用語の解説Glossary
リスクマネジメント
中小企業においてもICTの急速な進化やグローバル化がにより、企業を取り巻く環境の変化のスピードは加速しており、 各企業が直面するリスクが急速に増加かつ多様化しています。一方で、これらのリスクを適切に管理できるマネジメント体制は遅れており、なんらかの対応が求められる様になってきています。1.リスクマネジメントに関する用語
(1)リスクとは組織の収益性に影響を及ぼす不確実な事象
(2)リスクマネジメントとは
企業価値を維持・増大していくために、経営に関連する内外の様々なリスクを適切に管理する活動
(3)危機管理とは
災害などの緊急事態発生時の被害を極小化するために、危機を予測し、対応策について計画・訓練・調整・
統制することで企業存続を図ることです。広義のリスクマネジメントには、危機管理が含まれますが、管理
方法が異なるためBCPとして別途管理することをお勧めします。
2.リスクマネジメントの手順
リスクマネジメントを実施するためには、体制や仕組みを整備しなければなりません。その体制や仕組みは、長期間に渡り、安定的に維持・運用される必要があります。
(1)実施手順
3.リスクマネジメント体制の構築
リスクマネジメントを効果的に運営するためには、従業員全員の協力が不可欠となります。そのためには、社内に対してその意味をいかに説得できるかが重要となります。特に問題が顕在化していない場合の新たな取り組みには
少なからず抵抗が生まれます。まず、経営トップがリスクマネジメントの重要性を認識し、繰り返し説得、説明が
行われることが不可欠となります。実際の運営に関しては、リスクマネジメント責任者が推進役となり、各部署を
まとめていくことが重要となります。
(1)経営トップの役割
リスクマネジメントにおける経営トップの役割として、次の様なものがあります。
1)リスクマネジメント体制の構築および維持
2)リスクマネジメント方針の策定
3)リスクマネジメント委員会の開催
(2)リスクマネジメント責任者の責任
リスクマネジメント責任者は経営トップの指名を受け、リスクマネジメントに関わる全業務を統括します。
1)リスクマネジメントに関わるすべての業務の統括
2)リスクマネジメント計画および進捗管理
3)リスクマネジメントに関連する規程や手順書の作成や確認
4)リスクマネジメントの推進
5)各部署のリスクマネジメント活動の把握
6)リスクマネジメントに関する教育の実施や情報提供
7)リスクマネジメント委員会の事務局
8)リスクマネジメントに関する経営トップへの報告
9)リスクマネジメントに関連する外部の機関との連絡、調整及び連携
(3)リスク方針の策定
経営トップは、事業リスクマネジメントへの理解を示し、社内外に向け、いかにリスクマネジメントを重視
しているかを明確に示す必要があります。リスク方針は、何を目的として、何をどのように実施するのか
言葉で示したものです。
(4)リスクマネジメント委員会
リスクマネジメント委員会の役割は、各部署からのリスクマネジメントに関する報告や情報交換をもとに、
全社のリスクマネジメントに関する承認と意思決定を行うことです。リスクマネジメント委員会は、経営
トップを初め各部署の責任者がメンバーとなり、年1〜2回開催します。
4.ルールの策定
リスクマネジメントを運営するためには、ルールの策定が必要です。ルールは文書化を行い定期的な見直しが必要です。リスクマネジメントを実行するに当たり、責任部署(者)、実施手順、記録方法などを明確にすると
ともに、従業員に対し教育・訓練を行う必要が有ります。主な取り決め項目として次の項目が有ります。
1)文書と記録
リスクマネジメントに関わる規程や基準を定め、結果を記録します。
2)教育・訓練
リスクマネジメントに関わる教育・訓練の方法や頻度、対象者を決めておきます。
3)コミュニケーション
普段よりリスクマネジメントの意識付けを行うことが、最大限の効果を生み出すと考えられています。
コミュニケーションに関する手段を記載しておきます。
4)リスクの抽出・評価・分類
リスクの抽出・評価・分類について、調査期間、方法、責任者などを定めておきます。
5)リスクへの対応と実施
対応が必要なリスクの判断基準や実施方法や責任者に関して定めておきます。
6)リスクの監視
監視が必要なリスクの監視方法を定めておきます。
7)リスクマネジメントレビュー
リスクマネジメントのレビュー方法、時期、責任者等を定めておきます。
5.リスクの評価と分類(リスクアセスメント)
企業にとってのリスクをできる限り洗い出した上で、その発生頻度や影響度を評価して、自社で優先的に取り組むリスクや受容するリスクに分類します。企業として洗い出しから分類までのプロセスをどの様にするかについて、
