リスクマネジメント実務者が身につけておきたいスキルと資格

掲載：2020年02月03日

改訂：2023年12月21日

執筆者：取締役副社長兼プリンシパルコンサルタント　勝俣良介

改訂者：取締役副社長兼プリンシパルコンサルタント　勝俣良介

コラム

リスクマネジメントとひと言で言っても、考えなければならないことがたくさんあります。例えばリスクの種類。品質リスクもあれば、情報セキュリティリスク、コンプライアンスリスクもあります。数年前には空気リスク（※1）などといった言葉も登場しましたが、ここ数年は特に人権リスクやサイバーセキュリティリスクが注目されています。また、リスクマネジメントと併せて使われる用語も溢れています。コーポレートガバナンスや危機管理、内部統制、BCP、CSRなど、これらは一緒なのか、異なるのか、どう関係しているのか、ひと目見ただけではわかりません。専門書に頼ろうにもたくさんの書籍があり、難しいものばかりです。

つまり、リスクマネジメントの世界は、何から手を付ければいいかわからないのです。そこで、本コラムでは、リスクマネジメント実務者にはどのようなスキルが必要か、何から学べばいいのか、どのようにすればスキルを身につけることができるのか、について解説していきたいと思います。

※1 空中を漂うPM2.5などといった大気汚染物質、花粉やハウスダストなどのアレルギー物質、気象条件などに関わるリスク

リスクマネジメント実務者に求められる仕事とは

そもそも、リスクマネジメント実務者とはどのような役割でしょうか。ここでは2種類の役割を想定しています。
一つは会社全体のリスクマネジメント活動を支える事務局員（以後、リスクマネジメント事務局と呼びます）としての役割です。社長や最高リスク管理責任者（CRO）など経営陣のリスクマネジメントに対する想いを汲みながら、その想いを反映した仕組みを全社に浸透させ、活動を推進するサポートを行います。具体的には次のような役割が期待されます。

【リスクマネジメント事務局の役割】

Plan
- 経営層のリスクマネジメント活動に対する方針の確認
- リスクマネジメント方針・規程・要領の起案
- リスクマネジメントの年間活動目標（解決したい課題）の決定
- リスクマネジメント年間運用計画の策定
- リスクマネジメント手法（リスクアセスメント・リスク対応・モニタリング等）の策定
- リスクマネジメントや手法に関する役職者や社員への教育・研修プログラムの策定
Do
- リスクマネジメント委員会の運営
- リスクマネジメント教育・研修プログラムに基づく教育・研修の実施
- 各部門・部署・グループ会社におけるリスクマネジメント手法の実施サポート
- リスクに関する情報の集計・分析・評価
- 重大リスク（全社で積極管理することが望ましいリスク）候補の選定
- リスクや重大リスクの対応計画策定の支援
- リスクや重大リスクの対応状況のモニタリング
- リスクや重大リスクの対応結果のとりまとめと関係者（経営層、リスク主管部署、内部監査室、リスクマネジメント委員会やIRチーム等）への報告・共有
Check&Act
- 内部監査での指摘事項や各種インシデント情報の収集・分析
- リスクマネジメントに関する課題や懸念事項に関する関係者（リスク主管部署、内部監査室、リスクマネジメント委員会やIRチーム等）からのヒアリング
- リスクマネジメント活動・意識・力量・仕組み・手法の課題特定と改善

もう一つは、部門や部署内のリスクマネジメントの実務を担う人（以後、リスクマネージャーと呼びます）を指します。一般的には以下のような役割を担います。

【リスクマネージャーの役割】

部門・部署長のリスクマネジメント活動に対する方針の確認
部門・部署内のリスクマネジメント実施または実施の支援
部門・部署内のリスクマネジメント実施結果の調整・レビュー・とりまとめ
部門・部署内のリスクマネジメント実施結果の部門・部署長・リスクマネジメント事務局への報告
リスク対応のモニタリング、部門・部署長・リスクマネジメント事務局への報告
部門・部署内のリスクマネジメント活動に関する課題の吸い上げと部門・部署長・リスクマネジメント事務局への報告

