- 企業を取り巻くリスクが経営に与える影響
- リスク対策に必要となるリスク分析と評価
- リスクマネジメント推進体制構築のポイント
- 項目別リスク対応策
1.企業を取り巻くリスクが経営に与える影響
企業を取り巻くリスクは、多種多様、複雑多岐にわたります。
事故や災害、訴訟の提起、諸制度の大幅な改定、為替・株価変動など、企業に損失を与える要因は数限りなく列挙されます。
さらに、昨今では感染症に対する対応や社員のSNSによる内部管理体制の暴露等々様々なリスクも生じてきています。
このような中、今回は、企業が実際に取り組むべきリスクマネジメントついて実際の進め方におけるポイントをご紹介します。
1.リスクとは何か
(1)リスクの種類
企業活動におけるリスクは、一体どの位の数があるのでしょうか。
下記の表は一般的に企業を取り巻くリスクの代表的なものを記載しました。
これらのリスクに全て対応していくことが経営上は求められます。
ではリスクマネジメントとは、世の中にある全てのリスクを洗い出し対応していくことなのでしょうか。
限りある経営資源の中ですべてのリスクに対応することは現実的ではありません。
企業活動におけるリスクマネジメントは、世の中にある全てのリスクに対応することではなく、企業活動に影響を及ぼすリスクに限定されます。
(2)リスクの定義
企業経営上でのリスクとは何か確認していきます。
企業経営の視点から行うリスクマネジメントは、ISO31000としてISO規格にも定められており、他の国際規格でも、ERM(Enterprise Risk Management(全社的リスクマネジメント)-COSO-ERM規格)等があります。
これらの規格の中で、リスクについて次のように定義しています。
この定義に共通する要素として、「目的」「ビジネス目標」等の目指している方向を表す言葉がリスク定義に入っています。
2.リスクの見える化の必要性
リスクに対して意識を変えて対応していくことだけでなく、実際にどのようなリスクがあるかを見えるようにすることも重要です。
これは後述するリスクの洗い出し手法で具体的に触れますが、ここでは定義に照らして捉えると、リスクが見えてくる点を確認します。
わが社に起こり得るリスクは、本来あるべき姿の実現を妨げる要因となるものといえます。
つまり、自社が目指す目的(あるべき姿)がハッキリすると、対応するべきリスクが明らかになります。
3.BCPの策定状況と効果
(1)徐々に増えているBCP策定企業
リスクマネジメントというと大企業の事であって中小企業には関係が無いという認識は薄まりつつあります。
しかし、実際の活動として定着しているかというとまだまだ弱さがあります。
近年、全国各地で頻繁に発生している自然災害や新型コロナウィルスへの対応に向けたBCP(Business Continuity Plan:事業継続計画)策定企業が徐々に増えてきています。
帝国データバンクによる企業のBCP策定状況をまとめたレポートでは、「策定している/策定中」を合わせて約25%、1/4の企業のみが策定しているという状況です。
(2)BCP策定の効果
企業がBCPを策定することの最大のメリットは、緊急事態が発生した場合でも、計画に沿って速やかに対応することができ、経営面での被害を最小限にとどめることが可能だということです。
また、次のようなメリットもありますので策定することをおすすめします。
2.リスク対策に必要となるリスク分析と評価
1.リスクを特定する
(1)リスクアセスメントの概要
リスクへの対応は、変化する事業環境に応じる必要があります。
その際の中心的な活動にリスクアセスメントがあります。
本章では、このリスクアセスメントの手順に従い、それぞれのポイントを確認していきます。
上記がリスクアセスメントの一般的な項目とステップになります。
(2)リスクを特定する
リスクアセスメントの手順に従うと、まずはリスクを特定する必要があります。
ここで思い出していただきたいことは、「リスクは目的によって浮き立つ」ということです。
2.リスク分析
洗い出されたリスクに対してどの位の影響度・大きさがあるかを見ていくのがリスク分析になります。
大きさの指標をみる評価軸(モノサシ)などの設定も重要なポイントです。
発生可能性や影響度の大きさを軸にマトリクス表を作成し、項目をプロットしていきます。
この時に大事になるのが、項目ごとに大きさをどう捉えるかになります。
それぞれの人の感覚になるとブレてしまうので、リスク分析をする前に判断軸を定義します。
3.リスク評価
(1)リスク評価とは
リスク分析によって判断軸によりプロットされた各項目を評価していきます。
ここでの評価は、対応する優先順位と考えていきます。
順位付けするにあたっては、評点出し(数値による判断)を行います。
(2)リスク基準を定める
リスクの大きさと対応優先度を数値化したマトリクスを作成します。
以下のようなリスク基準を作成します。
4.リスク対応の優先度の判定
3.リスクマネジメント推進体制構築のポイント
1.全社的リスクマネジメント体制構築の必要性
