無料プレゼント:
『マネるだけ、埋めるだけで作れる
経営計画書 作成シート(ダイジェスト版)』
企業にとって避けなければならないのは、さまざまなリスクから生じるダメージです。社内での不祥事はもちろんのこと、天変地異やパンデミック、突如発生する事件事故など、想定していないことで経営に大きなダメージが生じることも十分に考えられます。
その一方で、大半のリスクは事前に想定することもできます。そして、想定できるリスクに対しては事前に対策も立てられるため、万が一の時にも安心です。そのリスクに対する備えをサポートしていくのがリスクマネジメントです。
本記事では、ありとあらゆるリスクに事前に備えられるようにしたいと考える企業の担当者に向けて、リスクマネジメント全般の解説、リスクマネジメントのプロセスなどをご紹介していきます。
リスクマネジメントとは
リスクマネジメントとは、考えられるリスクをピックアップし、リスクによる被害を最小限に食い止める、もしくは発生しないように防ぐために管理を行うことです。
リスクといっても数えきれないリスクが存在します。例えば天変地異のようにいつ起こるかわからないものもあれば、情報漏洩など絶対に避けなければならないリスク、はたまた経営者たちが行う粉飾決算なども避けるべきことです。
「まさかこの人たちがそんなことをするわけがない」、「まさかこんなことが起こるわけがない」とリスクを軽視しがちですが、そのまさかが起きるのが今の世の中であり、備えをしておけば避けられるリスクも数多く存在するものです。
特に令和に入り、SNS関連の不祥事が多く、動画での炎上も毎日のように発生しています。いつどこでどんな不祥事が起きてもおかしくない今だからこそ、リスクマネジメントの重要性は日に日に高まっているといえるでしょう。
危機管理とリスクマネジメントの違い
リスクマネジメントと同じような言葉に危機管理があります。一見すると危機管理もリスクマネジメントも同じような意味合いに見えますが、実は微妙に異なるのです。そもそも危機管理はクライシスマネジメントと呼ばれており、リスクとクライシスではそれなりに意味が違います。
例えば、社内で情報漏洩問題が発生したとします。情報漏洩が発生した際、何らかの対処をしなければ会社の存続にもつながる重大な事態を招くでしょう。そうなる前にさまざまな策を講じるはずです。こういった策を講じるのが危機管理であり、問題が生じた際に最小限のダメージに食い止めるために必要です。
一方、リスクマネジメントは情報漏洩が起きないように策を講じる、いわゆる「予防」がメインの考え方です。起きてしまった後のことを考えるのが危機管理、起きないように備えるのがリスクマネジメントです。
リスクマネジメントとリスクアセスメントの違い
また、リスクマネジメントのほかに、リスクアセスメントというものも存在します。危機管理と違い、リスクアセスメントという言葉を聞いたことがない方もいるかもしれません。
リスクアセスメントとは、職場の中に潜んでいる危険性などを評価し、労災などの可能性を見積もり、リスクをなくしていくやり方です。リスクアセスメントは労災など健康被害が生じる事態を避けるために用いられる手法であり、労災以外のリスクに置き換えて対処することもできます。
有害物質などを扱う事業者に対しては義務としてリスクアセスメントの実施が課せられており、リスクアセスメントを必ず行わなければなりません。現場の作業員なども参加していくことで、労災が職場内で発生しないよう、リスクに対する考え方をアップデートしていく効果があります。
リスクマネジメントもリスクアセスメントも事前にリスクを避けるという点では同じといっても過言ではありません。リスクアセスメントはリスクの特定、分析、評価を指す言葉であり、リスクマネジメントはリスクアセスメントを内包する形になります。
一方で、リスクマネジメントはリスク管理、リスクアセスメントはリスク評価と置き換えられるため、リスク管理の中で行うのがリスク評価という考え方もできます。
リスクマネジメントはなぜ必要?
