リスクマネジメントは、現代のビジネスや法務において不可欠な要素です。
社会の中で人々の生活や価値観が多様化し、人・モノ・サービスが複雑に交錯していく中で、リスクに対する向き合い方も変容しつつあります。
いかにリスクを検知してそれを回避して0を目指していくだけではなく、どこまでのリスクを許容し、あるいは許容できるように低減しつつリスクテイクしていくかが重要視されます。
そのためには、リスクマネジメントの考え方が基本です。
本記事では、リスクマネジメントの基本から具体的なプロセス、近年注目されるリスクの種類までを網羅し、リスクマネジメント成功のポイントまで解説していきます。
|
本記事のポイント
|
そもそもリスクとは何か、リスクマネジメントとはどのようなものかについて、解説していきます。
ISOの様々な国際標準規格の中に、リスクマネジメントに関するものとしてISO31000があります。
ISO31000は、2009年11月にリスクマネジメントに関するガイドラインとして発行されたもので、一定程度体系化されたフレームワークとして活用できます。
※2018年に改訂されたものが最新です。
ISO31000によれば、リスクとは、「目的に対する不確かさの影響」と定義されます。
「影響」は、期待されることとのギャップ(差分)そのものを意味しているとされ、その意味においてプラスの影響とマイナスの影響の両方を含むものであるとされています。
こうした考え方から、リスクはもたらされる結果やその起こりやすさに視点を当てたものであることは、共通理解であると考えられます。また、不確実性の度合いとの相関的な内容を含んでいるものといえるでしょう。
リスクに関してマイナスとプラスの側面から整理したときに、純粋リスクと投機的リスクに分類されます。
純粋リスクは、そのリスクが顕在化した結果として損失(マイナス)が生じるリスクのことをいいます。一方で投機的リスクは、ビジネスリスクとも呼ばれ、損失だけではなく利益を生む可能性もある事象をいいます。
そして、純粋リスクと投機的リスクの主な分類としては、次のとおりです。
| 純粋リスク |
|
|---|---|
| 投機的リスク |
|
特に投機的リスクに含まれるものは、一見してマイナスの影響が生じるものば含まれつつも、一定の状況や環境にいる人にとってはむしろプラスになる場合もあるなど、リスク事象がマイナスとプラスどっちに転ぶか分からないというものが含まれます。
前記のようなリスクの意味合いを踏まえて、リスクマネジメントにはどのような意義や目的があると考えられるでしょうか。
リスクにはその影響の質がプラスもマイナスも両方を含む考え方からすると、リスクマネジメントが、事業活動の様々な意思決定に際しての費用便益、リスクによるリターンと損失のバランスを図ることに目的とすると考えられます。
また、不確実さの内容や程度・性質をマイナスとプラス双方の影響と相関から、どのように特定・評価し、分析した上でアクションプランを考えていくことがリスクマネジメントの意義です。
具体的には、前記のようなリスクに関する2つの分類から、純粋リスクに対しては可能な限り0を追求し、投機的リスクに対してはいかに損失の可能性を減らしつつ、プラスの可能性を高めるバランスを取り、最適なリスク分析を通じてリスクを取っていく(リスクテイク)考え方が必要となります。
リスクアセスメントは、リスクマネジメントの基盤です。リスク管理における設計図のような位置づけとなります。
事業活動において、ビジネスモデルからその実際上のフローとなる業務オペレーションや組織設計、人的な管理体制など様々な仕組みづくりを行います。その全体の仕組みにおけるリスクの特定や分析、評価、そして対応までの枠組みがリスクアセスメントです。
詳細は、後述します。
ここまで、リスクとは何か、リスクマネジメントの基本的な発想・考え方について解説しました。ここで、リスクの内容を具体的に解説していきます。
※なお、前記の「リスクの分類」は、リスクの発現による影響の観点からみた区別ですが、ここでは不確実性を含むリスク事象そのものの種類について解説していきます。
