事業活動には様々なリスクがつきものです。
リスクを放置し、実際に危機が発生してから対応しようとした結果、不適切な手段を選んでしまい、事業活動に大きなダメージを残す例も少なくありません。
そうした事例への反省から、リスクを適切に管理する「リスクマネジメント」の重要性を認識する企業が増えています。
リスクマネジメントの基本的な意味や進め方、リスク対策の具体的な手法について、わかりやすく解説していきます。
リスクマネジメントとは
リスクマネジメントとは、リスクを経営的な視点から管理(マネジメント)することです。
ここでは、「リスク」や「リスクマネジメント」の意味、「クライシスマネジメント」などの類義語との違いについて、簡単に解説します。
「リスク」の意味
「リスク」とは、「起こるかどうか確実ではないが、もし起こったら損害を生む可能性のある事柄」を指します。例えば、地震による自社工場の損壊やサプライチェーンの途絶などはリスクのひとつです。
「地震大国の日本では地震災害のリスクは大きい」と言うときのように、損害を生む可能性・不確実性や損害の程度のことを指して「リスク」と呼ぶこともあります。
事業活動におけるリスクの種類・例
リスクは「純粋リスク」と「投機的リスク」に分けることができます。
「純粋リスク」は「損失しか生まないリスク」、「投機的リスク」は「損失にも利益にもつながりうるリスク」を意味します。
例えば、製造業にとって製造拠点での地震や火災の発生は純粋リスクと言えます。また、過失や製品の欠陥、社員の不祥事により損害賠償責任が発生したり、レピュテーション(社会的評判)が低下したりするリスクも、「純粋リスク」です。
増産・新商品製造のために設備投資をすれば、狙い通り増益につながる場合もあれば、消費トレンドや景気の変動、原料調達の不安定化、競合企業による新商品発売などの影響で損失につながることもあります。
したがって、設備投資は「投機的リスク」です。
消費トレンドや景気などの外部環境も、プラス・マイナスの両方に働きうるので、投機的リスクと言えます。
「リスクマネジメント」の意味
リスクが現実化し、実際に損害が発生してから(発生することが確実になってから)対策を検討すると、混乱と焦りのなかで不適切な対応をとってしまったり、対応に時間がかかって被害が広がってしまったりしがちです。
「リスクマネジメント」とは、事前にリスクを洗い出し、事業目標や対応コストも考慮しつつ、組織的にリスクへの対策を講じること言います。
事前に、組織的に対策を講じておくことで、リスクが現実化したときに迅速に適切な対応をとることが可能になります。
リスクマネジメントではコスト意識も重要です。
リスク対策のために過大なコストをかけてしまうと、そのしわ寄せでどこかにマイナスの影響が生じ、それ自体がリスクとなります。
事業全体から見て影響が小さいと考えられるリスクはあえてそのまま受け入れるのも、リスクマネジメントの選択肢のひとつです。
リスクマネジメントの考え方
リスクマネジメントの目的
リスクマネジメントの最大の目的は事業存続です。
何かしらの問題が発生した時に、その影響を的確に把握し対策を行うことで、いざという時の損害を最低限にし、事業を継続することができる環境を維持することこそが、リスクマネジメントの目的だと言えます。
また、考え方の一つとして、損失の回避だけでなく受け入れられる範囲で損失を受け入れることもリスクマネジメントに含まれる場合もあります。
事業を長く存続させるために少々の損失は受け入れ社会の中でうまく立ち回れるように対策をする、という考えもリスクマネジメントの目的の一つと言えるでしょう。
「クライシスマネジメント」との違い
「クライシスマネジメント(危機管理)」は以下のような様々な意味で使われます。
①~③の意味では、「クライシスマネジメント=リスクマネジメントの一部」です。
- とくに損害が大きく、企業の存続に関わるようなリスクに対するリスクマネジメント
- リスクが現実化して損害を生む事態(=危機)が発生した場合の対応プログラムを事前に構築すること(リスクマネジメントのプロセスのひとつ)
- 実際に危機が発生した際に、リスクマネジメントで策定したプログラムにしたがって対応すること
- リスクマネジメントなしに、事後的に危機に対応すること
「コンプライアンス」との違い
「コンプライアンス」とは、法令や社会的責任を重視して事業活動を行うことを意味します。
法令違反による罰則・レピュテーション低下や不適切な行動に対する社会的非難は、大きな損害につながりうるリスクです。したがって、「コンプライアンス」はリスクマネジメントの基準・対応方針として非常に重要です。