リスクマネジメント事務局やリスクマネージャーの呼称も役割も、組織によって異なることがあるにせよ、上記内容からそれほど外れたものではないと思います。

リスクマネジメント実務者に必要なスキルとは

【表1：リスクマネジメント実務者に必要なスキル】

ランク：初級者
必要な力量の種類		リスクマネジメント事務局	リスクマネージャー
リスクマネジメント知識	リスクマネジメント関連用語	リスク、リスクマネジメント (リスクアセスメント【リスク特定・分析・評価】・対応・モニタリング)、リスク基準、BCP、インシデント、インシデントマネジメント、危機、リスク分類（戦略リスク、財務リスク、オペレーショナルリスク【人的、システム、情報、コンプライアンス、業務】、外的要因リスク）など
	リスクマネジメントの意義	法的根拠などを踏まえたリスクマネジメントが必要である理由
	リスクマネジメントのトレンド	リスクマネジメントの成功・失敗する要因（概略のみ）
自組織のルールや取り組みなど	リスクマネジメントの取り組み	自組織のリスクマネジメント方針（組織の体制、部門や部署の役割・責任、実務者の役割・責任）
		自組織のリスク分類方法
		これまでのリスクアセスメントシート、リスク対応計画書	これまでのリスクマネジメント実施結果報告書、リスクアセスメントシート、リスク対応計画書
	リスクマネジメントと関連性が高い取り組み	インシデント対応ルール

ランク：中級者
必要な力量の種類		リスクマネジメント事務局	リスクマネージャー
リスクマネジメント知識	リスクマネジメント関連用語	全社的リスクマネジメント（ERM）、BCP、危機管理、CSR、コーポレートガバナンス、会社法内部統制、J-SOX、リスク選好、固有・残留リスク、有効性評価など
	リスクマネジメントテクニック	リスク洗い出しや分析・評価・対応の基本的なテクニック
	リスクマネジメントのフレームワーク	ISO31000、COSO-ERM、 ISOマネジメントシステムの概要 ISO31000の要求事項解釈
	リスクマネジメントのトレンド	リスクマネジメントの成功・失敗する要因（リスク感度やリスクアセスメント、リスク対応の精度に関するところまで）
	リスクマネジメントのトレンド	他社事例
自組織のルールや取り組みなど	自社のビジネス	自社の組織体制、事業内容、ステークホルダーニーズ	部門・部署の組織体制、事業業務内容、ステークホルダーニーズ
	自社のビジネス	自社の年間の主な活動（事業、部門計画策定や予算取りの時期など）	自部門/部署の年間の主な活動（事業、部門計画策定や予算取りの時期など）
	リスクマネジメントに対するトップの想い	経営の考え、会社を揺るがす事態・重大リスク	自部門/部署長の考え、部門・部署を揺るがす事態・重大リスク
	リスクマネジメントの取り組み	ISOマネジメントシステム（採用している場合）
		リスクコミュニケーションルール（どのようなリスクをどのタイミングで誰にどうやって報告するのか、など）
		自社のリスクマネジメントの取り組みに関する課題	自部門/部署のリスクマネジメントの取り組みに関する課題
	リスクマネジメントと関連性が高い取り組み	全社の過去のインシデント	自部門/部署の過去のインシデント
	リスクマネジメントと関連性が高い取り組み	自社のBCP・危機管理ルール	自部門/部署のBCP・危機管理ルール

ランク：上級者
必要な力量の種類		リスクマネジメント事務局	リスクマネージャー
リスクマネジメント知識	リスクマネジメント関連用語	ESG、SDGs、TCFD、サステナビリティ、CSA、予兆指標（KRI）、リスクキャパシティ、スリーラインモデル/スリーラインディフェンス、エマージングリスク	予兆指標（KRI）
	リスクマネジメントの取り組み	社外へのリスク情報の開示ルール
	リスクマネジメントテクニック	リスク種別、目的に応じたリスク洗い出しや分析・評価・対応に関するテクニック
		ポジティブリスクアセスメントのテクニック
		組織のリスクマネジメントに関する課題の吸い上げ方やマネジメントへの報告テクニック
	リスクマネジメントのフレームワーク	ISO31000の本格的な活用、COSO-ERM、ISOマネジメントシステムの詳細、リスクアペタイトフレームワークの概要	ISO31000、 COSO-ERM、 ISOマネジメントシステムの概要
	リスクマネジメントのトレンド	情報セキュリティやコンプライアンス、災害など典型的なリスクに対する対策のベストプラクティス
		リスクマネジメントの取り組みを盛り上げるテクニック
		他社事例
		自組織のリスクマネジメント活動に影響を与える法規制
自組織のルールや取り組みなど	自組織の課題	インシデントマネジメント上の課題
自組織のルールや取り組みなど	自組織の課題	自社の課題	自部門/部署の課題

