リスクマネジメントは、企業経営において想定されるリスクを管理し、損失を回避もしくは低減させる取り組みを指します。時代の変化に伴いさまざまなリスクが存在している現代において、事業存続や経営目標の達成のための1つの手法としてリスクマネジメントが重要視されています。
その一方で、
「リスクマネジメントっていまいちよくわからない」
「Pマーク(プライバシーマーク)、ISMS(ISO27001)とは?」
「本格的に取り組みたいが正しく行えるか不安」
「より効果的な手法を知っておきたい」
と考える方もいるのではないでしょうか。
そこで今回はリスクマネジメントの理解を深めるために、リスクマネジメントの概要とPDCAを活用したプロセスについて紹介します。加えてリスクマネジメントを強化する方法についても紹介します。リスクマネジメントの基本的知識を深めたい方から、今まで以上に効果的なリスクマネジメントに取り組みたい方まで幅広く活用できるようまとめました。リスクマネジメントについて興味や疑問点がある方はぜひ参考にしてください。
1. リスクマネジメントを正しく理解できている?
リスクマネジメントを正しく理解するために、以下4つの項目に沿って概要を紹介します。
- 企業にとってのリスクとは?
- リスクマネジメントとはどのような手法?
- 間違えやすいクライシスマネジメントとの違い
- リスクマネジメントとリスクアセスメントの違い
企業にとってのリスクとは?
リスクの直訳は「危険」「危機」ですが、ビジネスシーンで使われるリスクには「潜在的に起こり得る可能性」という意味合いも含まれています。
国際標準化機構(ISO)による国際的なガイドラインによると、リスクとは「目的に対する不確実性の影響(Effect of uncertainty on objectives)」と定義されています。
※出典:「ISO31000:2009, Risk management – Principles and guidelines」
具体例をあげると、企業にとってのリスクとは下記のようなものがあります。
- 売上減少
- 製品不良による事故
- 情報漏えい
- システム障害
- 自然災害
- コンプライアンス違反
- リコール
社会やテクノロジーの発展、人々の価値観の変化などにより企業にとってのリスクも多様化しています。会社を倒産させる原因になりうるリスクも数多くあるため、時代に合わせた適切な予防策・対処策が大切です。
リスクマネジメントとはどのような手法?
リスクマネジメントとは、経営を行う上で不利益になり得るリスクを適切に管理することで損失を回避もしくは最小限に抑える経営管理手法です。企業におけるリスクの具体例としては、食品を扱う企業では異物混入、個人情報を扱う企業では情報漏洩、大企業では粉飾決算のリスクも考えられます。リスクマネジメントを怠ることは企業の社会的信頼を失うこととなり、経営困難に陥ってしまう可能性があります。リスクマネジメントは自社の事業存続や経営目標の達成を叶えるために真摯に取り組む必要があるでしょう。
間違えやすいクライシスマネジメントとの違い
クライシスマネジメントとは、「危機的状況は発生する」という前提の上で検討される、事業存続や企業自体の存亡を揺るがすような危機的状況の対処方法です。リスクマネジメントとクライシスマネジメントの違いは、危機に対する対応の違いにあります。リスクマネジメントは危機を起こさないためにどう予防するかを検討する一方で、クライシスマネジメントは危機が起きた後どう対処するかを検討します。クライシスマネジメントでは、自然災害などの想定外の事象にもあらかじめ対策を講じられるため、幅広い危機的状況から企業を守り抜くことに期待できるでしょう。
リスクマネジメントとリスクアセスメントの違い
リスクマネジメントに似た言葉として「リスクアセスメント」があります。
リスクマネジメント:リスクの特定と分析、評価、対処
リスクアセスメント:リスクの特定と分析、評価
リスクマネジメントは、リスクの特定から分析、評価・対処までを含むリスクに対する全般の対応のことを意味しますが、「リスクアセスメント」は特定から分析・評価までのプロセスを指します。
リスクマネジメントのなかに「リスクアセスメント」があると理解するとよいでしょう。
日本企業が着目する、対処が必要なリスク上位10種類
監査法人トーマツが実施した「企業のリスクマネジメントおよびクライシスマネジメント 実態調査 2021年版」では、上場企業が国内拠点で着目しているリスクをランキング形式で紹介しています。
1位から10位までを表にまとめましたので、リスクを特定する際の参考にしてください。
日本国内における、優先して着手が必要と思われるリスク
第1位(27.3%) | 異常気象(洪水・暴風など)、大規模な自然災害(地震・津波・火山爆発・地磁気嵐) |
第2位(26.5% ) | 人材流失、人材獲得の困難による人材不足 |
第3位(23.1% ) | サイバー攻撃・ウイルス感染等による情報漏えい |
第4位(19.9%) | 疫病の蔓延(パンデミック)等の発生 |
第5位(17.0% ) | 原材料ならびに原油価格の高騰 |
第6位(14.1%) | サイバー攻撃・ウイルス感染等による大規模システムダウン |
第7位(13.3% ) | 市場における価格競争 |
第7位(13.3% ) | グループガバナンスの不全 |
第7位(13.3% ) | 製品/サービスの品質チェック体制の不備 |
第10位(12.5% ) | 長時間労働、過労死、メンタルヘルス、ハラスメント等労務問題の発生 |
2021年の調査結果では、地震や台風などによる被害が相次いだことで「自然災害」が1位に。またコロナ禍の影響はサプライチェーンにも広がっており「原材料ならびに原油価格の高騰」が大きく順位を上げているのが特徴です。
2. PDCAを活用したリスクマネジメントのプロセス
リスクマネジメントの実施において、PDCAサイクルを活用したプロセスを紹介します。
PDCAの項目は以下の通りです。
- Plan:リスクの特定・分析・評価・対策の策定
- Do:対策の実施
- Check:対策のモニタリング
- Action:対策の改善
1つずつ具体的に紹介します。
Plan:リスクの特定・分析・評価・対策の策定
まずはリスクを特定した上で分析と評価に取り組みます。この段階をきちんと踏むことによって効果的な対策の決定に近づきます。1つずつ方法を確認していきましょう。
リスクの特定
リスクの特定とは、企業の事業内容や目的に対してどんなリスクがあるかを明らかにすることです。具体的な方法としては、リスクの管理部門だけでなくさまざまな部署の社員に対して協力を依頼しリスクを列挙していきます。さまざまな社員による幅広い視野での検討によって、抜け漏れなくリスクを列挙することが可能になります。また注意点として、浮かび上がったリスクに対し「きっと起きないだろう」という考えから列挙しない、という事象が起こらないよう気をつけましょう。考えられるリスクはすべて洗い出さなければリスクマネジメントの目的は達成されません。そのためリスクを管理する部門の社員はどんなリスクも汲み取り、取りまとめられるよう心がけましょう。
リスクの分析・評価
リスクの分析とは、列挙したリスクの「影響の大きさ」と「発生確率」を定量的に把握する取り組みです。「影響の大きさ」と「発生確率」の把握によって、列挙された1つ1つのリスクの重大さを可視化できるため、それぞれのリスクを重大さで比較できるようになります。
そして分析が行えた後はリスクの評価を行いましょう。リスクの評価とは、重大さが可視化されたそれぞれのリスクを見比べ、対策を練る作業の優先順位をつける取り組みです。洗い出されたリスクは多種多様で数も多くあるでしょう。そのためすべてを同時に対応するのは非現実的です。優先順位をつけて対応に取り組むことによって、重大さが大きいものへの早期対応が可能になります。さらに経験を積みながら幅広いリスクに対応できる能力も身につきます。
対策の策定
対策の策定は、優先順位が高いと評価されたリスクへの具体的な対策案を検討し決定する取り組みです。リスク対策の策定にはリスクコントロールとリスクファイナンシングという2つの手法があります。それぞれの内容は以下の通りです。
- リスクコントロール:リスクによって損失が起きる頻度と大きさを抑える方法
- リスクファイナンシング:損失を金銭で補充する方法
それぞれの方法はさらに6つの手段に細分化されます。
- リスクコントロール:回避・損失防止・損失削減・分離/分散
- リスクファイナンシング:移転・保有
具体的にリスクコントロールは、リスクを伴う活動そのものを取りやめる「回避」、損失の発生を未然に防げる対策を取る「損失防止」などがあります。またリスクファイナンシングには、保険や契約などを通して第三者から損失を補助してもらう「移転」、損失が発生した際に資金の積み立てなどで自己負担する「保有」があります。リスク対策として適切な手段を選択し、具体的な内容やスケジュールを検討・決定しましょう。
ステークホルダーとのコミュニケーションが重要
外部環境が自社のビジネスに大きく影響する現代では、自社だけでリスクを特定・分析・評価することに限界があります。より精度の高いリスクマネジメントを行うためには、取引先・顧客・生産者などサプライチェーンに関わるステークホルダー(利害関係者)との協働が欠かせません。
日頃からステークホルダーとコミュニケーションを取り、リスクの許容度や関心を分析して、重要なステークホルダーのエンゲージメントを獲得することが大切です。