そもそもリスクには「純粋リスク」と「投機的リスク」の2つがあります。純粋リスクは災害などが該当し、災害が生じることで出た損失などを指します。一方で投機的リスクは損失はもちろんのこと、時に利益も生じる可能性のある事象を表します。
近年はサイバーテロの問題が深刻化しており、サーバーのデータを人質にとって身代金を要求する事案も日本で出ています。サイバーテロに巻き込まれ、会社にとって大事なデータが消えてしまうことは比較的想像しやすいことです。対策さえ立てれば致命的な事態は避けられます。この対策を立てていくのがリスクマネジメントです。
つまり、リスクマネジメントを行うことで致命的な事態を防ぎ、万が一リスクが現実のものとなっても被害を最小限に食い止めやすくなります。いわば、ある種の保険をかけておくようなことがリスクマネジメントともいえるのです。
リスクマネジメントをしなければ、せっかく順調に成長していた企業を一瞬のうちに崩壊させてしまいます。それくらい、リスクは怖いものであり、適切な対応が求められるのです。
リスクマネジメントの具体的な5つのプロセスとは
リスクマネジメントを実際に行っていくには5つのプロセスを経ていく必要があります。
- リスクの特定
- リスクの分析
- リスクのランク付け
- リスクへの対応
- リスクのチェック
まずどんなリスクがあるのかを特定し、リスクの可能性を探り、その上で優先順位をつけて対応していくことがリスクマネジメントの主なプロセスとなります。ここからはそれぞれのプロセスについてご紹介していきます。
①リスクの特定
1つ目のプロセスはリスクの特定です。
まずどんなリスクが考えられるのかをリストアップしていきます。例えば災害に対する備えを行うといっても、地震のリスクだけでなく火山のリスク、水害のリスクなどさまざまなケースがあります。意外と火山のリスクを考えているケースは少ないですが、関東に会社がある場合、富士山が噴火した際のリスクは考えなければなりません。関東地方の広範囲で火山灰が降る可能性があるからです。
このように災害のカテゴリーだけで多くのリスクがあります。あとは、経済に関するリスクから財務に関するリスク、訴訟リスク、そして、社内で起こりうるリスクなど、ありとあらゆるリスクをまずは拾い上げていきます。
この作業を行う際、「心配性」、「考えすぎ」とバカにしてくる方もいるでしょうが、万が一トラブルが生じた場合、事前に想定していればダメージを最小限に食い止められます。万が一に備えるためにやっていることなので、「心配症」、「考えすぎ」と揶揄するのはいけません。
②リスクの分析
2つ目のプロセスは、リスクの分析です。
想定されるリスクをリストアップしたら、次は1つ1つリスクによる被害とそのリスクが発生する確率を算出していきます。ゼロではないもののほとんど起こり得ないものから、比較的あり得るリスク、まず起きないが起きたらとんでもない被害をもたらすリスクなど、まさにさまざまな確率のリスクがあります。
製造業の場合は、不良品が生じるリスクを分析していく機会がとても多いでしょう。どれだけ不良品が生じないように努力を重ねても、不良品はどうしても出てしまいます。その不良品がどれくらいの確率で出てしまうのか、万が一不良品が出回った際のダメージはどれくらいなのかを定めていきます。
多くのリスクをリストアップした際には、1つ1つのリスクについて分析をしていくことになります。時に気の遠くなる作業になりますが、可能性がゼロではないものはいつ起きてもおかしくありません。リスクとしてリストアップする以上は、正しく分析を行っていくことが求められます。
③リスクのランク付け
プロセスの3つ目は、リスクのランク付けです。
リスクのランク付けの作業は、まずリスクを分析した結果を踏まえ、発生確率と影響度の座標軸の中にまとめていきます。早急に対応すべきなのは発生確率が高く、影響も甚大なリスクです。一刻も早く対策を立てないと大変なことになるでしょう。逆に発生確率が低く、さほど影響もないリスクであれば大至急取り掛かる必要がなくなります。
こうしたリスクのランク付けを行っていく中でおのずと優先順位が決まります。一方、すぐに着手すればすぐに改善ができるものから着手する考え方もあり、その方がより効果が上がる場合もあるのです。