気候変動リスクは、主に二酸化炭素等の温室化ガスの排出に伴う経済・社会への影響を指します。
そもそも、気候変動には、気温上昇(またそれに伴う海面上昇)、干ばつや砂漠化、森林減少など様々な現象があります。また、その原因も地球温暖化だけではありません。
人類の活動と地球の自然活動が相まってもたらされる地球環境の変動が、気候変動リスクの内容です。
地球温暖化が世界的に問題となっている現代においては、企業においても環境に配慮することが求められており、温室効果ガスの排出量が多い企業は、世界の情勢に反しているとして企業価値が低下するリスクがあります。
そもそもサプライチェーンとは、「商品や製品が消費者の手元に届くまでの、調達、製造、在庫管理、配送、販売、消費といった一連の流れのこと」をいいます。
出典:サプライチェーンとは何か 具体例を交えて解説|MITSUI-SOKO-HOLDINGS
例えば、Amazonで商品が消費者に届くまでのサプライチェーンは、大まかに言えば、(商品の製造者)→出品者→Amazonにおけるネットワーク→配送業者→商品の集配拠点となるセンター→配送業者→消費者といったような経路をたどります。
サプライチェーンリスクは、様々な業種や業態における取引のプロセスにおいてそれが途絶えたり、障害が生じることによるリスクです。グローバルな取引の中では、経済安全保障といった枠組みとも関連します。
サプライチェーンの中で、そのプロセスの中にある事業者は、セキュリティ対策が十分でない場合、サイバー攻撃を受けることによってサプライチェーンが断絶される可能性があります。そのため、企業は多様な供給源を確保してリスク分散を図る必要があります。
規制リスクは、法律や規制の変更による影響を指します。
気候変動リスクや、突発的な災害などに影響されるサプライチェーンリスクとは異なり、法令の改正に関しては情報を取りに行くことができる点で、予測と対策、またそのバリエーションも多く準備することが比較的しやすいことが特徴です。
そのため、企業は常に最新の法規制に対応し、コンプライアンスを徹底することが求められます。
レピュテーションリスクとは、企業の評判に悪影響を及ぼすリスクのことです。SNSの普及に伴う不祥事の告発や情報漏えい等が原因となることが多く、企業の信用を失う可能性があります。
レピュテーションリスクが顕在化する原因となる事象は様々ですが、ステークホルダーや社会からみたときに事業活動や個々の商品・サービスの内容、その提供するプロセスに表れます。
サイバーリスクとは、情報システムやネットワークに対する脅威のことです。サイバー攻撃やデータ漏えいが企業に深刻な影響を与える事例があります。
こうしたサイバーリスクも、現代ではIT技術やプログラミングが民主化されつつあり、AIによって高度なハッカー集団が持つ技術も再現のハードルが下がってくる可能性があることから、極めて身近で、かつインパクトが大きい種類のリスクであると考えられます。
また、情報セキュリティの水準もIT技術の進展とともに高まっており、事業者は最新の情報セキュリティ対策が不可欠となっています。
リスクマネジメントは、どのようなプロセスを通じて実現されるのでしょうか。まずは、その全体像について解説していきます。
リスクマネジメントの最初のステップは、関係者とのコミュニケーションと協議です。
ポイントとしては、もちろん社内におけるコミュニケーションを行うこと自体も重要ですが、そうしたコミュニケーションを頻繁に、気軽に行うことができる環境づくりです。
リスクの共有や、何らか将来に予測される事象とその影響を認識し、かつそれを共有して議論していくこと自体は誰しもが重要性を認識していると考えられます。
しかし、現実的な課題としては、それが企業風土、人間関係、社内の立場などによって阻害されることが多々あるということです。
それを踏まえて、リスクを検知した人がタイムリーに共有することができる環境や、どこにどのように共有して議論をしていくのか、予めリスク管理のフローとして設計しておくことがポイントです。リスクに関する認識を共有し、適切な対策を講じるための基盤を築くことができます。