では、リスクマネジメント事務局やリスクマネージャーに求められるスキルはどのようなものでしょうか。リスクマネジメントの関連用語やフレームワークなどの知識、導入の手法などは両者に共通しています。
一方、両者には視座の違いがあります。具体的には、前者が全社目線であるのに対し、後者は自部門・部署目線である点です。それゆえリスクマネジメント事務局は、同様のテーマであっても、より幅広く深い知識が求められることになります。求められるスキルを、初級者・中級者・上級者の3つのランクに分けて考えた場合、表1「リスクマネジメント実務者に必要なスキル」のように整理することができます。なお、初級者に求められるスキルが実務者1～2年目、中級者に求められるスキルが実務者2～3年目、上級者に求められるスキルが実務者3～5年目となるイメージで考えていただければと思います。

リスクマネジメントスキルの身につけ方

表1は、実務者に求められるリスクマネジメント知識と自組織のルールや取り組みなど実務者が把握しておく必要がある事項を整理したものです。順を追って解説します。
まずは、「リスクマネジメント知識」についてです。初心者は社内のリスクマネジメント活動を理解するよりも前に、リスクマネジメントに関する一般的な基礎知識を早急に身につけることが最重要課題です。そのために社内に教育プログラムがあるのであればそちらの受講を、そうでなければ外部研修を受講したり、書籍や小冊子、各種公開情報をお読みになったりすることを強くおすすめします。なお、書籍については様々な本が出版されておりますが、当社監修の拙著『世界一わかりやすいリスクマネジメント集中講座』勝俣良介（オーム社、2017年11月発行）もあります。こちらは初級・中級者向けになっており、リスクマネジメント実務者になったばかりの方や、実務を数年経験しているものの体系的に学び直したいといった方に適しています。
また、かねてからリスクマネジメントの成否はリーダーにかかっていると実感しているため、リーダーの役割に焦点を当てた『なぜリスクマネジメントは組織を救うのかリーダーのための実践ガイド』勝俣良介（ダイヤモンド社、2022年7月発行）を上梓しました。リスクマネジメントをリーダーに必要不可欠なビジネススキルとして解説した、リーダー必携の一冊を目指した本です。ほかにも、弊社がウェブサイトで提供している小冊子（無料）はどれも10～30ページ程度で、リスクマネジメントの勘所をまとめております。さらに学びたい方向けにリスクマネジメント研修サービス（ニュートン・アカデミー・プラス）を提供しております。詳細は文末の表2「リスクマネジメント実務者のレベルに合わせてお勧めするスキルアップ手段」をご参照ください。

次に、自組織のルールや取り組みなど実務者が把握しておく必要がある事項についてです。初級者はまずもって、自社の社内規程や手順書を確認することが必要です。（名称は組織によって異なりますが）具体的には、例えば次のようなものが該当します。

リスクマネジメントをはじめとする各種方針
内部統制構築方針・管理規程
コンプライアンス規程
リスクマネジメント規程・細則・要領・手順書
インシデントマネジメント規程・要領・手順書

中級者・上級者においては、単にリスクマネジメントを社内の規定どおりに実施するだけではなく、リスクマネジメントの取り組みの継続的な改善を図ることが求められます。そのためには世の中のあるべき姿を示したフレームワークや他社事例などに関する知識を深めることが必要です。