前章までにおいて、企業経営を取り巻くリスクには様々なものがあることを説明するとともに、そのリスク防止への取り組み手順についても説明してきました。
リスク防止への取り組みについては、部門/部署単位であれば対応範囲が限定されるために、対応しやすい面がありますが、全社的に及ぶリスクに対応していくためには、全社的な視点で体制を整えた上で、リスク対応策を講じていく必要があります。
この全社的なリスク体制のことを、ERM(Enterprise Risk Management)と呼んでいます。
2.推進体制の構築におけるポイント
リスクへの対応は、継続的な実施がポイントです。日々の業務の中でリスクに向き会うことができているか、プロセスを管理していくこと、さらに、全社的にマネジメントの視点を持ちながら推進部署の設置をすることが重要です。
(1)組織体制の整備
全社的リスクマネジメントは、トップダウンによる方が効果的です。トップダウンにより、下記のような組織体制整備が望まれます。
先に触れた責任・運営の主体を明確にして、全社を俯瞰し統合する部署の設置が望ましいですが、企業規模により難しい場合は、委員会やプロジェクトチームなどの設置でこれに変えることも可能です。
(2)文書による明示
責任部署を決め、体制を整備したらリスクマネジメントは完結ではありません。
継続して実施していくための整備事項が数多くあります。その一つが文書化です。
3.統制活動におけるポイント
リスクに対して組織体制を整備したり、リスクマネジメント会議やモニタリング活動、規程類の整備等は、統制活動というより枠組みの整備に過ぎません。
本来の統制活動とは、リスクに対処するために決定した方針や手続きを、実際に実施する経営者や従業員の行動のことをいい、日々の企業経営や業務活動の中に組み込まれて実施されていくことが望ましい姿です。
棚卸業務を例にとり、内部統制の目的に照らした場合に、部署・業務レベルの目標、当該目標の達成を阻害するリスクとの関係がどのようになるかをまとめると、以下のとおりとなります。
統制活動は、特定のリスクにのみ関連する場合もありますが、棚卸業務のように、同時に複数のリスクに関連する場合が一般的です。
内部統制の具体的な中身である統制活動を導入するにあたり、以下の4つのポイントを考慮すると良いでしょう。
各業務プロセスで発見されたリスクの態様に応じて、これらの4つのポイントを意識した統制活動をいかに導入するかということで、内部統制の目的を達成できる可能性が飛躍的に高まります。
4.項目別リスク対応策
これまでリスクマネジメント手法について解説してきましたが、本章では、特に重要なリスク特定~リスク評価におけるチェックポイントを解説します。
1.リスク特定時のチェックポイント
対象とする事象/事柄に対して次の3つの視点でチェックします。
経営者は、事業目的に影響を与えうるすべての事象を考慮し、潜在的にマイナスの影響をもつ事象はリスク評価と対応を行い、プラスの影響をもつ事象はビジネス機会として捉える必要があります。
また経営幹部による全社的な事象識別のディスカッションがなされ、戦略導入や目標達成に影響を与える重要な事象が特定される必要があります。
このときに、すべての外部要因と内部要因が認識され、かつ事業体レベルと事業活動レベルでの「事象識別」の整合性が図られているか確認することも重要です。
2.リスク分析時のチェックポイント
リスク分析実施時には、以下の視点が重要です。
全社的に事象を集約する際に、水平的・垂直的の両面から検討することにより、事象の相関関係の理解を深め、潜在的な事業機会やリスクをより正確に把握する必要があります。
また、「事象識別」をより網羅的な視点で進めるかが重要です。
この時点ではあくまでも分析の段階ですが、全社的に事象を集約した後、潜在的にマイナスの影響をもつものはリスクとして認識され、リスク対応策まで講じられる場合もあります。
3.リスク評価時のチェックポイント
リスク評価時のチェックポイントは、次の3つです。
リスクは事業体ごとに固有のものです。
したがって、事業体に重要な影響を与える可能性のある全ての潜在的事象にかかるリスクを評価する必要があります。
発生を想定している事象や、発生を想定していない事象のどちらにも不確実性は存在しており、戦略の実行や目的の達成に影響を及ぼす可能性を有するため、想定している事象の影響度および想定していない事象(残余リスク)の影響度の両方を検討します。
評価の際は、マトリクス表を作成すると判断がつき易くなります。
縦軸と横軸を設定する際には、検討メンバーの意見を聞いて作成します。
これまで述べてきたように、中小企業にもリスクマネジメント体制の整備が求められてきています。
それは、企業環境が激化する中で企業の適応力が問われているからです。
自社のリスク対策における参考となれば幸いです。
■参考資料
金融庁:監査マニュアル
ISO31000規格
COSO-ERM規格
厚生労働省:労働衛生管理チェックリスト
日本内部監査協会:ERM研究会 発表資料
帝国データバンク:2021年BCP策定企業意識調査
全社的マネジメント:中央経済社
リスクマネジメント集中講座:オーム社