リスク・マネジメントとは
会社は、なぜリスク・マネジメントを行う必要があるのでしょうか。リスク・マネジメントの意味、危機管理との違いについて解説します。
リスク・マネジメントの意味
リスク・マネジメントとは、リスクを組織的に管理し、組織に与える損失を抑える管理手法のこと。会社にとって、リスクを管理し、損失を最小限に抑えることは従来から行われてきました。しかし、会社が従来想定してきたリスクだけでは対応できなくなるほど、新たなリスクが出現しています。
例えば情報漏洩です。個人情報を漏洩させた会社は、顧客に対して莫大な損害賠償を引き受けることになります。また、社員の法令違反により会社のブランドイメージが毀損し、受注減によって業績悪化に繋がることもありますよね。ですから、新たなリスクに対応するためにもリスク・マネジメントはますます重要性を増してきているのです。
将来のリスクを未然に防ぐためのマネジメント
リスク・マネジメントは、既に起こった事象に対するマネジメントではありません。これから起こり得る将来のリスクを未然に防ぐためのマネジメントです。
リスク・マネジメントでいうリスクについて、ハンバーガーショップA社の事例を用いますのでイメージを膨らませてみて下さい。
ハンバーガーに異物を混入させてしまったA社というハンバーガーショップがありました。気付いた消費者が異物混入の状態を写真に撮り、それをSNSで挙げました。さらに、それを見た他の第三者が情報を拡散したことで、多くの人が異物混入の実態を見ました。情報の拡散をメディアが報じ、さらに多くの人が異物混入の実態を知ることとなります。
SNSやメディアでの報道を通じ、消費者はA社に対してどのように感じるでしょうか?「A社=異物混入をする会社」というイメージが付いて回るでしょう。ハンバーガーショップに行く若者や子ども連れの母親などは、A社の店には行かなくなります。ブランド価値が下がり、業績は落ち込んでしまいますよね。
飲食店を経営する会社では、異物混入は将来起こり得るリスクです。ひとたび異物混入が発生すれば、SNSによる投稿であっという間に多くの消費者に伝わります。将来のリスクを未然に防止するリスク・マネジメントが必要だということがご理解頂けると思います。
危機管理との違い
リスク・マネジメントと類似の用語に危機管理もあります。危機管理はクライシス・マネジメントともいいますが、両者はどのように違うのでしょうか。以下をご覧下さい。
【危機管理】危機が発生した後に損害を最小限に抑えること
リスク・マネジメントは将来起こり得るリスクを管理し損失を最小限に抑えることなので、危機はまだ起こっていません。つまり、危機の発生を抑え、あるいは危機が発生した後の損失をいかに抑え込めるかがリスク・マネジメントでは問われます。一方で、危機管理は既に起こった危機に対するマネジメントであるという違いがあります。
リスク・マネジメントのリスクについて
リスク・マネジメントにおけるリスクについて詳しく解説します。
リスクの意味、種類
リスク・マネジメントでいうリスクは、組織に対して将来起こり得る不確実性という意味です。
リスクには2つの種類があります。1つ目はマイナスの影響を及ぼすリスクです。将来起こり得る不確実性が組織に対してマイナスの影響しか及ぼさないリスクをいいます。震災や台風などの自然災害、異物混入や加工不良などの人為的ミスはマイナスの影響を及ぼすリスクです。
リスクは全てマイナスではありません。マイナスとプラスの両面があるリスクもあります。法改正や事業環境、テクノロジーの変化は、変化に対応できないことにより会社の利益を損なう可能性があるという点でマイナスのリスクです。
一方で、変化に対応する能力を身に付ければ、リスクにもプラスの側面があることが分かります。例えば、2020年初頭から発生した新型コロナウイルスの蔓延により、テレワークが当たり前のようになった会社もあります。そこで困るのが人事評価で、部下の日常の働きぶりを評価してきた会社では何の対策も講じなければ、人事評価が機能不全に陥ります。