リスクマネジメントの適用範囲や状況を確定することは、リスク特定や評価の前提となります。
これには、対象となる事業活動や法的枠組み、地理的範囲などが含まれます。この段階での明確化により、リスクアセスメントの精度が高まり、リスク対応策の効果が向上します。
前記のとおり、リスクアセスメントは、リスクマネジメントの中核です。
リスクアセスメントは、潜在的なリスクを洗い出し、それらのリスクが顕在化することによる事象の内容、性質、影響度や発生確率を分析します。その上で、事業に対するインパクトの評価に基づき、リスクの優先順位を決定し、どのリスクにどのように対応するかを決めます。
これにより、リスクの影響度や発生確率を評価し、適切な対策を立てるための基礎が築かれます。
リスク対応は、特定されたリスクに対する具体的な対策を講じるプロセスです。これには、リスクの回避、軽減、転嫁、受容といった方法が含まれます。
具体的な法的手続きや契約の見直し、コンプライアンス体制の強化などが主な対応策となります
リスクマネジメントは一度行えば終わりではなく、継続的なモニタリングとレビューが必要です。
例えば、月次で起きたインシデントとその対応状況や、リスク防止策がどのように機能しているかの報告を行い、改善点などをまとめて周知していくことが考えられます。
また、進行状況によってフェーズが変化してくることも考えられるため、対策や手段を変えながら対応していくことが重要です。
これにより、リスク対応策の効果を評価し、新たなリスクの発生に対応します。定期的な見直しにより、リスクマネジメントプロセスの改善が図られます。
上記のようなリスクマネジメントの全体像の中で、特に重要なポイントについて①リスクの特定、分析、評価、②リスク対応、③モニタリング・レビューの3つを、より詳しく解説していきます。
これは、次のようなプロセスです。
まず、自社の経営状況やビジネスモデル、事業のオペレーションにおけるリスクの抽出と特定をすることが起点となります。
ビジネススキームや、より解像度を上げた業務フローや組織体制の中で、いずれの部分に、どのような内容のリスクがあるのかを特定し、マッピングしていきます。その際には、リスクとして生じうる内容、現実化した場合の事象の内容を可能な限り言語化することが重要です。
マッピングしていく際には、ビジネスモデルを図式化した資料やステークホルダーマッピングが1つの基盤として有用でしょう。
ステークホルダーマッピングについては、下記のようなイメージが一例として挙げられます。
出典:https://web-management-academy.net/article/stakeholder-map/
次に、リスクを様々な角度から分析していきます。その際には、次のような視点が考えられます。
| リスクの発生可能性 | どのようなリスクが、いつ、どのように 発生するか |
|---|---|
| リスクの要因 | ・リスクのもととなる要因がどこにあるか →ビジネススキームの中なのか、外なのか →事業や業務フローの内側であるとすればそれは何か →外部要因の場合、対策可能なものかどうか |
| リスクの分類 | 財務リスク、非財務リスク、非財務リスクにおける分類など |
| リスクが顕在化した場合の影響とその内容 | ・リスクが顕在化したときに生じる影響は、プラスかマイナスか ・リスクが顕在化したときに生じる影響は、事業の収益性に影響を与えるのか、事業運営に対する影響なのか など |
| リスクの影響範囲 | リスクの影響が、どこにどのような形で生じるのか |
こうした5つのポイントを中心に、それぞれのリスクを分析していくことが重要です。
そして、リスクの分析の後は、リスクの評価をしていくことになります。この部分が、リスク管理においてリスクに対する対応の方針を決定づける重要なプロセスです。
リスクの評価は、様々な角度が考えられるほか、人によって判断が分かれるものでもあります。そのため、特に重要と思われるリスクに関しては、1人の判断者だけでなく、様々な部署の統括者など異なる視点を合わせていくことがポイントです。
