リスクマネジメントとは？　企業で取り組む目的、考え方やプロセスを具体例を交えて解説

リスクマネジメントとは？

企業活動は様々なリスクに囲まれています。リスクとは、端的にいうと人間の行為や自然現象が、何かしらの損害を与える恐れがあること。リスクの発生は不確実なものではありますが、経験値や統計などによって、ある程度予測することは可能です。
企業活動をしていく中でリスクが発生すると、大きな被害や損害に発展してしまう場合があります。そこで、重要になってくるのがリスクマネジメントです。ちなみにマネジメントとは、「管理」という意味。リスクマネジメントとは、組織的にリスクを管理するということで、企業にとって重要と思われるリスクを抽出した上で、「対応策を講じる事前策」と「顕在化したときの緊急時対応である事後策」をあわせたものを指します。
リスクの発生やそれによる被害や損害はできるだけ避けたいものですが、リスクマネジメントに必要以上のお金や時間をかけると、企業活動の足かせになってしまうこともあります。バランスが難しい部分ではありますが、どのリスクを重要視すべきかどうかの見極めが必要な点は認識しておきましょう。
従来から企業は無意識のうちにリスクマネジメントを行ってきましたが、近年はその重要性がより求められるようになってきました。これは、国際化、システム化、企業責任が重視されるようになったことなど、企業を取り巻く環境の変化が大きく影響しています。
今回は、リスクマネジメントの考え方や種類、目的、必要性などについて見ていきましょう。

リスクマネジメントの考え方

リスクマネジメントにはいくつかの類語があります。ここでは、それぞれの類語とリスクマネジメントとの違いをチェックしていきたいと思います。

●リスクマネジメントとリスクヘッジとの違い
リスクヘッジはリスクマネジメントの一部です。リスクヘッジが、予測されるリスクへの防止策を指す言葉であるのに対し、リスクマネジメントは将来生じる可能性があるリスクを管理することを指しており、リスクの洗い出しや防止策の立案、リスクが顕在化した際の対処といった一連のプロセスを含んでいます。

●リスクマネジメントとリスクアセスメントとの違い
どちらもリスクに対処するための手法ですが、以下のような違いがあります。
リスクマネジメントは。リスクの特定から対処までを含む、リスクに対する全般の管理を意味しています。一方リスクアセスメントは、リスクの特定から分析、評価(＝アセスメント)までを指しており、実際の行動は含まれません。

●リスクマネジメントと危機管理との違い
リスクマネジメントは、組織的にリスクを管理することです。一方危機管理は、危機が発生した場合に、そのマイナスの影響を最小限にすることを目的としています。最小限にとどめるために、危機が発生した場合には迅速で適切な対処を行わなくてはなりません。

●リスクマネジメントとクライシスマネジメントとの違い
リスクマネジメントは、リスクが発生する前に対策を講じ、リスクを回避すること。一方、クライシスマネジメントは、危機は必ず発生するということが前提で、初期の対応や二次的被害を回避することです。前者はリスクを回避し、後者は発生したトラブルによる被害を最小限に抑えるというような意味合いで使われます。

リスクの種類

リスクは大きく分けて、「純粋リスク(マイナスのリスク)」と「投機的リスク(プラスとマイナスのリスク)」に分けられます。「純粋リスク」はマイナスのリスクという点からも理解しやすく、管理が容易です。しかし、企業活動では、「純粋リスク」だけでなく「投機的リスク」の影響も受けることになります。よって、リスクマネジメントを考える場合には、「純粋リスク」と「投機的リスク」を対象にすることが重要でしょう。

●リスクの種類とその内容、特徴、事例と要因例

リスクマネジメントの目的・必要性

リスクマネジメントの目的は、問題が発生した場合でも事業が存続できるようにすることです。どうしてもリスクが発生してしまうことはありますが、リスクマネジメントをしていないと、リスク発生時の影響をもろに受けてしまい、事業が継続できないほどのダメージを受けてしまうことがあります。リスクを起こさない、もしくは最小化させるリスクマネジメントという取り組みは、企業の存続を支え続ける経営管理手法として必要と言えるでしょう。

リスクマネジメントとBCP対策

リスクマネジメントとBCP（事業継続計画）対策は、違うアプローチにはなりますが、企業の存続に関わる重要な取り組みというのが共通点です。リスクマネジメントは、想定できるリスクの防止や被害を最小化するための取り組みによって企業の存続を目指します。一方、BCP対策は自然災害、テロ、火災などが発生した後に、損害を最小限にとどめながら、中核となる事業の継続や早期復旧を可能とする計画のことです。
BCPは、➀～⑤のような点がポイントになります。
①優先して継続・早期復旧すべき中核事業を特定すること
→この点が曖昧だと、緊急時に何に最も力を入れていいかが分からないので、事業存続に対して適切に動けない
②早期復旧する場合の目標復旧時間を定めておくこと
→目標時間がないと、早期復旧が困難になる可能性がある
③緊急時に提供できるサービスレベルについて顧客と協議しておくこと
→レベルの認識が異なると、信頼関係が損なわれる可能性がある
④事業拠点や生産設備、仕入品調達等が滞らないように、代替策を用意しておくこと
→用意しておかないと、復旧できないことがある
⑤従業員と事業継続についてコニュニケーションを図っておくこと
→BCPを作成しただけでは意味がなく、従業員が理解・把握していないとBCPが実施できない