しかし、会社が人事制度の改定に着手し、テレワークに対応する人事評価に改革できたとしたらどうでしょう。部下の日常の働きぶりではなく、部下の成果によって評価する組織ができあがります。リスクをプラスに変えて、組織力を向上させることができる訳ですね。
リスク・マネジメントの正しいプロセスを理解しよう
リスク・マネジメントにはプロセスがあります。5つのプロセスを紹介しますので、リスク・マネジメントの流れを理解していって下さい。
1.特定
リスク・マネジメントを行うには、将来起こり得る不確実性として、リスクを特定します。過去に発生したリスク、業界として起こり得るリスク、事業部として起こり得るリスクなどから考え、リスクを洗い出していきましょう。その上で、自社のリスクを特定して下さい。リスクには財務面、経済面、自然災害面などがあるので、あらゆる視点からリスクを洗い出し、特定するようにします。
2.分析
次に、特定したリスクの分析を行います。特定したリスクの深刻度および発生確率の基準でリスクを分析し、リスクが発生した時にどの程度の悪影響が組織に及ぶかを把握します。その上で、リスクの重大性を認識しておきます。
リスクの分析には【リスクの大きさ=リスクの深刻度×発生確率】という算式を用いて数値化します。ここで注意したいのは積の結果としてのリスクの大きさばかりを重視してはならないという点です。
理由は、深刻度が低くても発生確率が高いリスクについては注視しなくてはならないからです。同様に発生確率が低くても深刻度が高いリスクについても注視します。深刻度や発生確率の中身をしっかり見て、分析します。
3.評価
リスクを特定し、分析した後はリスクを評価します。分析されたリスクに対して、直ぐに対応策を講じるのではなく、リスクの大きさを明らかにするためにリスクに優先順位を付けていきます。深刻度と発生確率を基準に優先順位を付けて、表にするのです。深刻度が大きく、発生確率が高いリスクが最も優先順位が高いことになります。
4.対応
リスクを評価した後は、リスクへの対応を行います。リスクへの対応は、低減・移転・保有・回避の4つに分けられます。
・移転:リスクを別組織などに委託し、あるいは保険をかけることでリスクを移転させること
・保有:リスクへの対応策を講じず、リスクを受け入れること
・回避:リスクが発生する可能性をゼロにすること
低減や移転の意味は分かりやすいと思います。保有と回避については、分かりづらいので解説を加えます。まず、リスクがあることを前提にして、受け入れることが保有です。深刻度と発生確率が小さいリスクに関して保有というリスク対応を行うのです。
続いて回避は、リスクの発生原因を除去し、リスクを完全にゼロにすることです。例えば震災により、古い棚が落ちてくるというリスクに対して、棚を補修するのではなく棚を除去して、リスクを回避します。
5.モニタリングおよびレビュー
リスク対応まで進んだ後、リスク・マネジメントをしっかり行うためにモニタリングおよびレビューが必要になります。リスク・マネジメントがきちんと機能しているかどうか、モニタリングおよびレビューにより検証することで確認することができるのです。
リスク・マネジメントを理解するための本を紹介
リスク・マネジメントの意味や重要性について説明してきました。さらにリスク・マネジメントを知りたい人のために参考になる書籍を紹介します。
世界一わかりやすいリスクマネジメント集中講座
『世界一わかりやすいリスクマネジメント集中講座』は、セキュリティコンサルタントによる本。図表が多く、文体も分かりやすいため、初めてリスク・マネジメントを学習したい人におすすめです。
リスク・マネジメント論
『リスク・マネジメント論』は、リスク・マネジメントの専門家による本。リスク・マネジメントを体系的に理解することができます。入門書を読んだ人は本書を手に取ってみましょう。
まとめ
企業にとってリスクはつきもの。将来起こり得るリスクをどのように抑えられるかがリスク・マネジメントでは問われます。リスク・マネジメントには正しいプロセスがありますので、自社のリスクをしっかりと特定し、分析して必要な対応を施していくと良いでしょう。