「リスクヘッジ」との違い
「リスクヘッジ」とは、主に金融取引の場面で使われる言葉で、リスクを予測し対応できるように備えることを指します。
リスクマネジメントは、リスクへの対策・管理体制の整備を意味するのに対し、リスクヘッジはリスク回避のための対策を意味しているため、「リスクヘッジ=リスクマネジメントの一部」と言えるでしょう。
リスクマネジメントの必要性
リスクマネジメントの失敗事例①
概要
大手銀行の東京本部で不正に融資を行われていたことが発覚した事件。
融資部と法人営業部が、不良企業などに融資を行うことで利益を得ていたとされており、融資部は企業の財務状況を十分に確認せず融資を実行し、法人営業部は、不良企業や粉飾決算企業の経営者との関係を維持するために融資を行っていた。
問題点:
①融資部・法人営業部ともに、融資の審査基準を十分に遵守していなかった。
②不良企業や粉飾決算企業の融資に際して、内部統制を十分に機能させていなかった。
③経営陣がコンプライアンスの重要性を十分に認識していなかった。
など、コンプライアンス体制に問題があり、またリスクの認識・対応策などリスク管理体制が不十分なことからレピュテーション(世間の評判)の低下を招いてしまった。
リスクマネジメントの失敗事例②
概要
大手住宅メーカーが建設したアパートが建築基準法に違反していたことが発覚した事件。界壁の未設置や、遮音性の基準を満たさない部材の使用など、さまざまな違反が指摘された。
問題点:
企業にとって重大なリスクである建築基準法違反について軽視していたことが大きな問題点となった。
また違反防止のための適切な対策を講じておらず実行体制にも不備があり、「起こるべくして起こった」ともいえる事件である。
リスクへの対応方法
リスク対応策としては、リスク自体を制御する方法(リスクコントロール)と、保険などで金銭的な補填を設定しておく方法(リスクファイナンシング)があります。
リスクコントロール① リスクの回避またはテイク
リスクを伴う活動を避ければ、当然ながらそのリスクは回避できます。
リスクが投機的リスク(プラスにもマイナスにもなりうるリスク)である場合、リスクを回避すれば利益を得る機会も放棄することになります。
ビジネスにおいては、あるプロジェクトが大きなリスクを伴うものであっても、中長期的な目標にとっての重要性などを考慮して、あえてリスクをとって(リスクテイクをして)プロジェクトを推進する場合もあります。
事前に十分にリスクと対策を検討した上で行うのであれば、リスクテイクもリスクマネジメントの結論のひとつと言えます。
リスクコントロール② 損失の予防・削減
リスクが現実化する確率を低下させたり、現実化したときの損失を低減したりするための対策を施します。
例えば以下のようなやり方があります。
- マニュアルやルールの周知徹底
- 消防システムや非常停止システムの設置
- セキュリティシステムやプロジェクト管理ツール、業務可視化ツールなどの活用
- コンプライアンス意識やモチベーションの向上
リスクコントロール③ リスクの分散
事業拠点が一箇所に集まっていたり、特定のサービスや事業に経営資源が過度に集中していたりすると、何らかのリスク(自然災害や消費トレンドの変化など)が現実化したときにまとまった損害が生じ、事業活動に深刻なダメージを与える恐れがあります。
拠点を分散させたり、事業を多角化したりしてリスクを分散させれば、そうした事態を防ぐことができ、危機発生時にも事業を継続しやすくなります。
リスクファイナンシング(リスクの移転または保有)
リスクに対して保険をかけておけば、危機発生時に保険金によって損害を補填したり危機対応コストをまかなったりすることができます。つまり、リスクの影響の一部を外部に転嫁することができるわけです。
こうした方法を「リスクの移転」と呼びます。
代表的なのは各種の損害保険ですが、近年では、天候リスクに対応するためのデリバティブ(金融派生商品)や、法的トラブル発生時の弁護士費用を補償する弁護士保険など、新しいタイプのファイナンシングも登場しています。
リスクから生じる損害をあえて自社で引き受けるという選択肢(リスクの保有)もあります。具体的には、社内で積み立てた準備金・引当金をもとにし、足りない分は金融機関からの借入金をあてて損害を補填します。
被害が小さいと予想されるリスクについてはリスク保有で対処し、発生確率は低くても被害が大きいリスクについてはリスク移転を利用するなど、使い分けが重要です。
個人のプライベートを守る弁護士保険!!