※参考：中小企業庁「中小企業BCP策定運用指針」

緊急事態に遭遇すると、操業率が下落します。BCPを導入していない企業は復旧が遅れて、事業の縮小や廃業に追い込まれることもあるでしょう。一方BCPを導入している企業は、中核事業が早期に復旧できるだけでなく、市場の信頼を得て事業が拡大することもあります。
BCPの策定・運用では、まず基本方針を立案しBCPサイクル※の運用体制を確立します。運用体制が確立したら、日常的に策定・運用のサイクルを回すことがポイントとなります。
※BCPサイクルとは、下記➀～⑤を平常時のうちから繰り返しておくことです。これによって、緊急事態が発生してもスムーズに動くことができます。
➀事業を理解する　
➁BCPの準備、事前対策を検討する　
③BCPを作成する　
➃BCP文化を定着させる　
⑤BCPのテスト、維持・更新を行う　

「Pマーク」「ISMS」とは

企業が、リスクマネジメント対策に取り組んでいることを証明するマークに、「Pマーク（プライバシーマーク）」と「ISMS（ISO27001）」があります。リスクマネジメントをしっかりやっているということは、会社の信頼度アップにもつながります。ただ、取り組んでいるだけでは社外に伝わらないので、こういったマークを取得することは、対外的にアピールする際には効果的と言えるでしょう。なお、「Pマーク」「ISMS」とも取得して使用するには、申請するだけではなく、一定の基準を設けた審査で合格する必要があります。
この2つは、いずれもリスクマネジメント対策に取り組んでいることを証明するものではありますが、保護対象や規格に違いがあります。

保護対象について、Pマークは個人情報に限定していますが、ISMSは個人情報だけでなく企業情報も保護対象です。つまり、ISMSはPマークより保護対象が幅広く設定されています。なおPマークは会社全体で取得するのに対し、ISMSは、部門ごとや工場、支店のみというように範囲を指定して取得することができます。
規格の面で見てみるとPマークが国内規格に対し、ISMSは「国際標準規格ISO27001」の日本語訳に則っています。海外進出している企業、国際的な取引がある企業ではISMSを取得するケースが多く見られます。

リスクマネジメントの原則・タイプ

リスクマネジメントの原則は、リスクマネジメントの目指すべき姿でもあります。リスクマネジメントはしっかり取り組めば効果がありますが、原則を理解・把握しないで取り組んでしまうと、効果を十分に得られることができません。
ISO31000 2018によると、リスクマネジメントには「原則」「枠組み」「プロセス」の3つの要素があり、そのうち原則は8つの要素で構成されているとされています。
➀統合されている
➁体系化され包括的である
③組織に合わせられている
➃包含的である
⑤動的である
⑥利用可能な最善の情報
⑦人的及び文化的要因
⑧継続的改善

また、リスクへの対応方法には「リスクコントロール」と「リスクファイナンシング」という2つのタイプがあります。こちらも合わせて認識しておきましょう。

●リスクコントロール
リスクコントロールとは、起こる可能性があるリスクを把握してコントロールすることです。リスクの原因を特定し、発生確率、想定被害額などを定量化する方法などが挙げられます。

●リスクファイナンシング
リスクファイナンシングとは、発生したリスクに対して金銭的に補てんすることです。リスクをお金で定量化しておくことで、リスクに対する金銭的な被害に備えます。

リスクマネジメントのプロセス

リスクマネジメントのプロセスは、方針の決定、リスクの認識、リスクの評価・査定、リスクの順位付、対応策の立案、対応策の実施、対応策モニタリング、対策の評価・改善となります。PCDAサイクルにあてはめると、P(プラン)は、方針の決定、リスクの認識、リスクの評価・査定、リスクの順位付、対応策の立案です。そして、D(行動)は対応策の実施、C(チェック)は対応策モニタリング、A(アクション)は対策の評価・改善です。PCDAサイクルを回していくことで徐々にブラッシュアップされることが期待できます。
方針の決定は、まず組織の状況を把握し、リスクマネジメントが必要な範囲を決定する作業です。範囲は社内だけでなく、業務の内容によっては社外の取引先も含めるのか、想定される損害額は自社にとってどの程度か、それが軽微であればリスクマネジメントの範囲外でいいのではないかなどを検討しながら、基準を考えて決定します。その次に行うリスクの認識とは、想定できるリスクを洗い出す作業です。これは、部署ごとやブレーンストーミングなどで抽出することが一般的な方法。なお、人事・労務担当者や経営陣だけで行うと適切な認識ができない可能性があるので、抽出方法には注意しましょう。
リスクの評価・査定では、洗い出された各種リスクを影響力や発生確率などの視点から評価・査定します。その結果をもとにリスク分析を行うわけですが、影響は軽微でも発生確率が高いリスクについては、しっかりチェックしておくことが必要です。なぜなら、頻度が高いとその調査などが毎回発生し、人件費の負担増につながるからです。また、人命に関わるケースなどに発展する可能性もあるので、繰り返し起こるリスクについては早めに原因究明をして、リスクマネジメントに取り組むようにしましょう。
リスクの順位付けのステップでは、大事なリスクを絞り込んで優先順位を付けし、処理する必要があります。そして、忘れがちになるのは、対応策を実施した後のモニタリングや対策の評価・改善のステップです。多くの企業において、リスクマネジメントに取り組み、マニュアルを作り上げたところで安心してしまうケースが散見されます。大きな事故になってしまった事例では、対策していたのに社員が把握していなかった、改善点がそのままになっていたなどが問題点として挙がっています。リスクマネジメントの活動がきちんと実施されていることが大きなポイントとなるので、風化させることなく、リスクマネジメントの目的と目標が認識できていて、機能しているのかどうかを定期的にチェックすることが重要と言えるでしょう。

