2009, Risk management – Principles and guidelines」で定められた、以下の定義が定着しつつあります。

目的に対する不確実性の影響(Effect of uncertainty on objectives)

つまり、あらゆる組織は目的が達成できるかどうか、いつ達成できるか、という不確実性に直面しています。その不確実性は組織の内部にも外部にも存在します。

そもそもリスクという言葉は「危険」「危機」の意味で用いられることが多いようですが、企業におけるリスクは、「起こる可能性のある事象の分布」といった統計学的な意味合いに近い意味で使われています。

企業におけるリスクの例

  • 地震や台風、火災などの災害による建物の損傷
  • 事業の中断や、施設の閉鎖に伴う売上減少や経費の支出
  • 経営者や従業員の死亡、後遺障害、障害、疾病によるリソース減少
  • 不注意や過失による法的な賠償責任、株主代表訴訟
  • 景気や為替、金利等の変動
  • 消費者動向変化による売上減少
  • 競合の新商品開発や技術革新、特許による売上減少

これらのほとんどは事前の調査・分析により影響を予測することができるリスクに分類できます。そして事前に予測することでリスクを回避、低減、ときにはリスクテイクするのが、リスクマネジメントです。

リスクの評価・算定方法

リスクの程度は誰にとっても同様に認識されるかというと、そうではありません。まったく同じ状況に対しても、人それぞれ感じ方や評価も異なるため、リスクの程度に対する評価は絶対的なものでなく、相対的なものであるといえます。

そこで、「発生した場合の影響度×発生する頻度」という考え方でリスクを評価・算定します。そしてその結果によって、リスクに対してどのように対応するかを決定していきます。

リスク評価・算定の例

 

リスクマネジメントとは、不確実性を管理することです。しかし、不確実だからといって事件や事故が起こるのをただ待つのではなく、必ず起こると仮定し、リスクの顕在化や影響の軽減策を平常時に準備・実行していきます。

VUCA時代のリスク保有=リスクをとる時代へ

VUCA(ブーカ)とは、社会環境が複雑化し、将来予測が困難な時代を意味する言葉です。

関連記事「VUCAとは?予測困難な時代に求められるスキルと組織づくりのポイント」を見る

VUCAの時代となり、リスクマネジメントの考え方も変化しました。時代の変化を事前に予測できないため、重要なのは環境の変化に素早く対応することです。そのためにすべきことは2つあります。

1.時代に合わせたリスクマネジメント体制の構築
スマートフォンが普及して以来、情報のスピードは格段に変化しています。PCでしか作業できなかったものがスマートフォン1つで完結してしまう現代。だからこそ、時代に応じたリスクマネジメント体制の構築が必要です。

2.スピーディーな意思決定
SNSなどの発達で世界はより緊密につながり、日本で起きたリスク事象は瞬く間に世界に拡散され、さまざまな影響を与えます。1分1秒の対応の差が企業の命運を大きく左右してしまう時代になったといえます。

そんな時代のリスク対策は「明日やる」では通用しません。リスクが発生した際、誰が意思決定を下すのかを明確にしてスピーディーに決定できる体制が必要です

経営・人事が今取り組むべきハラスメント・危機管理対策とは?

・企業としてリスクに備えるための対策をしたい
・リスクの優先順位付けに悩んでいる
・他社で行っている 「ハラスメント対策」「危機管理対策」について知りたい

企業が取り組むべきリスクマネジメント施策の調査レポートを今すぐダウンロード↓
ハラスメント・危機管理対策編【経営・人事最新調査レポート】

リスクマネジメントの考え方

「リスクマネジメント」は「危機管理」とも言われることがあります。しかし「危機管理」は、英語では「Crisis Management(クライシスマネジメント)」であり、両者は異なる概念です。

日本語で「危機管理」という時は、

 ・危機が発生する前の活動である「リスクマネジメント」
 ・危機が発生した後に行う「クライシスマネジメント」

の2つのプロセスをあわせた管理の概念として一般的に使われます。

リスクアセスメント、リスクヘッジ、クライシスマネジメントとの違い

リスクマネジメントを行う上で知っておきたい用語に「クライシスマネジメント」以外にも「リスクアセスメント」「リスクヘッジ」などがあります。ここで、それぞれの言葉を簡単に説明しておきましょう。

