働き方
リスクマネジメントとは?リスクの種類や正しいプロセスを紹介
情報漏えい、不正アクセス、データの改ざん、ハラスメント、あるいは地震や火災、水害など、企業にとって脅威となるリスクにはさまざまなものがあります。リスクマネジメントの重要性は年々高まり、2020年3月にはホワイト企業の認定審査においても説明内容に追加されました。本記事では、リスクマネジメントの概要や代表的なリスクの種類、正しいリスクマネジメントのプロセス(方法)を解説します。
目次
リスクマネジメントとは
リスクマネジメントとは、企業経営におけるリスクを網羅的に把握し、損失の回避または低減を図るための管理手法です。リスクが及ぼす影響を事前に回避し、その損失を極小化するプロセスを指します。
リスクマネジメントの目的
リスクマネジメントの目的は、企業に脅威を与えるリスクを組織的に管理し、その影響を事前に回避、または事後に最小化することです。近年は社会環境の急激な変化によって、業務のアウトソーシング化やDX化など、企業経営の手法にも変化が求められています。これらは業務の効率化や生産性の向上を図る上で重要な施策ですが、それによって新たなリスクも発生しています。
アウトソーシング先の従業員の違法行為によって自社の経営を揺るがすような事態に陥ったり、DX化の影響でシステム障害が起こり、社会問題に発展したりするような事例も少なくありません。リスク管理の重要性は、年々増加しています。さまざまな外的要因が自社に影響を及ぼす可能性が高まっているため、積極的なリスクマネジメントが不可欠となっています。
クライシスマネジメントとの違い
リスクマネジメントと類似した管理手法に、クライシスマネジメントがあります。リスクマネジメントはリスクを事前に想定し回避・軽減を図る対策であるのに対して、クライシスマネジメントは危機が生じることを前提として初期対応や二次被害を防ぐための対策を指します。
わかりやすく言うと、リスクマネジメントとは事前対策、クライシスマネジメントとは事後対策ということになるでしょう。ただし、日本におけるリスクマネジメントは、事前対策・事後対策の両方の意味が含まれており、クライシスマネジメントはリスクマネジメントの一部であると考えられています。
リスクの種類
企業に脅威を与えるリスクにはさまざまな種類がありますが、大別すると「純粋リスク」と「投機的リスク」の2つに分類されます。純粋リスクと投機的リスクには、大きな違いがあります。
| リスクの種類 | 意味 | 具体例 |
純粋リスク |
損失のみを発生させるリスク |
・地震 ・火災 ・水害 ・交通事故 ・テロ |
投機的リスク |
損失だけでなく、利益を生む可能性のあるリスク |
・為替変動 ・金利変動 ・新商品の開発 ・事業の多角化 |
純粋リスクとは、自然災害や事故、事件といった損失のみを発生させるリスクです。一方、投機的リスクは、ビジネスリスクとも呼ばれ、損失だけでなく、利益を生む可能性のあるリスクを指します。
地震や火災などの純粋リスクは、損失の発生を予測するのは困難ですが、損害保険などを利用することで事前対策ができます。そのため、これまでは純粋リスクのみがリスクマネジメントの対象として考えられてきました。
しかし、為替や金利の変動、新商品の開発、事業の多角化といった投機的リスクは、損失(リスク)だけでなく、利益(リターン)も発生させる場合もあります。
近年は投機的リスクも含め、「リスクとは利益の源泉であり、リスクを取って利益を追求しないと企業は成長できない」と積極的に捉えられるようになってきています。
リスクマネジメントのプロセス
リスクマネジメントは、次の4つのステップで進めていきます。
①想定されるリスクの特定
まずはどのようなリスクが起こり得るのか、想定されるリスクを特定します。リスクとは、企業活動のあらゆる場面から発生します。次のような事例が、代表的なリスクです。
| リスクの分類 | 事例 |
| 自然災害・事故等のリスク | 地震、津波、台風、豪雨、噴火、豪雪、火災、水害、交通事故 |
社会・経済等のリスク |
情報漏えい、データの改ざん、システム障害、損害賠償請求、為替・金利・株式・商品価格等の変動、資金繰りの悪化、業務停止 |
