リスク管理Naviリスクマネジメントの情報サイト

コラム

リスクマネジメント実務者が身につけておきたいスキルと資格

2020年02月03日

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

リスクマネジメントとひと言で言っても、考えなければならないことがたくさんあります。例えばリスクの種類。品質リスクもあれば、情報セキュリティリスク、コンプライアンスリスクもあります。

ここ数年、サイバーセキュリティリスクが注目されていますが、つい最近では空気リスク(※1)などといった言葉も登場してきました。また、リスクマネジメントと併せて使われる用語も溢れています。コーポレートガバナンスや危機管理、内部統制、BCP、CSRなど、これらは一緒なのか、異なるのか、どう関係しているのか、ひと目見ただけではわかりません。専門書に頼ろうにもたくさんの書籍があり、難しいものばかりです。

つまり、リスクマネジメントの世界は、何から手を付ければいいかわからないのです。そこで、本コラムで、リスクマネジメント実務者にはどのようなスキルが必要か、何から学べばいいのか、どのようにすればスキルを身につけることができるのか、について解説していきたいと思います。

※1空中を漂うPM2.5などといった大気汚染物質、花粉やハウスダストなどのアレルギー物質、気象条件などに関わるリスク

リスクマネジメント実務者に求められる仕事とは

そもそも、リスクマネジメント実務者とはどのような役割でしょうか。ここでは2種類の役割を想定しています。

一つは会社全体のリスクマネジメント活動を支える事務局員(以後、リスクマネジメント事務局と呼びます)としての役割です。社長や最高リスク管理責任者(CRO)など経営陣のリスクマネジメントに対する想いを汲みながら、その想いを反映した仕組みを全社に浸透させ、活動を推進するサポートを行います。具体的には次のような役割が期待されます。

【リスクマネジメント実務者の役割】

●Plan

  • 経営層のリスクマネジメント活動に対する方針の確認
  • リスクマネジメント方針・規程・要領の起案
  • リスクマネジメントの年間活動目標(解決したい課題)の決定
  • リスクマネジメント年間運用計画の策定
  • リスクマネジメント手法(リスクアセスメント・リスク対応・モニタリング等)の策定
  • リスクマネジメントや手法に関する役職者や社員への教育・研修プログラムの策定

●Do

  • リスクマネジメント委員会の運営
  • リスクマネジメント教育・研修プログラムに基づく教育・研修の実施
  • 各部門・部署・グループ会社におけるリスクマネジメント手法の実施サポート
  • リスクに関する情報の集計・分析・評価
  • 重大リスク(全社で積極管理することが望ましいリスク)候補の選定
  • リスクや重大リスクの対応計画策定の支援
  • リスクや重大リスクの対応状況のモニタリング
  • リスクや重大リスクの対応結果のとりまとめと関係者(経営層、リスク主管部署、内部監査室、リスクマネジメント委員会やIRチーム等)への報告・共有

●Check&Act

  • 内部監査での指摘事項や各種インシデント情報の収集・分析
  • リスクマネジメントに関する課題や懸念事項に関する関係者(リスク主管部署、内部監査室、リスクマネジメント委員会やIRチーム等)からのヒアリング
  • リスクマネジメント活動・意識・力量・仕組み・手法の課題特定と改善

もう一つは、部門や部署内のリスクマネジメントの実務を担う人(以後、リスクマネージャーと呼びます)を指します。一般的には以下のような役割を担います

【リスクマネージャーの役割】
  • 部門・部署長のリスクマネジメント活動に対する方針の確認
  • 部門・部署内のリスクマネジメント実施または実施の支援
  • 部門・部署内のリスクマネジメント実施結果の調整・レビュー・とりまとめ
  • 部門・部署内のリスクマネジメント実施結果の部門・部署長・リスクマネジメント事務局への報告
  • リスク対応のモニタリング、部門・部署長・リスクマネジメント事務局への報告
  • 部門・部署内のリスクマネジメント活動に関する課題の吸い上げと部門・部署長・リスクマネジメント事務局への報告