自社に適した方式を選択し実践することが重要です。
(1)リスク洗い出し
リスク洗い出しにおいて、外部及び内部の要因を定めておくことが必要です。外部要因として、国内外に
おける社会及び文化、政治、法令、金融政策、イノベーション、経済や外部ステークホルダーの価値観、競争
環境の変化などがあります。内部要因として、組織文化、業務プロセス、組織体制及び戦略、経営資源などが
あります。組織の目的の達成を妨害、阻害又は遅延する可能性の有る事象に基づいて、洗い出しを行います。
また、機会を追求しないことに伴うリスクを特定することも重要です。
リスクの洗い出し方式は、色々な方式が考えられていますが、代表的な方式を示します。これらの方式を
組み合わせることも可能です。
1)アンケート方式
アンケート用紙を配布し、リスクを記入してもらう手法です。インタビュー方式と比較して時間的・労力
的に簡便であるが詳細な内容まで把握することが困難です。
2)チェックリスト方式
チェックリストを作成し、チェックリストに基づいてリスクを洗い出していく方法です。チェックリスト
作成時に漏れがあると重大なリスクを見逃す可能性があります。
3)フローチャート方式
業務プロセスなどのフローチャートを作成して、リスクと思われる項目を洗い出していく方法です。
フローチャート作成により、業務プロセスの見直しが出来ますが、時間と労力が掛かる欠点が有ります。
4)インタビュー方式
インタビューを通じてリスクを洗い出していく手法です。部署単位で、当該部署の役割や業務に基づい
て、どのようなリスクが存在するか、また過去に発生した事象などをヒアリングします。また、
グループでディスカッションする方法もあります。
(2)リスクの評価
洗い出し作業により収集されたリスクには、複数の部署から同じ内容のリスクが挙げられていることが
予想されます。まず、収集されたリスクを整理しリスト一覧としてまとめます。リストアップしたリスクに
対して評価を行います。評価方法として、次の様な方法があります。
1)リスクマップ手法
発生頻度と影響度について、マトリックスを使用してリスクの大きさを評価するものです。比較的短時間
で評価することが可能となります。
2)FMEA (Failure Mode and Effects Analysis : 故障モード影響解析)
リスクがどの様にして発生するかをリストアップし、それぞれの項目について発生頻度と影響度について
評価します。
3)FTA (Fault Tree Analysis : 故障の木解析)
発生の可能性が有るリスクについて、どの様な条件がそろえば発生するのか論理的につなげたものです。
リスクを構造化することで、発生確率や対策が予想できます。
(3)リスクを分類する
リスクの評価結果から、リスクの分類を行います。まず、リスクの内容が同類のものや同じ原因のものを
まとめます。次にリスクの発生確率と影響度により次の4種類に分類されます。また、守ることに影響を
及ぼす可能性の有るリスクか攻めることに影響を及ぼす可能性の有るリスクかや計測が可能か不能かなどに
より評価基準を変える必要が有ります。
1)リスク回避:発生確率および発生時の影響が最大レベルで、対策の実行が困難なリスクです。商品の販売
中止や場合によっては事業撤廃の検討が必要です。対策が可能な場合は、リスク低減や
移転を検討します。
2)リスク低減:発生確率が高から中で、影響度が中から軽の場合です。リスクの低減を検討します。
3)リスク移転:発生確率が低く、影響度が大きいリスクです。保険などで発生した場合のカバーを
行うとともに発生時の対応策をあらかじめ決めておく必要が有ります。
4)リスク保有:発生確率が低く、影響度も小さいリスクです。リスクを享受するリスク保有が
考えられます。
※対応が必要と分類された項目を一覧表にまとめると管理に漏れがなくなります。
6.リスクマネジメントの実施
作成したリスク対応計画を実施します。リスクマネジメントを実施するためには各リスク要因に対しての対策を実施していく必要が有ります。
(1)目標の設定
対応が必要とされたリスクに対しての目標を設定します。目標は原則的に測定可能な定量値とします。定量
化が困難な場合は定性的な目標とします。また、年次目標として年度初めに対応するリスクの目標値や教育
目標を設定し、計画表を作成しておくことも重要です。
(2)リスク対応策の選択
リスク対応策の実行には人、物、金等の経営資源が投入される場合が多いため、経営資源や時間の制約が
ある中で最適のリスク対策を選択する必要があります。リスク対応策は、予防・防止などの事前対応策だけで
