リスクマネジメント
掲載:2014年10月27日
改訂:2024年01月16日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
用語集
リスクマネジメントは特別な活動ではなく、多くの人や組織が暗黙知でやっていることです。例えばあなたが1週間のアメリカ旅行に行くとします。その際、どのような準備をしますか。私なら、パスポートの有効期限をチェックするとともに、特別なビザや申請が必要かどうかを調べます。また、万が一に備えて旅行保険に入ります。日本にいる時と同じ感覚で携帯電話やインターネットが使えないと困るので、通信手段を考えます。これらは全てリスクを考えた結果からくるものです。
目次
そもそも渡航当日にパスポートの有効期限が切れていることに気づいたら悲惨ですし、10時間近くかけて飛んだ末に申請不足で入国拒否となったらもう目も当てられません。突然、病気になって入院するなどしたら法外な費用が発生する可能性もあります。
このように個人の活動であれば、場当たり的なリスク対応でも問題ありませんが、組織でとなるとそうもいきません。場当たり的な対応では、リスクに対する意識も知識も異なり、人によってリスクの認識漏れ、考慮漏れ、対応漏れが出る可能性があります。つまり、暗黙知のリスク対応は極めて非効率なのです。こうなっては投資家に対する説明責任も果たすことができません。
だからこそのリスクマネジメントなのです。リスクマネジメントはこうした意識や知識のずれを調整し、組織が効果的・効率的にリスクをコントロールすることを通じて目的・目標達成を果たすための手段なのです。そして、組織において有効なリスクマネジメントを実現するためには、知識や技術が必要です。それを知りたい方は、ぜひ一度、本稿をお読みください。
リスクマネジメントとは
リスクマネジメントは、組織の目的・目標達成の促進を狙いとして、リスクを効果的・効率的に管理する活動です。国際規格(※1)では次のように定義されています。
「リスクについて、組織を指揮統制するための調整された活動」
※1 ISOガイド73:2009, 定義2.1より
この定義からリスクマネジメントについておさえるべき特徴が3つあることが分かります。
リスクマネジメントの定義
- 1.リスクマネジメントの実行範囲(もしくは単位)には様々なケースが想定される
- 定義にある「組織」は、企業やグループ全体を指す場合もあれば、企業の中に設けられる部門、委員会、課、チームなど様々な単位を指しているからです。したがって例えば、情報セキュリティ管理体制を設けて行う情報セキュリティ管理活動も一種のリスクマネジメントですし、財務部門が行う資金管理も一種のリスクマネジメントである、ということができます。ちなみに、企業やグループ企業全体でのリスクマネジメントを指して、特にERM(全社的リスクマネジメント)と呼びます。
- 2.意識や組織の壁を超えたコミュニケーションを図るための仕組み・活動である
- リスクは組織の都合に合わせて、部門ごとに綺麗に分けて管理できるとは限りません。部門にまたがって影響を与えるリスクもあります。またリスクをどこまで取るのか・取らないのかは、人によって意識のズレが出やすいものです。こうした組織の内外に存在するコミュニケーションの壁や意識のズレを克服するための活動が「調整された活動」であり、リスクマネジメントです。
- 3.リスクの発生を抑えることだけがリスクマネジメントではない
- 「指揮統制するための」という表現から分かるように、リスクマネジメントには(リスクを未然に防ぐ活動に重点をおかれることが多いのは事実ですが)、リスクが顕在化し実際に被害が発生したとしてもそれを抑える指揮統制活動も含まれています。したがって、広義の意味ではリスクマネジメントの活動の中には(とりわけ事件・事故発生後の対応にフォーカスしているといわれる)BCPも含まれているという、捉え方もできます。
以上3点を踏まえて、改めてかみ砕いた表現で定義しなおしますと、リスクマネジメントとは、組織のあらゆる階層・単位で行われる活動であり、意識や組織の壁を超えたコミュニケーションを促進し、組織の目的・目標に与えうる影響を、いち早く察知し対応し、影響が出た場合もその管理に努めるための一連の体系化された活動である、と言えるでしょう。
リスクマネジメントで企業が管理するリスクとは
リスクを分類するには
リスクマネジメントが管理対象とするこうしたリスクは、正確には「目的に対する不確かさの影響 」(※2)と定義されますが、様々な切り口で分類することができます。例えば「不確かさ(不確実性)」の性質で分類するとしましょう。性質とは、目的達成のいわゆる追い風になるのか、向かい風になるのかと言う切り口を意味します。なお、追い風のことを一般的にはポジティブリスクや「機会」と表現します。また、向かい風のことをネガティブリスクやシンプルにリスクという言葉で表現します。
※2 Guide73リスクマネジメント-用語、1.1 リスクより
「純粋リスク」と「投機的リスク」とは
また、「純粋リスク」や「投機的リスク」という捉え方もあります。純粋リスクは、イコール、ネガティブリスクです。火災や天災のように、追い風になる性質を持たず、発生すれば損失のみをもたらすことが明らかなリスクです。一方で、投機的リスクはネガティブリスクとポジティブリスクの両方の性質を持つもののことです。ビジネス上の意思決定に伴うリスクで、新しい市場への進出や新製品の開発のように、損失だけでなく利益につながる可能性も含みます。これは株式投資に似ており、リスクを取ることで高いリターンを得るチャンスがありますが、失敗すれば損失を被る可能性があります。企業はこれらのリスクを理解し、適切に管理することで、企業価値の維持や向上を目指すことになります。
リスクマネジメントの重要性
1.事業目的や目標達成の確度向上
リスクマネジメントの意義の1つは事業目的や目標達成の確度向上を支援してくれることにあります。「不確実性」をいち早く認識し、その影響の大きさを合理的に算定・評価し、限られた経営資源を適切に配分することを支援してくれます。
2.ステークホルダーの意識合わせ
2つ目の意義は、意識合わせにあります。そもそも何をリスクと捉えるのか、そのリスクは受け入れ可能なリスクかそうでないリスクなのか、と言ったことは人や組織によって異なることが少なくありません。それは組織内部の人間にとってだけでなく、組織外部、例えば投資家との間にも当てはまる話です。それら前提条件がずれたまま、場当たり的なリスク対応をしていると「そんなはずではなかった」「もっとあの時、対応しておくべきことだった」と言った責任問題や様々なトラブルにつながりかねません。そうした意識のズレをなくすためのコミュニケーションを促進する効能がリスクマネジメントにはあるのです。
3.リーダーの意思決定を促進
3つ目の意義は、組織のリーダーの仕事である「意思決定」を促進してくれることにあります。人や組織は意思決定をする際には、みな、リスクを勘案しています。例えば、新しい取引先と契約を締結する際には、その契約から得られるリターンだけでなく、その取引先と契約することによって抱えることになるリスクを考えます。これが個人の意思決定であれば直感的な検討でも問題ないかもしれませんが、組織にとっての重要な意思決定となると、容易いことではありません。普段からのリスクマネジメントの取り組みがあってこその速やかな意思決定につながります。
リスクマネジメントにおける活動とは
では具体的に、リスクマネジメントにはどんな活動があるでしょうか。リスクマネジメントの活動は、大きく次の3つに分けることができます。
- リスクアセスメント(リスクの特定と分析、評価)
- リスク対応(リスク対策の立案と実施)
- 上記を実施するための方針や運営・モニタリング・見直し体制の導入と実行
リスクアセスメントは、組織が持つ様々なリスクに対し、対応の必要性や優先性を検討するための分析手法です。リスク対応では、リスクアセスメントを通じて得た判断材料を基に、リスクそれぞれに対してどのような対応をするか、組織としての意思決定を行います。この2つの活動を合わせてリスクマネジメントと呼ぶこともあります。
しかしながら、厳密には、上記3点目に挙げましたように、この2つの活動を遂行するための土台……すなわち、リスクマネジメント方針や運営・モニタリング・見直し体制の導入と実行も含めて、はじめて成り立つものです。なお、リスクマネジメント方針とは、一言で言えば、何のためにどこまでの範囲に対してどの程度のリスクマネジメントを実行するのかを指し示すものです。運営・モニタリング・見直し体制とは、リスクアセスメントやリスク対応を、誰が、いつ、どのように実行し、またその進捗を誰がいつ確認し、その結果を誰がいつ見直しにつなげるのか、のことです。
リスクマネジメントに関わる基準・ガイドライン
リスクマネジメントにも規格があります。
特定のテーマに対するリスクマネジメントという観点では、例えば情報セキュリティに関するリスクマネジメントであればISO27001、品質に関するリスクマネジメントであればISO9001、労働安全衛生に関するリスクマネジメントであればISO45001などが挙げられます。
テーマや対象範囲を選ばないリスクマネジメントという観点では、ISO31000が代表的です。ISO31000は、どの企業も絶対に守らなければいけないことを書いた基準ではなく、可能であれば実行することが望ましいことを書いた指針です。また、規格ではなくフレームワークを提案した文書として、いわゆるJ-SOXで注目された内部統制フレームワーク(COSOモデル)をベースにしたCOSO-ERMも、良く知られるところです。
ISO27001(情報セキュリティに関するリスクマネジメント)