Do:対策の実施
リスク対策が決定された後はついに実施に取り掛かります。実施する際の注意点としては、実施したこと自体に満足し速やかに次の新しい「Plan」に移らないことです。決定された内容の遂行ももちろん重要ですが、実施した反響や効果の測定こそがリスクマネジメントの目的です。そのため実施後はリスク対策の効果を測定するために、次の「Check」のステップに進みましょう。
Check:対策のモニタリング
このステップでは、リスク対策を実施した結果や改善点を見出すことで対策の評価を行います。実施した対策の効果や改善点を確かめることによって、より質の高い対策を作り上げることにつながります。そのため対策の目的と実際の効果を照らし合わせながら改善点を見出す取り組みは、リスクマネジメントの重要なプロセスの1つです。対策を実施した後には、リスクをどれくらい抑えられたか、運用の際にトラブルはなかったかといった点を確認し、結果や改善点を洗い出しましょう。
Action:対策の改善
最後に、対策のモニタリングを行った際に明らかになった改善点の修正対応を行います。具体的には、運用の状況や、リスクの軽減もしくは予防効果、社員の取り組み方法など、対策を実施した一連の流れにおける改善点を確認し適切な修正を行います。改善点はガイドラインとしてまとめることによって再現性が高くなり、質の高い対策の持続的な実施に期待できるでしょう。
3. BCP対策で強化するリスクマネジメント
リスクマネジメントにはBCP(事業継続計画)対策を加えることでより高い効果が期待できます。BCP(事業継続計画)とは、不測の事態に対する防止や対応にまつわる計画です。不測の事態の具体例としては、自然災害や事故、サイバーテロ、重度感染症の流行などがあります。近年日本のみならず世界中において多発している不測の事態の発生は、企業へのリスクも大きいです。
そのためBCP対策を行うべき理由として以下2つが注目されています。
- 不測の事態でも企業を存続させるため
- 不測の事態が発生する前に企業の方針を決めておくことで事業の早期復旧につながる
予想できないリスクである不測の事態は、予防や対応を計画していない企業にとっては存亡を左右する事態にもなり得ます。何か起きてから対策を立てるのではなく、何が起きても企業を支えるためにあらかじめ計画を立てておくことが重要です。また不測の事態の発生によって、事業が滞ることや停止する状況も考えられるでしょう。そのため、発生した際に優先する事業の選定など企業の方針を決めておくことによってストップしていた事業の早期復旧にもつながります。BCP対策は企業自身だけでなく取引先や地域社会、社員とその家族を守る取り組みにもつながるため、社会で活躍する企業として取り組むべき対策とも言えるでしょう。
4. 「Pマーク」「ISMS」とは
リスクマネジメントをしっかりと対策している企業を示す証として、「Pマーク(プライバシーマーク)」、「ISMS(ISO27001)」が存在します。リスクマネジメントに注力していることを対外的にアピールするために、是非取得しておきたい認証です。
Pマーク(プライバシーマーク)
企業が個人情報を保護する体制を構築し運用できている。という認証。第三者の審査を受け、認証(マーク)がもらえる。個人情報のリスクマネジメントを行い、BtoB、BtoCでの取引や、官公庁入札の必須条件になっていることが多い。
対象事項:個人情報のみ。顧客視点→発注情報全ては管理してもらえない。
グレード:国内規格→国内ならOK、グローバルでは通用しない。
取引要件として:Pマークが取引要件=〇ISO27001認証。ISO27001(ISMS)なら、Pマークを包括できるケースが多い。
ISMS(ISO27001)
企業が情報セキュリティ体制を構築し運用できている。という認証。第三者の審査を受け、認証(マーク)がもらえる。個人情報だけでなく、情報資産全般のリスクマネジメントを行う。BtoBでの取引や、官公庁入札の必須条件になっていることが多い。
対象事項:情報資産全般(その中の1つに個人情報)。顧客視点→発注情報全てを管理してもらえる。
グレード:国際規格→ISO。グローバル視点で評価に値する。
取引要件として:ISO27001が取引要件=×Pマーク。Pマークを持っていても、要件として包括されない。
しかし、どちらも申請に必要な書類の作成や審査が必要です。さらに規格書の読み解きが難しく、苦労しているご担当者さまは多いのが現状です。そんな時は取得支援企業に相談することも一つの手です。
取得支援企業3社
① 帝国データバンク
https://www.tdb-net.co.jp/pmark/
② ISO総研
https://www.isosoken.com/pmark/
③ NTTテクノクロス