なく、緊急時や復旧時の2つの事後対策があります。影響度の大きいリスクほど事後対策が重要となって来ま
す。リスク対応策として、次の様な方法が有ります。
1)設備・装置面での対応
2)規律・運用面での対応
3)財務・契約面での対応
費用対効果に合わせて企業全体の視点で最適なリスク対策を選定する必要があります。
(3)リスク対応計画の作成
リスク対応策を実践するための具体的な活動計画を作成します。リスク対応計画とはリスク対応策の実施
そのものを指すのではなく、リスク対応策実行に必要な5W1H(誰が、何を、いつ、どこで、どのように)
を定めた計画である必要が有ります。リスク対応計画には、次の内容を明確にしておく必要が有ります。
1)リスク対策の具体的内容
2)リスク対策の日程
3)利用する経営資源
4)責任部署(担当者)
7.要因別リスク対応方法
各要因にごとに対応方法がことなるため、要因別のリスク内容と対応方法を下記に示します。(1)製品要因リスク
製品要因リスクとは、企業が製品を生産するという活動における原材料や部品の調達から最終顧客までの
全ての工程に存在するリスクを言います。製品そのものだけでなく生産工程における労働災害などのリスクも
含みます。基本的には、ISO9001に準じてリスク管理を実施することが良いでしょう。
1)品質リスク
主に製品の品質に関連するリスクで次の工程におけるリスクを管理します。
企画 設計 購買 生産 物流 販売 顧客対応 容器回収
2)調達リスク
材料調達のリスクを言います。特にものづくり企業では、安定的に部品や原材料が調達できなければライ
ンが停止してしまい、業務の継続に影響を与えます。こうした調達上のリスクに対してリスク管理が必要
です。具体的には、サプライヤーの経営状態や品質保証体制を評価し信頼のおけるサプライヤーから優先
して調達を行います。
3)工場事故リスク
設備トラブルや労働災害などリスクを言います。工場事故が発生した場合、長期的なライン停止の可能性
ばかりでなく大切な人材を損失する可能性があり、継続的にリスク管理を行う必要が有ります。対策とし
て、定期点検やルールの整備、オペレーター教育などが有ります。
(2)情報セキュリティリスク
現在の企業活動においては、情報通信技術の活用なしでは成立しません。情報通信のリスク管理は、情報
セキュリティ・マネジメントに準じることが望ましいでしょう。情報通信のリスク管理の重要項目としては
次の3つがあります。情報セキュリティリスク対応策の第一歩として情報資産の特定が必要となり、情報
資産をいかに守るかが重要となります。
1)機密性の欠如
「機密性」とは「アクセスを認可された者だけが情報にアクセスできることを確実にすること」です。
機密性の欠如は情報漏洩につながります。
2)完全性の欠如
「完全性」とは「情報及び処理方法が、正確であること及び完全であることを保護すること」です。完全
性が欠如してしまうと情報の内容の正確性が保てなくなります。
3)可用性
「可用性」とは「必要なときに情報及び関連する資産にアクセスできることを確実にすること」です。
可用性が欠如してしまうと使いたいときに必要な情報が使えなくなってしまいます。
(3)市場リスク
中小企業においても、グローバル化の影響は避けることが出来ません。自社ではコントロールできない部分
が多いため、財政・契約面でのリスク対応が望ましくなります。市場リスクは経営陣が注意深く、監視し、
管理していかなければなりません。
1)金利リスク:金利が変動することで、保有する資産の価値が変化して損失を被るリスク
2)為替リスク:為替レートの変動により、保有する資産の価値が変化して損失を被るリスク
3)商品価格リスク:同一品の現物や先物価格が変動して、保有する商品の価値が低下することで損失を被る
リスク
(4)信用リスク
与信供与先がデフォルトしたり、信用状態が悪化したりすることで、貸付金の回収ができなくなるなどの
損失を被るリスクです。基本的な対応方法は、対象企業の経営状態などから評価を行い格付けすることで取引
量の制限を決めます。同時に、財務的な対応策も取る必要が有ります。
(5)レピュテーションリスク
レピュテーションとは、肯定的及び否定的な評価、評判のことをいいます。レピュテーションリスク(レピュ
テーショナルリスク)とは、企業に関する否定的な評価・評判が世間に周知されることで企業の信用やブラン
ド価値等が悪化し、結果的に損失を被るリスクをいいます。企業がリスク管理や倫理、法令、規程等を遵守
する企業文化を確立し全社的に浸透させ、従業員が正しい行動をすることでレピュテーションリスクが予防・
低減されます。
1)倫理綱領や行動指針の策定と周知徹底
2)経営トップの率先垂範
3)オープンなコミュニケーションの確立
