リスク管理の基礎知識
当ページではリスク管理の基礎知識についてまとめていきます。まずリスクマネジメントとは、実現したい目的に対して影響を与える不確実性(=リスク)をコントロールする活動のことであり、目的達成を阻害する、または促進するリスクをコントロールするために、あらかじめ導入される管理プロセスのことです。特に、企業などが組織全体で取り組むリスクマネジメントについては、全社的リスクマネジメント(ERM)と呼びます。
ERMとは
ERMとは、エンタープライズ・リスクマネジメント(Enterprise Risk Management)の略称で、国内では「全社的リスクマネジメント」のほかに、「トータルリスクマネジメント」や「統合リスクマネジメント」などとも呼ばれています。ビジネスで行うリスクマネジメントは組織が掲げる目的の数だけ存在しますが、その中でも「全組織的に掲げる目的」に対して行われるリスクマネジメントがERMです。リスクマネジメント活動に関する全社横断的な枠組み、その仕組みやプロセスを指しています。
ERMが必要とされる理由
ERMが必要とされる理由は3つあります。1つは、リスクマネジメントそれ自体が目的・目標達成を支援するツールだからです。企業は自らが掲げる目的・目標を達成したいはずです。その達成を阻む、または助ける不確実性を上手にコントロールできるのであれば使わない手はないはずです。
2つには、リスクマネジメントが意思決定支援ツールだからです。海外進出先で紛争が起きた時や、取引先が人権問題を起こした時に企業としてどういうリスクを抱えることになって、どういうリスクを取るのか・取らないのか。それを普段から考えておかないと、いざという時に迅速かつ的確な意思決定をすることができません。
3つ目として、不正防止を促進するツールになるからです。「不正防止はコンプライアンスの範疇でありリスクマネジメントの出る幕はあまりないのではないか?」と思われるかもしれませんが、そんなことはありません。リスクマネジメントを全社的に行うことで、組織の至る所で重要な意思決定をする際にはリスクを考える癖がつきます。それだけリスクに敏感になれるということに他なりません。結果、不正に対しても感度が上がるようになります。
これら3つの効能は、組織としてただ場当たり的なリスクマネジメント活動をすれば得られるというものではありません。組織の経営活動に合わせて、どういった意思決定場面でどのようにリスクを考え、取り込み、意思決定するのか。リスク情報を発見した時にはいつ誰にどうやって報告するのか。組織としての共通基盤を設けておく必要があります。その意味でも、ERMは必要と言えるでしょう。
ERMを実践するための具体的作業
リスクマネジメントに関する様々なガイドラインやフレームワークがERMの拠り所(根拠となる条項)となります。代表的なものにCOSO-ERMとISO31000があります。どちらもリスクマネジメントのあり方を示すガイドラインですが、COSO-ERMは企業の戦略策定と結びついた形でのリスクマネジメントのあり方に力点が置かれ、ISO31000ではリスクマネジメントそのもののあり方に力点が置かれています。
リスクマネジメントというと「未然防止」の印象が強いですが、何も予防を考えることだけがリスクマネジメントではありません。目的達成を考えれば、仮にリスクが顕在化して事故や大きなトラブルに発展する事態に遭遇してしまったとしても、それをいち早く鎮火し事態を終息するための活動もリスクマネジメントのスコープです。同じ理由で、組織の事業を中断させたり、組織の屋台骨を揺るがしたりするような事態に対応するための活動であるBCP・BCMや危機管理も、(広義の)ERMと捉えることもできるでしょう。
【図:「ニュートン・ERM・フレームワーク」】
BCP・BCMとは
BCMとは事業継続マネジメント(Business Continuity Management)の略称で、企業が通常の予想規模を超える(期待されない)重大な事象に直面した際に、企業にとっての重要な事業を継続させるために必要な一連の活動を管理する経営手法のことです。なお、「期待されない事象」とは、その発生頻度が低いものの、一度起こると企業に大きな影響をもたらす可能性のある事象を指し、一般的には事故や災害などがこれに当てはまります。