ダイヤルサービスでできるリスクマネジメント

企業にとってのリスクには様々なものがありますが、コンプライアンス違反もリスクにつながる可能性があるもののひとつです。
企業活動においては大型の定期受注先を増やすことが、業績を伸ばしたり、経営を安定させたりするためには大きなポイントとなります。例えば、大型の入札案件があったとしましょう。入札では条件が提示され、複数社が参加することになります。同条件なので、競り落とせるのは最も安い見積額を提示した企業というのが一般的です。この場合、条件に則った正当な見積額を提示するのが当たり前ではありますが、どうしても競り落としたいために、条件に反した安価な材料を使うことを隠して、他社より安い見積額を提示する企業がいたとします。でもこれは許されることではなく、不正を意図的に行っていることからコンプライアンス違反となります。そして、もしこの安価な材料によって品質が低下したことで、人命に関わるような事故につながってしまったら、製造物責任を問われたり、社会的信用を失ったりすることにもなってしまうでしょう。
多くの人はやっていいこと、悪いこと(コンプライアンス違反)の判断はできていると思います。しかし、これが一社員になってしまうと、悪いことと分かっていても、社内では当たり前のように行われていたり、上司に強く言われたりして、それに従ってしまうケースもあるようです。また、どうにかしたいと思っていても社内の常識となっているのであれば、相談先に迷ってしまい、そのままにしているケースもあるでしょう。そういったケースにも対応できるよう、ダイヤル・サービスでは、第三者相談窓口である「企業倫理ホットライン」を設け、社内では訴えにくい内容などを受け付けています。人事・労務担当者や危機管理部門にとっても、第三者機関を取り入れることで、なかなか表面化しなかった社内での問題点に気付き、その事例をもとに組織的なリスクマネジメントにもつなげられるでしょう。
ほかにも企業のリスクとして挙げられるのは、働きにくさを感じている社員が問題を１人で抱え込んでしまっているというケースです。パワハラやモラハラ、家庭の問題などで悩んでいても、相談できる場所がない場合は、企業側が理由を把握していない状態で離職してしまうこともあります。せっかく採用した人材が辞めてしまうのは企業として損失です。また、1人減ることで、その分の業務をほかの社員が担うことになり、残業時間が増えるだけでなく、休日出勤が発生してしまう可能性もあるでしょう。そこで業務過多となり、新たな問題が発生してしまうかもしれません。また、辞める原因となったパワハラやモラハラなどの問題が残り続けてしまうケースも考えられるでしょう。
こういったことにならないよう、企業として第三者窓口を設けておくというのもリスクマネジメントのひとつです。ダイヤル・サービスでは「ハラスメント・人間関係ホットライン」、「こころと暮らしのほっとライン」などの相談窓口をご用意していますので、ぜひお気軽にお問い合わせください。なお、相談窓口では、傾聴力や専門知識のあるスタッフが対応させていただいております。50年以上相談者に寄り添ってきたという実績や経験もございますので、ご安心いただければと思います。

リスクマネジメントは風化させない努力が必要

リスクマネジメントとは、組織的にリスクを管理するということで、人事・労務担当者や危機管理部門、経営者だけでなく、社員全員の理解も必要になってきます。先にも述べましたが、リスクマネジメントをせっかく構築しても、風化させてしまっては意味がありませんし、作り上げたという労力も無駄になってしまいます。構築したリスクマネジメントは、継続して視野に入れ、時代や環境の変化に合わせて改善することで効果が得られるものなので、その点は認識しておくようにしましょう。
また、リスクの種類は多岐に渡りますが、どのケースでも重要なのはリスクが小さいうちに把握し、早めに対応することです。人事・労務の担当者がこの点を認識し、リスクを早期に把握できる体制を構築することが求められるでしょう。そのためにも、相談窓口を設けることや企業リスクやリスクマネジメントに関する研修を実施することは有効と言えます。