4)正しい行動が正当に評価される評価制度
(6)情報管理
企業の信用やブランド価値の低下を防ぐためには日頃から企業に関する評判等の情報を収集する必要があり
ます。情報としては、顧客の声、新聞や雑誌等の報道内容、インターネットの掲示板や個人サイト、内部通報
窓口に集まる従業員の声などがあります。リスクの兆候となる情報をいかに早い段階で発見し、適切に対処で
きるかがカギとなります。
(7)ステークホルダーとの友好的な関係
企業の信用やブランド価値はステークホルダーが感知するものです。したがってステークホルダーと友好的
な関係を構築し保持していくことが重要となります。ステークホルダーと友好的な関係を保持するために、
重要なステークホルダーと積極的なコミュニケーションが重要となります。
(8)内部統制
経営者の意図が従業員に浸透する、問題が適切に経営者に伝わる、各部署でミスや不正を予防する、という
ような様々なことが常に確実に行われないと、安定した事業運営ができません。そのためにが内部統制です。
内部統制とは、様々な体制やルール、手続などを構築することで、経営者の意図を従業員に浸透させる、問題
が適切に経営者に伝わる、各部署でミスや不正を予防することで適切に経営管理を行うことです。リスクマネ
ジメントと内部統制は密接に関連付けられなければなりません。
8.リスクマネジメントレビュー
マネジメントを有効にするためには、定期的にレビューを行うことが重要です。レビューは経営者が行いますが、レビューを行うための資料は各部署の責任者が作成します。
(1)リスクマネジメントの評価
レビューの実施前に計画に対する評価を行います。評価は各部署の責任者が行いますが、リスクマネジメン
ト責任者がフォローを行います。
1)パフォーマンス評価
年度目標に対する実施結果と個別のリスク対応計画に対する進捗状況またリスク対策を実施したあとの
リスク算定も評価します。
2)リスクマネジメントシステムの有効性評価
パフォーマンス評価が目標通りであっても、リスクマネジメントの目標が達成できないケースがありま
す。その場合は、リスクマネジメントシステムの有効性が機能していない場合が考えられます。リスク
マネジメントの目的を満たすためのシステムが運営されているのか評価します。
3)評価指標
評価指標には事前指標と事後指標という2つの評価があります。
a.事前指標:目標を達成するための行動指標などで、リスクアセスメントや教育訓練の実施回数などが有ります。
b.事後指標:結果を示す指標で、不良率やクレーム件数などが有ります。
リスクマネジメントシステムの目標については、事後指標となります。
(2)リスクマネジメントに関する是正・改善の実施
リスクマネジメントの評価結果に基づいて、必要に応じてリスクマネジメントの是正及び改善行います。
パフォーマンス評価は、1〜3か月ごとに行い、リスクマネジメントシステムの有効性評価については
1〜2回/年の頻度で実施します。是正及び改善は次の通りとなります。
1)応急処置の実施
2)不適合の原因を調査・究明
3)是正・改善案の評価と実施
4)是正・改善案の有効性の確認
5)規定類及び基準書、記録書式の変更
(3)監査
リスクマネジメントの評価は、各部署の責任者が行いますが、不適合に気づかない場合や運営の行き詰まり
が発生するため、第三者による評価が望まれます。監査は、リスクマネジメントシステムの運営状況や評価
結果および是正方法などを評価し、改善の必要があると判断した場合は、指摘を行い改善状況を確認します。
(4)レビュー
経営者は、リスクマネジメントシステム全体について最終的な責任を負います。経営の意思を確実に反映す
ることは、経営者の責任として極めて重要となります。少なくとも1回/年 リスクマネジメンシステム
全体をレビューし、次年度のリスクマネジメントサイクルに結び付けることで継続的改善が実現されます。
レビュー項目は下記項目があります。
1)リスクマネジメント方針
2)リスクマネジメント計画
3)リスクマネジメント実施状況
4)リスクマネジメントパフォーマンス評価状況
5)リスクマネジメントシステムの有効性
6)リスクマネジメントシステムに関する是正・改善の実施状況
7)リスクマネジメントシステム構築のための体制・仕組み
参考図書 先進企業から学ぶ事業リスクマネジメント実践テキスト 経済産業省
リスクアセスメント・ハンドブック(実務編) 経済産業省
JISQ2001 リスクマネジメントシステム構築のための指針
※JISQ2001は、ISO31000が制定されたため廃止
バナースペース
チエフル経営研究所
〒601
京都市南区
E-Mail:take1964chiefull@gmail.com