そして、「企業の重要な事業を継続させるために必要な一連の活動」から生み出される、重大な事象が発生した際の企業関係者の具体的な行動計画を示した計画(文書)のことをBCP(事業継続計画、Business Continuity Plan)と呼びます。
したがって、BCMは、有効なBCPを作成・維持・普及させるための管理手法と言うこともできます。BCPとBCMについて、詳細はこちらをご参照ください。
BCP・BCMが必要とされる理由
企業のIT化やグローバリゼーション、サプライチェーンの高度化(緊密化)などによって、一企業の活動範囲は格段に広がりました。これはすなわち、一企業の行動結果(事業中断など)が直ちにより多くのステークホルダー(利害関係者:取引先、投資家、地域住民など)に影響をもたらすようになったということです。
あわせて、企業を取り巻く「期待されない事象」についても、地震、台風などの自然災害、火事などの人災などに加え、近年ではサイバー攻撃や新型コロナウイルス感染症など、企業は多種多様化した脅威に直面しています。
こうした背景から、企業は重要な事業の継続についてより真剣に取り組まなければなりません。したがって、「人命保護、資産保護」を目的とした、いわゆる従来の防災対策では、今日求められる「重要な事業の継続」を達成するには不十分です。「期待されない事象」が起きたときに、重要な事業を継続する、もしくはできるだけ早期に復旧することが、企業に求められています。
“有効な”BCPを策定するための具体的作業
有効なBCPを策定するためには、以下のような作業を実施することが必要です。それぞれの項目についての詳細は個別説明ページをご参照ください。
Ⅰ.組織の理解
まずは自社を取り巻く環境、自社の強み・弱みや事業の優先順位などを分析し、有事にどの事業を継続したいのか、その際に必要となる経営資源は何かを特定します。そのためのプロセスとして、ハイレベルBIA(ビジネスインパクト分析)、BIAやリスクアセスメントがあります。
【ハイレベルBIA】(ハイレベル事業インパクト分析/ステークホルダー分析)
① 範囲(「事業継続マネジメント」の対象となる「事業」(または製品・サービス)の特定
【BIA】(ビジネスインパクト分析)
② ①を支える重要な活動(業務)の特定
③ ②を支えるリソース(経営資源:人員、施設、物資、技術、情報)の特定
【リスクアセスメント】(RA: Risk Assessment)
④ ③を脅かすリスクの種類と大きさの特定
⑤ リスク対応の実施
Ⅱ.戦略の決定
I.で特定した要素を踏まえて、どの事業をどのように、どの程度(レベル)で継続・早期復旧するのかという基本的な方針を明確にします。ここを曖昧にすると計画そのものが抽象的になってしまう危険性がありますので、実効性のあるBCPを策定する上では欠かせない作業です。
⑥ BCM戦略(対応方針)の策定
Ⅲ.BCPの開発と実装
Ⅱ.で決定した戦略に基づき、重要な経営資源に対する予防・低減策と事業継続策を検討します。初動対応、危機管理、事業継続の観点から役割別・部門別など対応手順を決定し、文書化します。
⑦ 事業継続計画(BCP)の策定
⑧ BCPを実現するための準備(資源の調達、システムの実装化など)
Ⅳ.教育・演習・見直し
策定したBCP文書が本当に有事の際に使えるかどうかを検証するために演習を行います。演習を行うことによって、策定した計画の不備や改善点を認識することができるだけでなく、社内への浸透も図れます。
⑨ 関係者への教育
⑩ 演習の実施
⑪ 是正措置および予防措置
以上でBCPは策定できました。これをBCM(事業継続マネジメント)として運用するためには、年間運用計画を定め、継続的な改善を実施していく必要があります。
BCMの国際認証規格ISO22301
ISO22031はBCPやBCMについての国際規格です。2012年5月に事業継続マネジメントシステムの国際認証規格として発行されました(2019年10月改訂。改訂版についてはこちら)。それ以前は英国認証規格BS23888-2が世界で最も利用されていましたが、グローバル化した経済活動を背景に国際標準化されました。