https://www.ntt-tx.co.jp/products/pmark/
専門の取得支援企業を活用し、リスクマネジメントを強化していきましょう。
5.リスクを避ける時代から、リスクを取る時代へ
従来のリスクマネジメントでは「いかにリスクを避けるか」が重視されてきましたが、時代の流れとともに「リスクを取る」方向にシフトしてきました。
背景には、現代が不確実性の高いVUCA時代に突入していることがあげられます。
VUCAとは、Volatility(変動性)、Uncertainty(不確実性)、Complexity(複雑性)、Ambiguity(曖昧性)という4つの言葉の頭文字をとった造語で、「未来を予測するのが困難な状態」を意味します。
不確実性が増す現代のビジネス環境では、リスクの予測も困難です。そのため、常にリスクを意識したリスクマネジメントが欠かせません。想定外の事態が発生した場合は、いかにスピーディーに意思決定ができるかが重要になってきます。
これからの時代は、リスクを味方に付けるリスクマネジメント体制の構築が求められるでしょう。
6. リスクマネジメントに役立つツール
ラフールサーベイは、「社員の状況の把握・分析」や「職場/チームの状況に応じた改善策提案」をしてくれる、リスクマネジメントに最適なサーベイツールです。リスクの特定・分析・評価・対策をワンストップでサポートする内容となっており、組織改善を定量的にモニタリングすることが可能です。
また、従来の社内アンケートなどでは見えにくい心の状態などを可視化することで、社員が安心して働ける環境づくりのお手伝いをします。
社員が安心して働ける環境づくりは、企業の成長・拡大のための土台となります。まずは、社員一人一人にとって居心地の良い職場を整え、人材の定着と組織改善に繋げましょう。
ラフールネス指数による可視化
組織と個人の”健康度合い”から算出した独自のラフールネス指数を用いて、これまで数値として表せなかった企業の”健康度合い”を可視化できます。また、他社比較や時系列比較が可能であるため、全体における企業の位置や変化を把握することも可能。独自の指数によって”健康度合い”を見える化することで、効率良く目指すべき姿を捉えることができるでしょう。
直感的に課題がわかる分析結果
分析結果はグラフや数値で確認できます。データは部署や男女別に表示できるため、細分化された項目とのクロス分析も可能。一目でリスクを把握できることから、課題を特定する手間も省けるでしょう。
課題解決の一助となる自動対策リコメンド
分析結果はグラフや数値だけでなく、対策案としてフィードバックコメントが表示されます。良い点や悪い点を抽出した対策コメントは、見えてきた課題を特定する手助けになるでしょう。
154項目の質問項目で多角的に調査
従業員が答える質問項目は全部で154項目。厚生労働省が推奨する57項目に加え、独自に約87項目のアンケートを盛り込んでいます。独自の項目は18万人以上のメンタルヘルスデータをベースに専門家の知見を取り入れているため、多角的な調査結果を生み出します。そのため従来のストレスチェックでは見つけられなかったリスクや課題の抽出に寄与します。
19の質問項目に絞り、組織の状態を定点チェック
スマートフォンで回答ができるアプリ版では、特に状態変容として現れやすい19の質問項目を抽出。質問に対しチャットスタンプ風に回答でき、従業員にとっても使いやすい仕組みです。こちらは月に1回の実施を推奨しており、組織の状態をこまめにチェックできます。
適切な対策案を分析レポート化
調査結果は細かに分析された上で適切な対策案を提示します。今ある課題だけでなく、この先考えられるリスクも可視化できるため、長期的な対策を立てることも可能。課題やリスクの特定から対策案まで一貫してサポートできるため、効率良く課題解決に近づくことができます。
部署/男女/職種/テレワーク別に良い点や課題点を一望化
集められたデータは以下の4つの観点別に分析が可能です。
- 部署
- 男女
- 職種
- テレワーク
対象を絞って分析することで、どこでどんな対策を打つべきか的確に判断できるでしょう。また直感的にわかりやすいデータにより一目で課題を確認でき、手間をかけずに対策を立てられます。
7. まとめ
今回はリスクマネジメントについて以下の内容を紹介しました。
- リスクマネジメントの概要
- PDCAを活用したプロセス
- BCP対策で強化するリスクマネジメント
リスクマネジメントはリスクを起こさせない、もしくは最小化させる取り組みによって企業の未来を支える重要な経営管理手法です。しっかりと効果を発揮するためには、プロセスを踏んだ着実な取り組みが欠かせません。まずは改めて自社におけるリスクを検討しながら、明日から取り組めるプロセスを確認しましょう。