リスクがあるからといって闇雲になんでも着手していくのは、リソースが限られた状態の中ではムダが生じやすいでしょう。リソースを有効活用しながらリスクを食い止めるには、まずリスクが大きいものから対策を立てていき、ダメージを最小限に食い止めるための施策を講じることです。
④リスクへの対応
4つ目のプロセスはリスクへの対応です。
対策を立てるべきリスクに関して優先順位をつけたら、いよいよそのリスクに対する対応を行っていきます。リスクへの対応に関しては後ほどご紹介しますが、それぞれに適したリスク対策の方法があるため、どのやり方がベストなのかをチェックすることになるでしょう。
優先順位がつけられたリスクを1つ1つ精査し、リスクが低減されるために対応を行っていくことで大きな被害を食い止められるほか、余計な被害を受けずに済みます。一方で、リスクを評価していく中でどうしても避けようがないケースも出てくるでしょう。この場合はリスクを受け入れるという形になります。
リスクへの対応に関してはまさにさまざまであり、1つ1つ考慮していかないと起きてからが大変です。
⑤リスクのチェック
プロセスの最後はリスクのチェックです。
リスクのチェックは実際に対策を行ってみて、どのような効果がもたらされたか、新たに改善すべきと判断された場所はどこかを確かめるために必要な作業です。モニタリングとも呼ばれ、適切な対策だったのかを改めてチェックしたうえで、その対策が妥当なものか、改善が必要なものかが分かります。
リスクマネジメントは実際にリスクを考え、対応策を思いついた時点で終わりではありません。むしろ間違った対策の可能性も十分に考えられるほか、よりよい対策、別方向への解決策などまだまだベストが尽くせる可能性があります。投機的リスクは利益をもたらす可能性もあるため、時に攻めのリスク管理を行うことも大切です。
リスクマネジメントにおける具体的な対応策の具体例
リスクマネジメントに対する対応策には、大きく分けて5つのやり方があります。
- リスクの回避
- リスクの低減
- リスクの移転
- リスクの受け入れ
- リスクの適正化
リスクを避ける、リスクを減らす、リスクを別の所へ移転させるなど色々な方法があります。今までは4つの対応策が一般的とされてきましたが、21世紀に入ってから適正化という考え方も出てきました。ここからは主に5つの対応策について、具体例を交えてご紹介していきます。
リスクの回避
1つ目はリスクの回避です。
リスクの回避はリスクそのものを発生させないような対応策が該当します。リスクの回避で対応すべき事柄はそのリスクが生じた際に会社への影響が大きいもので、頻度がさほど多いわけではないものが該当します。
リスクの回避を行うべきケースとして、例えば、情報漏洩の予防については、情報漏洩が簡単には起こらない対策として暗号化を行うなどして簡単には持ち出せないようにします。
近年では社外に持ち出してはいけないUSBメモリーやパソコンを持ち出し、外出先で紛失する事案がいくつも起きています。この場合のリスク回避策としてはそもそも外部にUSBメモリーなどを持ち出させないことが大事であり、USBメモリーで管理をさせない、パソコンを持ち出せるような仕組みにさせないといったことが求められます。
またセキュリティに関する教育を行うことで、社外にUSBメモリーを持ち出して万が一紛失した場合にどんなことが生じるのか、危機意識を植え付けることもリスク回避につながります。
リスクの低減
2つ目はリスクの低減です。
リスクの低減は万が一リスクが発生してもダメージを最小限にすることを指します。リスクの低減に関してもリスクの回避と同じく、頻度は少ないものの影響が大きいリスクが該当します。天変地異のような自然災害は完全に回避することは不可能なので、リスクの低減が妥当です。
例えば、天変地異関連では、地震が起きても大丈夫なようにオフィスビルの耐震補強を行うことや万が一停電してもいいように自家発電設備を設置することもリスクの低減の1つです。またオフィスを分散させるのもリスクの低減につながります。万が一地震などで1つのオフィスが使えなくなっても別のオフィスを稼働させることで、稼働を完全にストップさせずに済むでしょう。
