リスクマネジメントとは、企業全体でリスクを管理し、損失の回避や軽減を図ることです。企業経営においては、思わぬリスクによって損失を受けることがあり、損失が大きすぎると企業の存続自体が危うくなる可能性もあります。
そこで今回は、リスクを未然に防ぐために重要なリスクマネジメントについて、概要や目的、プロセスをわかりやすく解説します。
目次
リスクマネジメントとは
企業がリスクマネジメントを行う目的
リスクの例
リスクマネジメントを企業で運用する際のポイント
・リスクマネジメントの原則
・リスクマネジメントの枠組み
・リスクマネジメントのプロセス
ガイドラインを参考に、適切なリスクマネジメントを
リスクマネジメントとは
リスクマネジメントは、企業全体でリスクを管理し、予想される損失の回避や軽減を図る行動です。
リスクマネジメントを行うには、起こり得るリスクを想定して事前に対策をする必要があります。リスクを避けたり損失を軽くしたりすることは、企業の経営を安定させるうえで重要なため、会社の規模や経営状態を分析し、リスクが及ぼす影響を予測しておくとよいでしょう。
リスクアセスメントとの違い
リスクの管理に関連して、リスクアセスメントという言葉があります。リスクアセスメントは、リスクマネジメントのプロセスの中でもリスクを特定・分析・評価するまでの段階を指す言葉です。
リスクマネジメントは、リスクアセスメントのほか、リスクへの対応措置や効果測定までを含んだリスク管理方法ですが、リスクアセスメントはリスクマネジメントの工程の一つとして行われます。具体的な手順は後述します。
リスクヘッジとの違い
リスクマネジメントがリスクの分析や対策、モニタリング等の管理体制を整備することであるのに対して、リスクヘッジはリスクに備えた施策や方策そのものを指します。
たとえば、情報漏洩のリスクを予想し、ソフトウェアの脆弱性や人的ミスの可能性を挙げて、対策を検討することはリスクマネジメント、その中で実施するシステムのセキュリティ強化やマニュアルの周知徹底等の行動はリスクヘッジと呼ばれます。
クライシスマネジメントとの違い
クライシス(*)マネジメントとは、既存のマニュアルでは対応できない緊急事態に備えることです。テロや自然災害等、リスクマネジメントよりも深刻な事態が起きた際に、被害を最小限に抑えるための様々な取り組みを指します。
このようにリスクマネジメントとクライシスマネジメントでは、対策する問題の規模に違いがあります。
(*)クライシス(Crisis):英語で重大な危機を意味する言葉
危機管理との違い
危機管理とは、起きてしまった問題やトラブルに対し、それ以上事態を悪化させないようにすることです。地震が起きた際、二次災害を避けるために従業員を安全な場所へ移動させたり、SNSへの投稿が炎上した際に謝罪文を出したりすることが危機管理に該当します。
リスクマネジメントが予想されるリスクへの備えであるのに対し、危機管理はすでに起きてしまった事態の悪化を防ぐためのものです。
企業がリスクマネジメントを行う目的
リスクの影響は企業内のみならず社会全体にまで及ぶ、と考える企業が増えたことにより、リスクマネジメントがますます注目を集めています。
これまでは、問題が生じた際に企業経営を維持する目的でリスクマネジメントが行われてきました。しかし近年では、企業組織の中で生じた問題が、社会にも大きな影響を与えるという考え方が浸透し始めています。
企業がリスクマネジメントを実施する主な目的は、問題が起きた際の事業存続と、投資家に向けたアピールのふたつです。
リスクマネジメントを行うと、損失を回避し、もし損失が生じた際にも事業が継続できる体制を構築できます。事業を行ううえで起こり得るリスクや、リスクが及ぼす影響について事前に把握できていれば正しい対策を講じることが可能です。
IRにおいても、財務状況や人的資本情報等と同じように、リスクマネジメントへの取り組みが着目されています。投資家にとっては投資先の企業が機能しなくなることこそ、最も避けたい事態だからです。
リスクの例
企業経営に伴うリスクは、大きく純粋リスクと投機的リスクのふたつに分けられます。ここからは、それぞれのリスクの概要と具体例をご紹介します。
1.純粋リスク
純粋リスクとは、火災などの偶発的な事故や人為的なミスによって起こるリスクです。純粋リスクが生じると、企業はただ損失のみを被るため「マイナスリスク」とも呼ばれています。
純粋リスクはさらに財産リスク、費用・利益リスク、人的リスク、賠償責任リスクに分けられます。それぞれのリスクの例は以下の通りです。
純粋リスクの種類 | 具体例 |
---|---|
財産リスク | 火災等による建物の損傷、機械的または電気的事故による財産の喪失 |
費用・利益リスク | 財産リスクによる事業の中断や、施設の閉鎖に伴う売上減少や経費の支出等 |
人的リスク | 経営者や従業員の死亡、後遺障害、障害、疾病等 |
賠償責任リスク | 不注意や過失による法的な賠償責任、株主代表訴訟等 |
2.投機的リスク
投機的リスクとは、政治や経済状況等の環境変化によって起こるリスクです。投機的リスクが生じると企業は損失を受けることもありますが、利益を得られることもあることから「ビジネスリスク」とも呼ばれています。
投機的リスクはさらに経済的情勢変動リスク、政治的情勢変動リスク、法的規制の変更に関するリスク、技術的情勢変動リスクに分けられます。それぞれのリスクの例は以下の通りです。
投機的リスクの種類 | 具体例 |
---|---|
経済的情勢変動リスク | 景気や為替、金利等の変動、デリバティブや投機損失 |
政治的情勢変動リスク | 政策変更や消費者動向変化、規制の緩和または強化、条例の改正等 |