リスクマネジメントの資格

リスクマネジメントスキルを効果的・効率的に身につける手段の一つとして、資格取得という道もあります。世界的に見てもリスクマネジメントの国際資格はあまり多くはありませんが、その中でも、おすすめできる資格をいくつかご紹介しておきます。
一つにはCRISC（Certified in Risk and Information Systems Control）という資格があります。これは、ISACA（情報システムコントロール協会）が認定するもので、組織におけるリスクマネジメント（リスク認識・評価）や情報システムコントロールの設計・導入・運用に携わる国際的なプロフェッショナル資格です。リスクマネジメント、内部統制、ビジネス分析に加え、コンプライアンスやITリスクについて精通することが求められます。
この他、IIA（日本内部監査協会）が認定する公認リスク管理監査人（CRMA）という資格があります。これは業務プロセスの評価・分析、改善提案、内部統制の構築・整備および評価業務への助言、リスクマネジメントに関する指導を行うプロフェッショナル資格です。なお、試験合格後に CRMAとして認定されるためには、5年以上の内部監査またはリスクマネジメントの経験が必要です。

終わりに

リスクマネジメントはうまく使えば組織にとって有効な武器になりますが、下手に使えば組織の足を引っ張る活動になります。残念ながら、企業におけるリスクマネジメントの取り組みの多くが形式的なものになっています。これを変えていくには、トップマネジメントの覚悟とリスクマネジメント実務者のスキルが必要不可欠です。

リスクマネジメント実務者のスキル習得に関する課題解決にあたっては、ぜひとも本稿を参考にして、必要なスキル習得プログラムを策定・実施いただければと思います。

【表2：リスクマネジメント実務者のレベルに合わせてお勧めするスキルアップ手段】
種別	小冊子／書籍／研修	初級者	中級者	上級者
小冊子	絵でわかるシリーズ「ERM」　リスクマネジメント「超」基礎講座１時間目	●
	絵でわかるシリーズ「ERM」　リスクマネジメント「超」基礎講座２時間目　企業編	●
	絵でわかるシリーズ「ERM」　リスクマネジメント「超」基礎講座３時間目　ERMの正体		●
	リスクマネジメント基礎の基礎	●
	３０分で分かるリスクマネジメント（ERM）	●	●
	企業の不祥事は、何故起こるのか		●	●
	ERMのフレームワーク			●
	５ステップでつくるBCP		●
	グローバルBCP構築の極意			●
	IT-BCP虎の巻（１）（２）（３）（４）			●
	アニュアルリスクレポート2023		●	●
	形骸化しないBCP策定のために－真に実効性あるプロジェクト推進の方法論－	●	●
	クラウドサービスを全社的にリスクマネジメントする方法－COSO-ERM for Cloud Computing徹底解説－		●	●
	ERMにおけるESGリスクへの取り組み方― COSO-ESGガイドラインの活用 ―		●	●
	全社的リスクマネジメント(ERM)の実践－第1部：ERMの基本－		●	●
	全社的リスクマネジメント(ERM)の実践－第2部：ERM構築の基本－		●	●
	ISO31000入門－ISO31000の全貌とその読み解き方・活用方法を教えます―	●	●
	BCP訓練・演習手法ガイド	●
	ISOマネジメントシステム改善のススメ－経営と現場に役立つISOへ―		●
	事業継続規格ISO22301認証取得に重要な10のポイント		●
	暴露型ランサムウェアの傾向と対策～チェックシートの利用ガイド～　暴露型ランサムウェア対応チェックシート	●	●
	「標的型メール」の傾向と実践訓練ガイド　～巧妙な罠から組織を守れ～	●	●
	経営を進化させるITガバナンスのご案内		●
書籍・ガイドライン	『世界一わかりやすいリスクマネジメント集中講座』勝俣良介（オーム社、2017年11月発行）	●	●
書籍・ガイドライン	『なぜリスクマネジメントは組織を救うのかリーダーのための実践ガイド』勝俣良介（ダイヤモンド社、2022年7月発行）		●	●
研修	ニュートン・アカデミー・プラス（NCA＋）集合研修/対面講座/eラーニング経営の推進力を高めるリスクマネジメント力を正しく身に付けていただくことを目的とした研修講座	●	●	●

リスク管理Naviリスクマネジメントの情報サイト