また、リスクの評価は、定性的なものと定量的なものの両方が必要ですが、定性的なものを洗い出したうえで、複数人でのディスカッションなどで定量化していくことも重要なポイントの1つです。
最終的な判断における、分かりやすさと明確さを確保するためです。
具体的には、リスクマトリクスの活用が有効です。リスクの起こりやすさと影響度による2象限で、リスクがどのようなスコアリングとなるかを検討することに役立ちます。
リスク対応では、事業における目的や、様々な事業場の施策の位置づけや重要性との兼ね合いと、リスクとリターンの費用便益を緻密に行うビジネスジャッジになります。
リスク対応には、次のようなバリエーションがあります。
※ここではマイナスの影響を持つリスクに対しての対応を想定しています。
リスク対応においては、対応策を講じる際のコストの要否や程度、受容しつつリスクを取る場合のリターンイメージ、リスクが顕在化した場合の危機管理対応のコストイメージなどを数値的に明らかにしていくことがポイントです。
その際には、リスクの性質に着目し、最低限守るべきラインなどを明確に線引きする必要があります。
モニタリング・レビューの過程では、リスク対応策の効果を評価し、必要に応じて調整を行います。また、リスク環境の変化を常に監視し、新たなリスクの発生に備えることも重要です。
リスクマネジメントの具体的な内容について深堀りしてきましたが、ここでは、近年重視されているリスクマネジメントについて、具体例を4つ解説していきます。
コンプライアンスリスクは、企業が法令や契約に違反することによるリスクです。
コンプライアンス違反をした場合、行政処分や行政指導が下されるケースがある他、取引先に損害が生じた場合には、損害賠償責任を負うケースも考えられます。
コンプライアンスは、法令そのものを遵守するだけでなく、ステークホルダーとの関係性の在り方などを考慮した倫理を考えた企業活動がポイントです。
どのような判断が、法令遵守のみならずステークホルダーとの関係性を適切に保つことができるかを考え、それを社内で言語化して社員一人ひとりが意識して行動できるように仕組みを作ることが重要であるといえるでしょう。
ハラスメントは、職場内での嫌がらせや差別行為に関連するリスクです。
近年では、パワハラやセクハラのように、法令やガイドラインにあるようなレベルのものだけでなく、「○○ハラスメント」というものが多様化しています。そして、ハラスメントは社会の価値観や現状が反映されるため、法令遵守よりも難易度が高いものと考えられます。
注目されるのは、いわゆるカスハラ(カスタマーハラスメント)に対する対策です。東京都では、カスハラ対策に関する条例の制定が日本で初めて進められています。
また、国レベルでも、厚労省がカスハラ対策に関するプロジェクトチームを立ち上げ、企業にカスハラ対策を義務付けていく法整備について調整していくことを表明しています。
参考:NHK|東京都 全国初の「カスハラ」防止条例制定へ 対象は官民問わず
日本経済新聞|「カスハラ対策」企業に義務付け 厚労省、法改正調整
従業員の就業環境が悪化して事業運営の生産性や効率性が害されるリスクへの対策と、顧客の満足を高めていくプラスの意味でのリスクとの調整が求められます。
その他、ハラスメントには複数種類がありますが、代表的なものとしては、パワーハラスメント、セクシュアルハラスメント、妊娠・出産・育児休業等に関するハラスメントが挙げられます。
企業によるハラスメントが社会問題にもなっている今、いかなる場合にハラスメントに該当し、どのような対策を講じるべきか、社内の認識を統一する姿勢が求められます。
情報漏えいリスクは、個人情報や機密情報の不正な流出によるリスクです。
企業は、情報セキュリティ対策を徹底し、情報漏えいを防止するための措置を講じる必要があります。
近年の個人情報漏えい事案にもあるように、企業は社内で普段からフルタイムなどで従事する社員はもちろん、外部の人材を活用した業務委託社員を多く抱えることが考えられます。そうした業務委託社員は、往々にしてオフィスではないところで業務をすることがほとんどです。