リスクマネジメントのプロセス
リスクマネジメントは、会社全体を巻き込んだ組織的なプロセスとして遂行する必要があります。社内外のステークホルダーとのコミュニケーションも重要です。
リスクマネジメントの基準や運用体制の決定
会社全体および各部門の現状を整理し、リスクマネジメントの基準や方針、運用体制を検討します。
例えば、以下のような事項が検討ポイントとなります。
- リスクマネジメントを行うための組織体制(命令系統・権限・責任など)
- 経営理念や中長期的な経営目標に基づいた、リスクマネジメントの目的・戦略(例:特定分野のリスク対応強化、全社的なコンプライアンス強化、積極的な進出・投資のためのバックアップなど)
- リスクの重要度の判断基準(どの程度のリスクを重大と見なし、どの程度のリスクであればテイクしてもよいと考えるか)
リスクの特定
事業活動にどのようなリスクが存在しているかを洗い出すプロセスです。
リスクマネジメントの担当部署だけで洗い出しを行うとどうしても偏ってしまいます。
リスクマネジメントの目的・戦略に沿ってリスクに関するアンケート票を作成し、会社の各部門から回答を収集したり、各部門の担当者を集めてブレーンストーミングを行ったりして、重要なリスクを網羅的に洗い出すようにします。
リスクの評価
洗い出されたリスクの大きさを評価し、対応の優先順位を検討します。
一般的に、リスクの大きさは以下の式で評価されます。
リスクの大きさ= 影響度(現実化したときの損害の程度)× 起こりやすさ(現実化する確率)
影響度と起こりやすさはできるだけ定量化(具体的な数値で表現)し、定量化が難しいものについては、「大・中・小」や「1~5点」などの大まかな区分けで評価します。
すべてのリスクについて対策を講じるとコストが過大になってしまうため、リスク評価に基づいてどこまでを対策範囲とするかを検討します・
リスク対応プログラムの策定
対策すべきリスクについて、対応方法(リスクの回避、テイク、予防、軽減、分散、ファイナンシング)を選定し、危機発生時の実施体制を含めた対応プログラムを策定します。
対応プログラムの実施と結果のモニタリング
リスクが現実化した場合、対応プログラムにしたがって対応策を実施します。
さらに、プログラムを実施するだけにとどまらず、プログラムの実施状況(プログラムに沿って適切に実施されたか)、効果(どれくらい役立ったか)、実施可能性(現場で実行可能なものだったか)をモニタリングします。
モニタリングの結果に応じて、プログラムの内容やプログラム策定に至るプロセス(リスク特定・リスク評価の方法など)を是正します。
社内周知やステークホルダーとのコミュニケーション
危機発生時にプログラムが適切に実施されるためには、リスクマネジメントの理念・方針やプログラム内容の周知、リスクに対する意識向上の働きかけなどを、全社的に行うことが必要です。
また、危機発生時には迅速に事態を整理し、社内外のステークホルダー(従業員、株主、取引先など)に十分な情報を開示して、不信や動揺を払拭するよう努める必要があります。
上場企業の場合、平常時からリスクマネジメントの概要を開示しておくことも求められます。
まとめ
リスクマネジメントのポイントは、危機が発生してからではなく事前に、網羅的にリスクを洗い出して対応策を構築し、実施時にはモニタリングとフィードバックを行って、プログラムやプロセスを適宜更新していくことです。
リスク対応策には様々な種類があり、リスク対応商品(損害保険や弁護士保険など)も多様化ししています。
それぞれの企業の実情に応じて適切な対応策を選定することが重要です。
木下慎也 弁護士
大阪弁護士会所属
弁護士法人ONE 代表弁護士
大阪市北区梅田1丁目1-3 大阪駅前第3ビル12階
06-4797-0905
弁護士として依頼者と十分に協議をしたうえで、可能な限り各人の希望、社会的立場、その依頼者らしい生き方などをしっかりと反映した柔軟な解決を図ることを心掛けている。