ISO27001は、情報セキュリティマネジメントシステム(Information Security Management System: ISMS)の国際規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で発行し、情報セキュリティのベストプラクティスが集約されたもので、様々な業種・業態で広く活用されています。
ISO9001(品質に関するリスクマネジメント)
ISO9001は、品質マネジメントシステム(QMS)の国際規格で、組織が一貫した品質を提供し続けることを目的としています。この規格は、製品やサービスの品質向上と顧客満足度の高い維持を重視しており、リスクベースの考え方を取り入れています。企業は潜在的な問題を事前に特定し、予防措置を講じることで、品質の低下を防ぎ、顧客ニーズへの対応力を高めることが求められます。ISO9001に準拠することで、企業は国際的な品質基準を満たし、信頼性と競争力を高めることができます。
ISO45001(労働安全衛生に関するリスクマネジメント)
ISO45001は、労働安全衛生マネジメントシステム(OHSMS ※3)の国際規格で、職場における安全と健康を確保するためのフレームワークを提供します。この規格は、職場のリスクを評価し、事故や健康被害を防ぐための予防策を策定することに重点を置いています。組織は、危険な作業環境を特定し、労働者の安全を守るための実践的な措置を講じる必要があります。ISO45001を導入することで、企業は労働安全衛生のリスクを管理し、職場環境の改善に努めることができます。これにより、従業員の安全と健康を守り、同時に法的要求事項の遵守にも寄与します。
※3 Occupational health and safety management systemsの略称
ISO31000(テーマや対象範囲を選ばないリスクマネジメント)
ISO31000は、リスクマネジメント手法のガイドラインです。リスクマネジメント規格のCOSO-ERMが事業体全体としてのリスク管理を目的としているのに対し、ISO31000は組織体のどのレベル・規模であっても適用可能な「リスクマネジメントの考え方」を示しています。ISO31000はより簡易化され、その他のマネジメントシステム(QMS,EMS,ISMSなど)との整合性を意識した作りになっている意味においても有用です。
COSO-ERM(内部統制フレームワーク)
COSO-ERMは、米国組織COSO(トレッドウェイ委員会組織委員会)により発行されたERMのフレームワークです。当該フレームワークを解説したガイドラインであるEnterprise Risk Management – Integrated Framework(全社的リスクマネジメント-統合フレームワーク)自体を指して、COSO-ERMと呼ぶこともあります。なお、ERMとは、全社的リスクマネジメント(全社的リスク管理)のことであり、経営・事業目的達成を促進することを狙いとして導入・運用する経営ツールです。全社最適・継続的改善に力点をおいた組織全体におけるリスク管理の仕組みとも言えます。
その他 関連用語との違い
リスクマネジメントとリスクヘッジの違い
リスクマネジメントは、組織が掲げる目的や方針に基づき、企業や組織が直面するリスクを特定、評価、管理し、効果的・効率的にコントロールするプロセスです。一方、リスクヘッジは、リスクマネジメントの一部であり、重大なリスクを軽減または回避するための具体的な手段を指します。ヘッジ自体が、防護壁や保険という意味を持つことから「万が一のための保険」と言い換えることもできます。例えば、通貨や商品の価格変動リスクをヘッジするために先物契約を利用することが挙げられます。
リスクマネジメントはリスクをコントロールするための広範なアプローチを指し、リスクヘッジは特定のリスク対応手段の1つです。
リスクマネジメントとクライシスマネジメントの違い
リスクマネジメントは、リスクを事前に特定し、対策を立てるプロセスです。例えば、製造業で機械の故障や生産遅延のリスクを評価し、定期的なメンテナンス計画を立てることがこれに当たります。一方、クライシスマネジメントは、突発的な危機や緊急事態に対応する管理手法です。例として、工場での大規模な火災が発生した際に、迅速に対処し、被害を最小限に抑える行動が挙げられます。
リスクマネジメントは予測と予防に焦点を当てたものであり、クライシスマネジメントは実際に発生した危機への対応に重点を置いています。あらゆる事象を未然防止できることが理想ではありますが、常にそうなるとは限りません。したがって、組織としてはリスクマネジメントとクライシスマネジメントの両輪の活動が必要不可欠なのです。ちなみに、広い意味では、クライシスマネジメントをも包含してリスクマネジメントと呼ぶこともあります。