リスクマネジメントとは？目的、進め方、企業の取り組み状況

経済活動のグローバル化や情報伝達の高速化など、企業を取り巻く環境は刻々と変化しています。

近年ではレピュテーションリスクという考え方も登場しており、情報発信や顧客対応への細かな配慮が求められているのが現状です。

適切にリスクマネジメントを行うことが、企業が長期にわたって事業を継続するための前提条件だといっても過言ではありません。

今回は、リスクマネジメントの目的や進め方、企業の取り組み状況を解説します。

リスクマネジメントとは？

リスクマネジメント（risk management）とは、企業経営に損失を及ぼす危険性がある事象に対して適時適切な対応を行い、損失を最小化すると共に企業の価値を維持・増大していくための経営管理手法です。

近年では、業務のアウトソーシング化や研究開発部門をはじめとするオープンイノベーションの取り組みが浸透しており、発生した問題が多方面に波及する機会が増加しています。

企業の情報発信や顧客対応に関する感想がインターネット上で公開される事例が急増しており、対応方法を誤ると企業価値が急落する危険性さえ潜在しています。

企業やビジネスの生き残り戦略としても、リスクマネジメントは重要な経営課題なのです。

企業を取り巻くリスク

企業がビジネスの機会を得て、事業活動を推進していくにはさまざまなリスクが伴います。

企業を取り巻くリスクについて、具体例をいくつか紹介します。

（1）事業機会に関連するリスク

ビジネスチャンスを得る準備段階である、経営戦略の立案や意識決定に関連するリスクです。

商品開発戦略の面では、新商品・新サービスの開発成否だけでなく、国内外の知的財産権の侵害リスクや開発後の消費者動向の変容リスクなどが伴います。

資金調達面では、金融機関からの借入可否や金利変動のリスクが主な例です。

増資の場合は株主の議決権変動による意思決定力の変動リスク、社債発行の場合は将来の償還に備えた積み立てに伴う財務面でのリスクもそれぞれ潜在しています。

（2）事業活動の遂行に関連するリスク

企業が収益を得るための、適正かつ効率的な活動に関連するリスクです。

情報システムに関するリスクではセキュリティ設定の不備による情報漏えいや、機器・ネットワークの不具合による情報流通の停止あるいは遅延、データの欠損が経済活動にとってはリスクとなります。

コンプライアンス面では、法令改正によって既存ビジネスの変革や収益源を余儀なくされるリスクが潜んでいます。

従業員の不正行為に起因する企業イメージの悪化も、収益活動にとってはリスクです。

リスクマネジメントの目的

経済活動で生じる恐れのある損失を回避することと、損失が発生した場合の拡大防止措置を講じて事業を継続できる環境を保全することが、リスクマネジメントの主な目的です。

一方で、マネジメントには「管理」という意味合いが含まれることから、許容できる範囲内であれば積極的に危険を引き受ける（損失を受け入れる）ことも、リスクマネジメントに含まれます。

想定されるリスクを分析した上で事前に防止策を講じておくことも、リスクマネジメントでは重要です。

リスクの発生確率や影響度の大きさを見積もった上で、業務改善や社内教育を推進していきます。

弁護士などの専門家と顧問契約を結び、法的妥当性のアドバイスを受けられるようにしておくとよいでしょう。

保険会社と契約を結び、リスク発生時に経済的損失の補てんを受けられるようにしておくのも有効です。

企業規模別　リスクマネジメントの取り組み状況

2016年版「中小企業白書」によると、大企業の85.4％・中小企業の59.6％が組織的にリスク管理への取り組みを行っています。

実際にはリスク管理を総務・企画部門が兼務している企業が多く、大企業では66.9％・中小企業では55.7％です。

一方、中小企業の40.4％がリスク管理を担当する部署がないと回答しており、管理体制が十分に整っていないことがうかがえます。

中小企業では部署そのものがない場合があることと、社長や役員が直接リスクマネジメントに携わっている場合があることに留意が必要です。

また、日本弁護士連合会が2017年8月に公開した「第2回中小企業の弁護士ニーズ全国調査報告書」によると、全国の企業の46.6％が弁護士を利用したきっかけを顧問弁護士だと回答しています。