リスクの低減の考え方としてはリスクが生じた場合に影響を最小限に食い止めるだけでなく、リスク発生の可能性を下げることもリスクの低減に含まれます。例えば、地震に備えるケースでは耐震補強を行って地震に備えるのは影響を最小限に食い止めるやり方であり、地震が少ない地域に移転するのは地震の可能性をできるだけ下げるやり方となります。
リスクの移転
3つ目はリスクの移転です。
リスクの移転はリスクを自社で保有せず、第三者に保有してもらうようなやり方です。過去にあった事件で「三億円事件」がありました。まだ給料が手渡しの時代、給料日に社員に渡すために運んでいた三億円を白バイ隊員に扮した犯人があの手この手を使って奪っていった事件です。これにより、社員たちは結果的にタダ働きになったわけではありません。事前に保険に入っていたため、会社にも社員にもほとんど被害が出ませんでした。
保険を活用することはリスクの移転の1つであり、リスクの移転の中では最もポピュラーなやり方です。天変地異が生じても保険を活用することで万が一の事態に損失補填を行えるようにしておくことができます。また社内からの情報漏洩を防ぐには外部に情報の管理を任せるほか、サーバーを外部に委託し、サイバーテロから守っていくのもリスクの移転の1つです。
リスクの受け入れ
4つ目はリスクの受け入れです。
リスクの受け入れはリスクの保有と置き換えることもできます。リスクの受け入れはリスクの影響度が小さく、かつリスクが生じる頻度が低い場合に該当します。イメージしやすいものでは温泉街周辺の旅館やホテルなどはリスクの受け入れを行っているケースの1つです。
温泉街は基本的に近くに火山があるケースがほとんどで、噴火が発生すれば大打撃を受けます。しかし、噴火のケースは数十年に1度、もしくは100年、200年に1度と頻度は明らかに低いです。一方でその間は温泉によって多くの利益がもたらされます。いつ起こるかわからない噴火に対し、起きた時は仕方がないとある程度リスクを受け入れることも1つの考え方です。
また噴火などのケースは、対策の立てようがないケースでもあります。対策の立てようがない場合には現状を容認するほかないのが実情です。
リスクの適正化
5つ目はリスクの適正化です。
リスクの適正化は最近になって登場した考え方で、リスクを減らすのではなく、時にリスクを取るのも1つの方法であり、リスクの低減からの方針転換の1つとして示された方法でもあります。
現実ではリスクをすべて取り除くのは難しく、リスクを回避しようとするあまり、利便性を下げては元も子もない場合、「これぐらいであれば許容できる」という範囲にリスクを抑えたうえで対策を立て、それでも残ったリスクを受け入れるのがリスクの適正化の考え方です。
リスクをなくす、減らす、回避する、受け入れるの4原則のいいところをうまくすくい取ったような考え方といえるのがリスクの適正化です。
リスクマネジメントは適切なプロセスの中で実行していこう
リスクマネジメントは、現状で想定されるリスクに関して回避や移転、低減などによってダメージを最小限に、もしくはダメージ回避を行うのに欠かせない考え方です。
一方で、社会環境がより複雑になっており、将来に何が起こるのか予測するのが難しい時代になっているといわれています。こうした時代をVUCA(ブーカ)と呼びます。現代はVUCA時代であり、予測できないことも増えてきたことから、リスクマネジメントは今のままであるべきなのかと疑問を持つ人も増えてきました。
リスクマネジメントの考え方は年々変わっており、今まであったリスクへの対応の4原則は最適化を含め、より細分化されています。ゆえにリスクをリストアップするやり方や優先順位の付け方なども時代に応じて変化させていくことが求められます。
特にスピード感はリスクマネジメントでも求められることです。SNSが登場したことで1秒でも早く対応しなければならない時代に突入したともいえます。その中で適切なプロセスの中で、スピーディーに対応していく仕組みが求められます。
当社では、中小企業向けに空欄を埋めるだけで作成できる経営計画書を提供しています。
無料でダウンロードができるので、ぜひご利用ください。
~あなたの会社もすぐに作れる~
『マネるだけ、埋めるだけで作れる経営計画書 作成シート(ダイジェスト版)』
無料プレゼント!
いかがでしたか?お気に召したのであればシェアはこちらから。