経営・労務等のリスク |
ハラスメント、36協定違反、過重労働、退職後のトラブル、不正、横領、窃盗、取引先の倒産、顧客対応・クレーム、訴訟 |
リスクの特定は、過去の事件や他社の事例なども参考にして、あり得ないようなリスクや、できれば考えたくないリスクも含めて、想定されるすべてのリスクを網羅することが重要です。
管理部門や担当者だけでなく、あらゆる部門に呼びかけ、現場のスタッフからも幅広くヒアリングをおこないます。アンケートやブレーンストーミング、チェックリストの作成などの方法で、できるだけ多くの声を集め、すべの業務フローから起こり得る、あらゆるリスクをリストアップしましょう。
②リスクが与える影響の分析
次にリスクが与える影響を分析します。特定されたリスクは、どの程度の損失になるのか。どのような頻度で起こり得るのか。それぞれのリスクの影響度と発生頻度を可視化します。
過去の事例や他社の事件・事故ども参考にして、リスクが与える影響を数値化しましょう。被害総額や人数、対応にかかったコストなど、可能な限り定量化します。
数値化できない場合は、リスクの影響度を重大さのレベルで分類する、発生頻度をいくつかの段階に分けるなどの方法で定性化し、優先順位をつけることが大切です。
例:リスクの影響度
| レベル | 影響度 |
| 5 | 致命的 |
| 4 | 重大 |
| 3 | 中程度 |
| 2 | 軽微 |
| 1 | ほぼない |
例:リスクの発生頻度
| レベル | 発生頻度 |
| 5 | 頻発する |
| 4 | しばしば発生する |
| 3 | 時々発生する |
| 2 | 起こりそうにない |
| 1 | まず起こり得ない |
③リスクの評価
リスクの影響度と発生頻度に優先順位をつけたら、リスクマトリックス、あるいはリスクマップと呼ばれる図表にまとめます。縦軸にリスクの発生率、横軸に影響度を表示し、リスクを可視化しましょう。
図表に配置することで、発生頻度の高い重大なリスクが見える化できます。発生頻度と影響度の高いものが優先度の高いリスクです。ただし影響度が低くても発生頻度の高いリスクは軽視せず、しっかりとした対策を練ることが重要です。リスク対策の優先順位を検討しましょう。
≪参考≫
経済産業省:リスクアセスメント・ハンドブック実務編
④対策方法の検討
リスク対策の優先順位を決めたら、具体的な対策を検討します。リスク対策には、「リスクコントロール」と「リスクファイナンシング」の2つの方法があります。リスクコントロールは、損失の発生頻度と影響度を軽減する手法。リスクファイナンシングは、損失を補てんするために金銭的な手当てをする手法です。
| リスク対策 | 具体策 | 内容 | 具体例 |
リスクコントロール 損失の発生頻度と影響度を軽減・削減する方法 |
回避 |
リスクを伴う活動事態を中止し、リスクを遮断する | 事業の撤退 新商品の発売中止 |
損失防止 |
発生頻度を減らすために予防措置を講じる | ウイルス対策ソフトの導入 研修やマニュアルの見直し |
|
損失削減 |
リスク発生時の損失規模を抑える | 対応フローの整備 無停電電源装置の設置 |
|
| 分離・分散 | リスクの源泉を一カ所に集中させず、分離・分散させる。 | 機密文書のバックアップ 支社によるデータ保存 |
|
リスクファイナンシング 損失を補てんするために金銭的な手当てをする方法 |
移転 |
保険、契約等により損失発生時に第三者から損失補てんを受ける | 損害保険の加入 他社との合意に基づくリスク分散 |
| 保有 | 特に対策を講じず、損失発生時に自己負担する | 積立金や準備金 自家保険 |
リスク対策の方法は、上記の6つの具体策が一般的です。リスクコントロールによって損失を軽減し、リスクファイナンシングを実行することによって効果的なリスクマネジメントが可能になります。
認定審査におけるリスクマネジメントと対策
2020年3月からホワイト企業の認定審査でも、リスクマネジメントが設問内容に追加されました。業種によってリスクの内容は異なりますが、以下の5項目は、すべての企業で取り組む事項となっています。