現時点で相談できる弁護士がいると回答する企業は85.4％にのぼり、リスクマネジメントに関する法的なアドバイスを受けられる体制はある程度確保されているといえます。

リスクマネジメントの進め方

リスクマネジメントの実践にあたっては、リスクの洗い出しや評価・対策などを順序立てて行う必要があります。

不完全な対応だと企業のリスクが高くなる恐れがあるので要注意です。

リスクマネジメントの進め方を、8つのステップに分けて説明します。

1.リスクの発見及び特定

企業の運営を阻害する恐れがあるリスクを発見し、リスクの種類・内容やリスクに関連する業務などを一覧表として見える化します。

組織内の変化や特徴、発生したインシデントやヒヤリハットが主な着目点ですが、リスクの発生可能性や影響度を考えずに、少しでも企業・組織に影響があると思ったものはすべてリスクとして特定します。

社会的に注目されているニュースや話題・トレンドに関する情報も収集しておきましょう。

2.リスクの算定

リスクを特定したら、リスクに対する既存の対策の有無を考慮しながら「リスクの発生確率」「リスクが顕在化した場合の影響度」の2つの軸で、企業にとってのリスクの大きさを算定します。

「リスクの大きさ＝リスクの発生可能性×リスクの影響」という数式で定量化するのが一般的ですが、人命や信頼の喪失といった数値化が難しい項目は「大・中・小」と定性評価する方法もあります。

算定結果をプロット表にまとめると、リスクの度合いが一目瞭然です。

3.リスクの評価

算定されたリスクの大きさに基づいて重要度を評価し、対応の優先順位を決めます。

優先順位の高い項目から順に対応するのが基本ですが、重要度が比較的小さいリスクについて一挙に対策を講じてから、重要度の高いリスクの対策に乗り出す方法もあります。

リスク対策に伴う業務への影響や、対策に必要な費用面についての検討も必要です。

企業の状況に応じて柔軟な評価を行い、対応を進めましょう。

4.リスク対策の選択

リスク対策は「リスクコントロール」と「リスクファイナンシング」の2つの方式で進められます。

リスクコントロールは、損失の発生防止と発生した損失の最小化が主な目的です。

リスクを伴う活動を中止したり、リスクの発生源を分離・分散させたりする方法があります。

リスクファイナンシングは金銭で損失を補てんする方法で、保険契約などで第三者にリスクを移転する方法と、ある程度の損失が発生することを割り切ってリスクを受け入れる方法の2パターンです。

5.リスク対策の実施

選択したリスク対策を実施しますが、対策を講じたからといってリスクマネジメントが完了するわけではありません。

対策のプロセスそのものや対策で得られた効果を評価して、持続的に対策をし続けることがリスクマネジメントの真の目的なのです。

企業として統一したリスクマネジメントを行うために、個人の役割や有事における対応基準を規程にまとめておくことをおすすめします。

6.残留リスクの評価

リスク対策の結果を見える化するために、対策実施後の残留リスクが想定の範囲内か、あるいは企業が容認できるレベルかを評価します。

「残留リスク＝値策導入後の脅威の発生可能性×影響」で定量化できますが、残留リスクの大小を明確にできるのであれば数値化にこだわる必要はないでしょう。

評価結果と費用対効果を見極め、必要に応じて対策レベルの調整を行います。

モニタリングを効果的かつ効率的に行うためにも、残留リスクの評価は必ず行いましょう。

7.モニタリングと是正

リスクが発生しない以上モニタリングは難しいという意見もありますが社会的なトレンドや法令改正などが見込まれるため、定期的にモニタリングを行います。

リスクに伴う損害が発生した場合は、その時点で対策の妥当性などの再検証が必要です。

不適切な対策だと判断した場合は、改めてリスクの算定などを行って対策そのものを是正します。

リスクの低減度や対策時のトラブル有無なども検証して、質の高いリスクマネジメントにつなげていきましょう。

8.有効性の評価

リスク対策ごとにPDCAサイクルにあてはめて、有効性の評価を行います。

定期的に関係者とコミュニケーションをとり、リスク対策が進んでいると判断できれば対応の優先順位は下がるでしょう。

反対に、リスク対策が進んでいないと判断した場合には、優先順位を上げて徹底した対応が必要となります。

刻々と変化する経営環境に応じて、リスクマネジメントの仕組みを見直すことも大切です。