法的規制の変更に関するリスク | 税制法の改正、法律や条例の改正等 |
技術的情勢変動リスク | 新発明や技術革新、特許 |
リスクマネジメントを企業で運用する際のポイント
リスクマネジメントのガイドラインとして、2009年11月に発行されたJISQ31000が存在します。これは2009年発表の国際規格ISO31000に基づいて作成された国内規格で、組織の規模やレベルにかかわらず、すべての組織体で適用できます。
JISQ31000を構成するのは、「原則」「枠組み」「プロセス」の3要素です。
リスクマネジメントの原則
JISQ31000は、リスクマネジメントを行う際に目指すべき姿として原則を定義しています。この原則はどのような組織においても遵守されるべき基本方針で、リスクマネジメントの効果を十分に発揮するためには、以下に従うことが重要です。
- ・価値を創造して保護する
- ・組織にあるすべてのプロセスにおいて不可欠な部分である
- ・意思決定の一部である
- ・不確かなことに明確に対応する
・体系的かつ組織的で、自宜を得たものである
・最も利用可能な情報を使用している
・組織に合わせて作られている
・人的および文化的要素を考慮している
・透明性がある、かつ包含的である
・動的で繰り返し行われ、変化に対応できる
・組織の継続的改善を促進する
リスクマネジメントの枠組み
リスクマネジメントを実際に企業で運用する際、そのプロセスを適切に設計・改善するための基準となる「枠組み」が存在します。枠組みの詳細は下記のとおりです。
要素 | 概要 |
---|---|
統合 | リスクマネジメントを、組織の意図や組織統治、戦略、リーダーシップおよびコミットメント、目的および営業活動の一部にする。 |
設計 | 組織の現状や関係者を理解し、リスクマネジメントのトップ以下のコミットメントを明示する。また、組織の役割や権限、責任を割り当てて資源を配慮したうえでコミュニケーションと協議の確立を図る。 |
実施 | 時間と資源を含めて適切に計画し、各種決定が組織全体の誰に帰属するのかを明確にする。組織全体の決定権を持つ人は必要に応じてプロセスを変更しながら、リスクマネジメントに関する組織の取り決めおよび確実な実施を図る。 |
評価 | リスクマネジメントの意義や実施計画、指標等からパフォーマンスを定期的に測定し、枠組みが組織の目的達成を支援できているかを明確にする。 |
改善 | 組織を枠組みに適応させて継続できるように改善する。 |
リスクマネジメントのプロセス
リスクマネジメントのプロセスは、先述の枠組みを使って、やるべきことを実務レベルに落とし込んだものです。具体的には、下記5つの工程を踏んで実行します。
それぞれの手順について詳しく解説します。
①コミュニケーションおよび協議
自社が持つリスクの洗い出しや回避方法の検討をするため、協議を行います。特に、リスクマネジメントのトップである責任者へのコミュニケーションは重要です。なぜなら、トップがリスクマネジメントについて把握していないと、取り組みが形だけのものになり、十分に機能しなくなる危険があるからです。
リスクマネジメントの責任者や関係者はもちろん、企業全体にリスクマネジメントについて理解してもらいましょう。
②適用範囲や状況、基準の確定
十分なコミュニケーションと協議を終えたら、リスクマネジメントを適用する範囲と状況、基準を決めます。
同じ企業の中でも、部署ごとに発生するリスクは異なりますが、すべてのリスクに対していくらでも予算や人員を割けるわけではありません。リソースを最適に配分しながらリスクマネジメントを推進するためには、責任者のもと部署ごとにリスクマネジメントをしつつ、各部署の担当者同士で連携することが重要です。
組織におけるリスクマネジメントの適用範囲や状況、基準を定めて、効率的にリスクマネジメントを行えるようにしましょう。
③リスクアセスメント
次に、リスクアセスメントを行います。リスクアセスメントの流れはリスクの特定、分析、評価が基本です。それぞれの手順について詳しく見ていきましょう。
③-1 リスク特定
リスク特定とは、組織にとって不利益なリスクだけでなく、組織に利益をもたらす事象の存在を認識し、書き出すことです。
③-2 リスク分析
リスク分析とは、リスク特定によって認識したリスクを分析することです。分析手法は複数ありますが、基本的にはリスクの起こりやすさや結果、その性質や大きさ、複雑さ、結合性等の観点から判断します。
③-3 リスク評価
リスク評価とは、リスク分析の結果を比較してアクションの必要性を判断したり、対応の優先順位を決めたりすることです。リスク回避の正確性を高めるために、リスク評価は欠かせません。
④リスク対応
リスク対応は、リストアップしたリスクに対し予防策をとって終わりではありません。実施後も定期的に様子を確認し、必要に応じて追加対応を行います。
⑤モニタリングおよびレビュー
リスク対応を実施したら、モニタリングおよびレビューを行います。リスクは頻繁に起こるものから、ほとんど発生しないもの、発生したら大きな損失になるものまで様々です。そのため定期的にモニタリングをして、リスクの再評価と対策の改善を繰り返します。
ガイドラインを参考に、適切なリスクマネジメントを
リスクによって影響は異なりますが、可能な限りリスクを回避し損失を軽減することは、企業の経営を安定させる上で必要不可欠です。
リスクマネジメントのガイドラインを参考に、リスクに対して適切な対応がとれるよう準備しておきましょう。
参考資料
「中小企業白書」2016年版 ”第4章 稼ぐ力を支えるリスクマネジメント”.中小企業庁.
www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_1_1.html