1.リスクアセスメント
リスク特定、リスク分析およびリスク評価をするプロセスを指します。 リスクアセスメントは、ステークホルダーの知識と見解を生かし、体系的、協力的そして反復的に行われるプロセスです。必要に応じて追加調査で補完し、利用可能な最善の情報を使用して実行することが必要です。

2.リスクヘッジ
考えられる危険に対して、何らかの対策・工夫を行うことです。リスクという言葉には、危険を表す意味以外に、「予想通りにいかない可能性」という意味もあります。思わぬ事態や避けられない危機的状況に関して、その影響を最小限に抑える対策・軽減させるような工夫も「リスクヘッジ」です。

3.クライシスマネジメント
「既存のマニュアルでは対応できない重大事故に備えて対応する」行動のことです。リスクマネジメントより重大な事象、例えばテロや自然災害など、日常レベルの想定を凌駕する事案が発生した場合、その影響を回避し、被害を最小限に抑えるためにさまざまな対策を講じる行動のことです。

リスクマネジメントの目的

リスクマネジメントの目的は、問題発生時の事業存続です。起こり得るリスクやその影響を把握し、対策を講じておくことにより、問題が発生した場合でも問題発生時の損失を極小化できます。

また、近年では「企業の問題が社会にも影響を及ぼす」という考え方が広まっています。特に投資家にとっては、投資先に問題が発生し、事業が機能不全に陥ることは回避したい事態です。

そのため、IRにおいても人的資本情報や財務状況とともに、企業がどのようなリスクマネジメントに取り組んでいるのかが注目されています。

リスクマネジメントをどう行うか

従来、リスクに対応する方法には「回避・低減・移転・受容」の4つがあるとされていました。これが先述した「ISO31000:2009」やその後継によって、現在は拡充されています。ここでは、従来の4手法から見ていきましょう。

1.回避:リスクを発生させない

リスクに対して前もって何らかの対策を行うことでリスク発生の確率を低くするのが「回避」策です。

例)

・ノートパソコンの紛失、盗難、情報漏えいなどのリスクに備えて、保存する情報を暗号化しておく
・サーバ―ルーム室に不正侵入できないように二重三重の認証を必要とする入退室管理を実施する
・従業員に情報セキュリティ教育を実施して、セキュリティに対する知識を充実させ、認識を新たにさせる

2.低減:リスクの影響を小さくする

リスクが発生したときの影響を少なくするのが「低減」策です。

例)自動車を運転するケース

・万が一事故が起きたときに備えて、被害を抑えるために後部座席でもシートベルトを締める
・高くて質のいいチャイルドシートを使う

3.移転:リスクの影響を他に移す

リスクが起きたときに影響を第三者に移そうと考えるのが「移転」策です。ただし、すべてのリスクが移転できるとは限らず、金銭的なリスクなど、一部のみ移転可能です。

例)

・保険で損失を補てんする
・社内の情報システムの運用を他社に委託する
・不正侵入やウイルス感染の被害に対して損害賠償の形でリスクを他社などに移す

4.受容:リスクを受け入れる

リスクの発生を認め、何もしないのが「受容」策です。リスクの影響力が小さいため、特にリスクを低減するための対策を行わず、許容範囲内としてリスクを容認します

現状そのリスクにおいて実施すべきセキュリティ対策が見当たらない場合や、コスト(ヒト、モノ、カネ等)に見合うリスク対応効果が得られない場合などにも、リスクを容認することがあります。

リスクへの新しい対処方法

従来の手法に対して、新しい国際規格ではリスクへの対処法が拡充され、従来の対応法との対比は以下のようにまとめることができます。

従来のリスク対応と「ISO31000:2009」によるリスク対応

 

もっとも注目すべき点は、リスクは必ずしも低減されるのではなく、リスクはとるもの、または増加させるものとしても認識されていることでしょう。また、リスク適正化(低減)の方法がより詳細になっています。

リスクマネジメントのプロセス

ビジネスを遂行するうえで発生するリスクの内容や規模は、状況によってさまざまです。そして、リスクの内容や企業の規模、事業環境によって、その対応策もさまざまです。一つの方法を準備しておけばすべてに適応可能というものでは必ずしもありません。それだけにリスクマネジメントでは「プロセス」が重要になってきます。