情報セキュリティ
情報セキュリティとは、インターネットやコンピュータを利用する際、情報漏えい、ウイルス感染によるデータの破壊、システムの停止などのリスクに対して必要な対策をすることです。情報セキュリティ教育をおこない、セキュリティ上の脅威や対策について従業員に教えることは、重要なリスクマネジメントです。
情報セキュリティにおける重要なポイントは、情報セキュリティポリシー(企業や組織において実施する情報セキュリティ対策の方針や行動指針)をすべての従業員に周知徹底することです。綿密なリスク対策を立てても、従業員が遵守しなければ意味がありません。業務ごとにどのような役割と責任があるのかを明示し、情報セキュリィ対策をする上でするべきことや、禁止されていることを具体的に伝えます。
労働安全衛生
企業が守らなければならないルールにひとつに、労働安全衛生法(安衛法)があります。労働安全衛生法とは、「職場における労働者の安全と健康を確保」するとともに「快適な職場環境を形成する」目的で制定された法律です。事業者は、管理責任者を選任し、役割や責任、権限を定め、管理者に対して必要な教育をする義務があります。安全衛生方針を表明し、目標を設定し、達成するための労働時間の管理、教育を含む安全衛生計画を実施、評価・改善をおこなうことが求められています。
安衛法を守るためには、ポスターの掲示、表彰制度、啓蒙につながるセミナーの開催などの手段で周知徹底することが重要です。
《関連記事》
長時間労働の原因と現状は?未然に防ぐための対策をご紹介
災害対応計画
地震や台風、水害など、日本において多く発生する自然災害のリスク対策は、従業員への周知徹底と防災訓練などの日頃からの取り組みが大きく活かされます。緊急事態発生時に従業員の安全や健康を確保するための災害対応計画(待機方法、勤務外の連絡手段、緊急時対応人員の確保、避難や初期救急などの訓練方法を定めたもの)を作成し、緊急事態のリスクに備えます。
重要機密情報のバックアップ
個人情報を含む顧客や従業員のデータなど、企業は多くの重要な情報を保有しています。ウイルス感染によるデータの破壊、情報漏えい、システムの停止、災害による機器障害など、情報セキュリティ上のリスクは、顧客や社会などに多大な影響と被害をもたらし、企業のブランドイメージを失墜させることもあります。さまざまなリスクに備え、重要機密情報は複数箇所に保管するなど、バックアップが重要な対策となります。
BCP(事業継続計画)の更新
BCP(事業継続計画)は、更新が必要です。BCPとは、企業が自然災害や火災などの緊急事態に遭遇した際、事業資産の損害を最小限にとどめ、中核となる事業の継続や早期復旧を可能とするために平常時におこなうべき活動や、緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
2011年に東日本大震災をはじめ大規模災害等が頻発し、直接被害はもとよりサプライチェーンに大きな影響が出るなどの経験から「防災」及び「緊急時における事業継続」の重要性が再認識されました。2012 年には、中小企業庁によって「中小企業BCP策定運用指針」が改訂されています。
緊急事態に遭遇した際、取引先や地域社会、従業員やその家族に対して何ができるのか。BCPの策定・運用は、非常に重要です。BCPを導入することで、緊急時の被害や操業停止期間を最小限に抑制し、取引先や社会からの信頼を得ることができ、企業の評価も高めることができます。
《関連記事》
BCP(事業継続計画)とは? その目的や災害対策に向けた方針作成手順を解説
まとめ
情報セキュリティにおける脅威や自然災害など、企業経営におけるリスクは増大しています。想定されるリスクを網羅的に把握し、必要な対策を講じることは非常に重要です。リスクマネジメントは、企業の安定経営に欠かせない要素となっています。業務上の危険やリスクを踏まえ、組織単位で対策の検討をおこないましょう。
《ライタープロフィール》
鈴木にこ(ライター)
求人メディアの編集者を経て、フリーランスとして活動中。派遣・新卒・転職メディアの編集協力、ビジネス・ライフスタイル関連の書籍や記事のライティングをおこなう。