そのため、見えない業務状況の可視化とともに、情報セキュリティの部分で外部人材による情報漏えいを防ぐための仕組みづくりが重要であると考えられます。
レピュテーションリスクは、企業がコンプライアンスに違反した場合、その事実がSNSで拡散されることなどにより大きく影響する類型の1つです。
企業規模や違反の程度によって異なるものの、SNSの拡散力は凄まじく、短時間で数万件もの反応があるケースもあります。その場合、企業は炎上やクレーム対応に追われることとなるでしょう。
こうしたレピュテーションリスクに対するマネジメントは、広報部門やカスタマーサクセス部門、そして法務コンプライアンス部門が連携して、企業活動の状況と共にSNSにおけるインプレッションを測定して、特に問題がある内容に対して法的な手段をとるなど適切に対応していくことが重要と考えられます。
最後に、リスクマネジメントの成功のポイントを紹介していきます。
リスクマネジメントを成功させるためには、社内の情報や業務を可視化することが重要です。これにより、リスクの早期発見と迅速な対応が可能になります。情報の可視化には、データ管理システムやリスク管理ツールの導入が有効です。
リスクマネジメントの効果を高めるためには、社内教育の徹底が不可欠です。
従業員がリスクの重要性を理解し、適切な対応を取れるようにするための教育プログラムを実施しましょう。定期的な研修やワークショップを通じて、リスクマネジメントの意識を高めることが求められます。
リスクマネジメントは、社内だけでなく、社外のステークホルダーとの連携も重要です。
顧客や取引先とのコミュニケーションを密にし、リスクに対する共通の認識を持つことが求められます。
リスクマネジメントは継続的なプロセスです。定期的なモニタリングとレビューを実施し、リスク環境の変化に対応していくことが重要となります。
リスクマネジメントの一環として、社内規定を明確化し、従業員に周知することが重要です。明確な規定があることで、リスク対応の一貫性と効果が向上します。
リスクマネジメントの強化には、外部認証の取得と定期的な監査も有効です。
外部認証は、社会的にみて一定のリスク管理水準があることの裏付けを示すことになり、信頼確保にもつながります。
たとえば、個人情報保護であれば、Pマークなどの認証を取得することで、第三者の視点からの評価を受け、リスク管理体制の信頼性を高めることができます。
この記事のポイントを3つにまとめていきます。
| ポイント1 |
リスクマネジメントは、事業活動の様々な意思決定に際しての費用便益、リスクによるリターンと損失のバランスを図ることが目的である。 また、リスクマネジメントは、リスクという不確実さの内容や程度、性質を、マイナスとプラス双方の影響と相関から、どのように特定、評価し、分析した上でアクションプランを考えていくことである。 |
|---|---|
| ポイント2 |
リスクには、気候変動リスク、サプライチェーンリスク、レピュテーションリスクなど様々なものがある。 それぞれの内容と性質、リスクの起こりやすさと影響度を分析していくことがリスクマネジメントにおいて重要である。 |
| ポイント3 |
リスクマネジメントでは、リスクアセスメントが中核であり、特にリスクの抽出・特定から分析、評価を適切に行うことが正しいリスクの向き合い方を基礎づける。 そしてリスク対応、その後のモニタリングとレビューにより、個々のリスクに対する対応策と、その実効性を検証していくことで、持続的なリスクマネジメントにつながる。 |
愛知県弁護士会所属。旭合同法律事務所に所属しながら、事業会社の法務部に出向。企業法務に関心があり、取り扱い分野は戦略・政策渉外、コーポレートガバナンス、内部統制、M&A、ファイナンス、AI、Web3.0、SaaS、人材プラットフォーム、航空・宇宙、データ法務、広告法務、エンタメ、消費者被害、相続、破産・再生など。学生時代は法律問題を取り上げるメディア運営会社にてインターンを経験し、現在もWEBメディアにて執筆活動を続ける。詳しいプロフィールはこちら:https://asahigodo.jp/lawyer-introduction/kawamura-masaki/