リスクマネジメント事務局やリスクマネージャーの呼称も役割も、組織によって異なることがあるにせよ、上記内容からそれほど外れたものではないと思います。

リスクマネジメント実務者に必要なスキルとは

※クリックすると拡大します

では、こうしたリスクマネジメント実務者に必要なスキルは何でしょうか。リスクマネジメント事務局やリスクマネージャーの役割に求められるスキルテーマは基本的に似ています。

両者の違いは、前社が全社目線であるのに対し、後者が自部門・部署目線である点です。それゆえリスクマネジメント事務局は、同様のテーマであっても、より幅広く深い知識が求められることになります。求められるスキルを、初級者・中級者・上級者の3つのランクに分けて考えた場合、次のように整理することができます。

なお、初級者に求められるスキルが実務者1~2年目、中級者に求められるスキルが実務者2~3年目、上級者に求められるスキルが実務者3~5年目となるイメージで考えていただければと思います。
 

リスクマネジメントスキルの身につけ方

先述した「実務者に必要なスキル」の身につけ方や順番について解説します。

まずは、「リスクマネジメント知識」についてです。初心者は社内のリスクマネジメント活動を理解するよりも前に、リスクマネジメントに関する一般的な基礎知識を早急に身につけることが最重要課題です。そのために社内に教育プログラムがあるのであればそちらの受講を、そうでなければ外部研修を受講したり、書籍や小冊子、各種公開情報をお読みになることを強くおすすめします。なお、書籍については様々な本が出版されておりますが、当社でも「世界一わかりやすいリスクマネジメント」を出版しております。こちらは初級・中級者向けになっており、リスクマネジメント実務者になったばかりの方や、実務を数年経験しているものの体系的に学び直したいといった方向けの本です。合わせて、弊社が提供している各種小冊子(無料)も、10~30ページ程度で、リスクマネジメントの勘所をまとめております。さらに、様々なリスクマネジメント研修を提供しております。下記テーブルをご参照ください。
 

次に、「自組織のルールや取り組みの現状」についてです。初級者は、自社の社内規程や手順書を確認することが必要です。(名称は組織によって異なりますが)具体的には、例えば次のようなものが該当します。

  • リスクマネジメントをはじめとする各種方針
  • 内部統制構築方針・管理規程
  • コンプライアンス規程
  • リスクマネジメント規程・細則・要領・手順書
  • インシデントマネジメント規程・要領・手順書

中級者・上級者においては、単にリスクマネジメントを社内の規定どおりに実施するだけではなく、リスクマネジメントの取り組みの継続的な改善を図ることが求められます。そのためには世の中のあるべき姿を示したフレームワークや他社事例などに関する知識を深めることが必要です。
 

リスクマネジメントの資格

リスクマネジメントスキルを効果的・効率的に身につける手段の一つとして、資格取得という道もあります。世界的に見てもリスクマネジメントの国際資格はあまり多くはありませんが、その中でも、おすすめできる資格をいくつかご紹介しておきます。

一つにはCRISC(Certified in Risk and Information Systems Control)という資格があります。これは、ISACAが提供する組織におけるリスクマネジメント(リスク認識・評価)や情報システムコントロールの設計・導入・運用に携わる国際的なプロフェッショナル資格です。リスクマネジメント、内部統制、ビジネス分析に加え、コンプライアンスやITリスクについて精通することができます。

この他、内部監査人協会(IIA)が提供する内部統制評価指導士(CCSA)という資格があります。これは業務プロセスの評価・分析、改善提案、内部統制の構築・整備および評価業務への助言、リスクマネジメントに関する指導を行うプロフェッショナル資格です。なお、試験合格後にCCSAとして認定されるためには、1年以上のコントロールに関連する実務経験(CSA、監査、品質保証、リスク・マネジメント、環境監査)が必要です。

終わりに

リスクマネジメントはうまく使えば組織にとって有効な武器になりますが、下手に使えば組織の足を引っ張る活動になります。残念ながら、企業におけるリスクマネジメントの取り組みの多くが形式的なものになっています。これを変えていくには、トップマネジメントの覚悟とリスクマネジメント実務者のスキルが必要不可欠です。


リスクマネジメント実務者のスキル習得に関する課題解決にあたっては、ぜひとも本稿を参考にして、必要なスキル習得プログラムを策定・実施いただければと思います。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる