将来の見通しが困難な時代、企業はさまざまなリスクを想定し、対策を講じていかなければなりません。こうした対策は一般にリスクマネジメントと呼ばれます。本記事ではこのリスクマネジメントについて、概要から具体的な始め方・進め方まで解説し、最後におすすめのソリューションを紹介します。
リスクマネジメントとは?
リスクマネジメントとは、事業運営や目的達成を阻害するさまざまなリスクを予見し、事前に必要な対策に取り組むことです。中小企業庁の定義では、「リスクを組織的に管理(マネジメント)し、損失等の回避又は低減を図るプロセス」とされています。
企業が事業運営を続ける過程では、天災や事故の発生、予期せぬ売上減少や市場状況の変化など、多種多様なリスクが伴います。企業はこうしたリスクの存在や影響度を把握し、優先順位をつけつつ事前に対策を講じることが重要です。
リスクの定義
リスクマネジメントを理解する上では、ここで想定される「リスク」とはそもそも何なのかを明確にしておくことも重要です。リスク(Risk)という言葉には通常、さまざまな意味合いが込められていますが、ビジネス上の意味は、国際標準化機構(ISO)によるガイドライン「ISO 31000」で定義されています。このガイドラインによれば、リスクとは「effect of uncertainty on objectives(訳:目的に対する不確実性の影響)」のことです。
つまり、ビジネスにおけるリスクとは、企業・ビジネスの目的達成を不確実にするような要素を指します。こうした不確実性(リスク)は、企業内外にさまざまな種類が存在します。
クライシスマネジメントとの違い
リスクマネジメントと関係の深い概念に「クライシスマネジメント」があります。クライシスマネジメントとは、「リスクが発生する可能性を完全にゼロにすることはできない」という前提に立って、リスクが現実化した場合の事後対応策を考える取り組みです。これに対して、リスクマネジメントは、リスクが現実化しないように予防策を講じるなど、事前対応により重点を置くところに違いがあります。
しかし、リスクマネジメントは事前対応・事後対応のどちらも想定すべきという考えから、クライシスマネジメントはリスクマネジメントの一部であると捉える意見もあります。
リスクマネジメントを行う目的
企業がリスクマネジメントを行う目的は、企業としての社会的責任を果たした上で自社の事業を安定させ、投資家に対して信頼と安心を提供することにあります。
従来、リスクマネジメントの主な目的は、予期せぬ事態が発生した場合にも事業を存続できるようにすることでした。しかし昨今では、企業のリスクが社会全体に対して大きな影響を与えることが認識されるにつれ、消費者や投資家は企業の一挙手一投足に厳しい目線を向けるようになっています。これに伴い、リスクマネジメントの目的には、問題が起きたときに事業を維持するだけでなく、自社が信頼できる経営を行っていると投資家へアピールすることも含まれるようになりました。
投資家としても、投資先の企業が不祥事や事故などを起こして事業継続できない事態になるのは避けたいと考えます。そのためIRでは財務状況や人的資本情報などと同様にリスクマネジメントへの取り組みが注目されています。
リスクマネジメントで想定されるリスクの種類
リスクマネジメントで想定されるリスクは多岐にわたりますが、大枠では純粋リスクと投機的リスクの2種類に大別できます。以下では、それぞれのリスクの性質を解説します。
純粋リスク
純粋リスクとは、企業に損害や損失をもたらすリスクのことです。発生した場合には損失しかもたらさないことから、マイナスリスクと呼ぶこともあります。純粋リスクの発生予測をするのは困難ですが、その反面で損害保険の利用などによって対策を立てやすい側面もあります。
純粋リスクの具体例としては、予測不可能な天災や偶発的な事故、ヒューマンエラーによる人災などが挙げられます。昨今では、サイバーセキュリティの分野で、従業員IDの管理不足によるマルウェア攻撃なども深刻化しています。これらは下記の「財産リスク」や「賠償責任リスク」にもつながる脅威です。
純粋リスクは、さらに以下のように分類可能です。
- 財産リスク:自然災害による損失、偶発的な事故による損失、人為的なミスによる情報漏えい、窃盗、マルウェア感染による情報漏えいなど。
- 費用・利益リスク:財産リスクによって引き起こされる事業中断、施設閉鎖などを原因とした損害。売上減少や経費の増大なども含まれる。
- 人的リスク:経営者や従業員の病気、事故、死亡など。
- 賠償責任リスク:著作権や特許権の侵害、不注意による法的な賠償責任、株主代表訴訟など。
投機的リスク
投機的リスクとは、損失だけでなく利益をもたらす可能性もあるリスクのことです。主に外的要因や環境変化によってもたらされるリスクを指し、ビジネスリスクと呼ぶ場合もあります。たとえば、消費者動向や為替状況の変動は、自社の業績に対してネガティブにもポジティブにも影響し得る不確実性です。
これまでのリスクマネジメントでは、損失を回避するという観点から、前段の純粋リスクのみを対象とすると考えられてきました。しかし近年では、ビジネスのグローバル化が進むにつれ、進出先の政治情勢や経済情勢などの影響を受けることが多くなっており、投機的リスクは増加傾向にあります。そのため企業は「不確実性をチャンスに変える」と積極的に捉え、いかにして投機的リスクが自社に対してポジティブに働くようにするか対策を講じるようになっています。
投機的リスクは以下の四つに分類できます。
- 経済的情勢変動リスク:景気の悪化、為替変動、金利変動など
- 政治的情勢変動リスク:政権交代、政策変更、消費者動向の変化など
- 法的規制変更リスク:税制を含む法改正、規制の強化・緩和など
- 技術的情勢変化リスク:技術革新による代替技術の登場など
リスクマネジメントのプロセス
先に紹介した「ISO 31000:2018」では、リスクマネジメントのプロセスについても説明がされています。それに従えば、リスマネジメントは以下のようなプロセスを経て進めます。
1. コミュニケーションおよび協議
リスクマネジメントのプロセスにおけるすべての工程で、企業の責任者およびステークホルダーと協議を行うことが必要です。この協議を通して、組織内外の関係者とともに、リスク管理のプロセスにおいて考慮すべきリスクを洗い出します。リスクマネジメントを適切に行うためには、この協議によって経営層やステークホルダーがリスク範囲を共有しておくことが必要です。
2. 適用範囲・基準を設定
次のステップでは、リスクマネジメントの適用範囲や状況、基準(許容するリスク・回避すべきリスク)を設定します。この過程では、社内の状況や市場状況、関係する法律やテクノロジーの状況などを考慮し、自社の事業に影響を与える可能性のある領域を明確にします。
3. リスクアセスメントの実施
次にリスクアセスメントを実施します。リスクアセスメントは、以下のように「リスクの特定→分析→評価」の順で行います。
① リスクを特定する
ここでは、ステップ2で設定した各領域におけるリスクを特定します。対策を講じるべき重要なリスクを見逃さないように、さまざまな部署や立場の人材が集まって考えうる限りのリスクを列挙しましょう。
② リスクを分析する
リスク分析では、前段で洗い出した各脅威の発生確率・発生頻度・影響範囲・損失額などを分析します。このリスク分析においては過去の事例なども参照し、明確な判断基準を定義した上で、上記の分析項目をできるだけ数値化して示すことが重要です。
③ リスクを評価する
続いては、リスク分析に基づいて対応すべきリスクに優先順位をつけていきます。この際、さまざまなリスクを可視化するリスクマップを利用するのが有効です。
4. リスクへの対応
前段でつけた優先順位にしたがって、各リスクの被害を予防・軽減するための具体的な対策を検討して実行に移します。具体的な対策方法は、「リスクコントロール」および「リスクファイナンシング」の2種類です。
① リスクコントロール
リスクコントロールとは、損害の発生を予防するための対策です。「回避」、「損失防止」、「損失削減」、「分離・分散」という四つのアプローチがあります。
- 回避:リスクが発生する可能性を根本的になくす対策。
(例)自社製品に使用した化学物質を安全なものに代替する。 - 損失防止:完全な「回避」が難しいリスクの発生確率を下げる対策。
(例)盗難防止のために警備員の増員や監視カメラの設置を行う。 - 損失削減:リスクが現実化した際に生じる損失・損害を最小化する対策。
(例)生産設備に非常停止ボタンを設置する。 - 分離・分散:リスク要因を分けてリスク発生時の損失を最小化する対策。
(例)投資の際に分散投資する。
② リスクファイナンシング
リスクファイナンシングとは、リスクによって生じるコストを抑えるための対策です。この方法は、「保有」と「移転」の2種類に分類できます。
保有はリスクの存在や損害に対して特に対策を講じず、受容する施策です。想定されるリスクの発生確率や損害が軽微な場合や、対策に要するコストが高くつくような場合に選択します。
移転は、リスクへの対応や、顕在化したリスクによる損失の支払い義務を自社以外の別の組織に移す対策です。たとえば保険に加入したり、ITのセキュリティ対策をベンダー企業に委託したりすることが挙げられます。
5. モニタリングおよびレビュー
経済、技術、政治などの外部環境は常に変化しており、それに伴って新たなリスクが生じる可能性があります。また、すでに設定されたリスク対策が時間の経過とともに効果を失うこともあります。
そのため、リスク対策が想定通りに機能しているかどうか、継続的にモニタリングすることが大切です。これによって問題点の発見とリスク対策の改善・修正を繰り返していくことで、リスクを最大限にカバーできます。
6.記録作成および報告
ここまでに実施したリスクマネジメントプロセスの結果を記録するとともに、組織内外のステークホルダーに報告します。これによりステークホルダーとの情報共有や改善が可能です。
以上のプロセスについてPDCAを回すことで、新たなリスク要因にも対応しながら、リスクマネジメントの効果を持続できます。
リスクマネジメントに活用できるSAPのGRCソリューション
現代のリスクマネジメントにおいては、セキュリティリスクが大きな課題です。たとえば従業員のID管理がずさんだと、不正アクセスや情報漏えいのリスクなどが増し、社会的信用の失墜や事業存続の危機を招くような事態にもなりかねません。
このような事態を防ぐには、SAP社が提供するGRCソリューションの導入が効果的です。GRCとは「Governance」「Risk」「Compliance」の頭文字を指します。すなわち、GRCソリューションとは、組織のガバナンスとリスク管理、そしてコンプライアンスの強化もサポートするツールです。GRCソリューションを導入することで、リスク分析やリスク評価の効率的な実施や、内部不正を含めたガバナンス・サイバーリスクに有効な対策を講じられます。
さらに、SAP社のGRCソリューションを他社のソリューションと組み合わせることで、IDライフサイクルの管理、ロールや属性、ポリシーに基づいたアクセス管理など、高度なIGAソリューションを実現可能です。IGAとは「Identity Governance & Administration」の略称で、従来のアイデンティティ管理(IDM:Identity Management)よりも統制部分(ガバナンス)を強化した管理手法です。IGAでは、単にID情報を適切に管理するだけでなく、細やかなアクセス制限などによって、IDを適切に統制することが重視されます。
この統合的なアプローチにより、企業はIDの一元管理を行い、サイバー面におけるリスクマネジメントをより効果的に実施可能です。
まとめ
リスクマネジメントとは、災害や事故の発生をはじめ、金融リスクや売上減少など、さまざまなリスクを予見して事前に必要な対策を備えておくことを指します。リスクマネジメントを進めるには、まずは自社を取り巻く膨大なリスクを洗い出し、その脅威の大きさに応じて優先順位をつけつつ、対策を講じていくことが重要です。
現代の企業が直面する、特に情報漏えいのようなセキュリティリスクの存在は無視できません。この重大なリスクに備えるためには、SAP社の「GRCソリューション」をはじめとするITツールを活用し、IGAを適切に実施するのがおすすめです。リアルテックではSAP社の「GRCソリューション」の構築サービスも提供しています。ぜひお気軽にお問い合わせください。