ここでも「国際規格ISO31000:2009」が標準的なリスクマネジメントのプロセスを明らかにしていますので、見ていきましょう。

「ISO31000:2009」による具体的なリスクマネジメントプロセス

 

企業がリスクマネジメントを行うための基本的なプロセスは下記の通りです。

企業がリスクマネジメントを行うための基本的なプロセス

1.ステークホルダーとのコミュニケーションおよび協議
2.組織の状況の確定
3.リスクアセスメント(リスク特定・リスク分析・リスク評価)
4.リスク対応
5.モニタリングおよびレビュー

組織の活動には当然リスクが伴うため、まずリスクを特定・分析し、そのリスクは修正されるべきか評価することによって管理していきます。

注目すべきはリスクマネジメントプロセスのすべての段階で、ステークホルダーとのコミュニケーションおよび協議をおこなうべきとしていることでしょう。ステークホルダーとの対話と情報共有なくして、企業によるリスクマネジメントは不可能だと考えているわけです。

また、企業行動はすべてリスクを伴うため、リスクの概念やリスクマネジメントの考え方、実践のプロセスを経営層・管理層がしっかりと身につけることは重要です。リスクは企業目的に対する不確実性の影響であるため、逆にいえば目的をはっきり定めなければリスクも定まらないことになります。

考え得るリスクの一覧が膨大になり、対応に至るまでが大変になってしまう例がよくあります。明確な経営目標の策定、確実なリスク評価をおこなって優先度合いを適切に算定し、上手にリスク管理を行っていきたいものです。

まとめ|リスクマネジメントは適切なプロセスに沿って、各企業の実態に即して実践しよう

本記事では、一般的な使われ方とは少し異なる「リスク」という考え方と、リスクマネジメントの考え方、対応法、プロセスなどを見てきました。

リスクマネジメントを行うことで、予測できるビジネスリスクを回避、あるいはその影響を削減することが可能となります。特にVUCA時代のビジネスでは「リスクをとる」という形でリスク対策を行う必要もあり、従来からリスク対応の考え方は変化しています。

すべてのプロセスでステークホルダーとの対話と情報共有を欠かさず、適正にリスクを評価し、プロセスに沿って管理する自社の実情に合ったリスクマネジメントを心がけましょう


【調査レポート公開中】リスクマネジメント施策の動向をご覧いただけます

リスクマネジメントは、企業の社会的責任として経営・人事が取り組むべき重要なテーマです。
発生しうるリスクは多岐にわたるため、担当者はあらゆるリスクに対策する必要がありますが、
・リスクの優先度付けが難しい
・他社はどのようなリスク対策を行っているのか知りたい
といった方も多いのではないでしょうか。

そのような方に向けて、経営・人事 1,300名へ調査を行い、リスク対策に関する課題と取り組みをまとめた【ハラスメント・危機管理対策調査レポート】を公開しています。
リスクマネジメント施策の検討にぜひご活用ください。

資料をダウンロードする(無料)

よくあるご質問

Q.リスクマネジメントで重要なことは?

A.リスクは必ず起こるものだと仮定し、リスクの顕在化や影響の軽減策を普段から準備・実行することが大切です。定期的にコンプライアンス研修や業務監査などを実施して、リスク軽減に努めましょう。

リスク対策に関する企業の取り組み状況は、ガイドブックでまとめて紹介しています。ガイドブックは、以下リンクよりどなたでも無料でダウンロードいただけます。
>>ハラスメント・危機管理対策編【経営・人事最新調査レポート】

Q.リスクマネジメントの目的は?

A.リスクマネジメントの目的は、問題発生時の事業存続です。起こり得るリスクやその影響を把握し、対策を講じておくことにより、問題が発生した場合でも問題発生時の損失を極小化できます。

>>リスクマネジメントの目的

Q.企業がリスクマネジメントを行うための基本的なプロセスは?

A.企業がリスクマネジメントを行うための基本的なプロセスは下記の通りです。

1.ステークホルダーとのコミュニケーションおよび協議
2.組織の状況の確定
3.リスクアセスメント(リスク特定・リスク分析・リスク評価)
4.リスク対応
5.モニタリングおよびレビュー

>>リスクマネジメントのプロセス