巨大・多様・複雑・国際化
2020年から始まった新型コロナウィルス感染症の世界的な拡大に伴い、社員の感染リスクを低減するために在宅勤務に切り替えた会社は多い。会社にとっては、「ひとりでも感染者がでると事業継続が難しい」という事業停止リスクをできるだけ回避したいという事情があったはずだ。
近年、会社経営を取り巻くリスクは巨大・多様・複雑・国際化し、場合によっては、致命的な損失や影響をもたらすものも多くなってきている。台風や豪雨、洪水は極地的な被害しかもたらなさいような印象があるが、2011年のタイでの大洪水は世界中の電子機器の部品調達網(サプライチェーン)に大きな影響を与えた。
最も大きなリスクは「戦争」だが、2001年9月11日、米国のニューヨークなどを襲った同時多発テロなどは、その一例といえるだろう。このテロによって、米国の企業のみならず全世界の企業は大きなダメージを受け、倒産や事業縮小に追い込まれた企業も数多くあった。
2008年の「リーマンショック」と呼ばれる連鎖的な世界規模の金融危機や、2011年の「東日本大震災」は、どちらも百年に一度とか、想定外のできごとと言われ、それまで絶好調だった会社ですら、一気に赤字転落し、やはり多数の倒産や事業縮小があった。これら2つのインシデントが企業活動に与えたマイナスの影響を示すため、以下に経済産業省の鉱工業生産指数と第三次営業活動指数から作成された生産動向を示しておく。
さらには、このような突発的な大事件だけでなく、「取引先の倒産」「自社製品の欠陥による賠償責任の発生」「設備の故障による事業の中断・停止」「社員の不祥事による信用の失墜」「サイバー攻撃による重要データの窃取」など会社経営を取り巻くリスクは時代の変化とともに多種多様なものとなっている。
このような状況の中、企業にとってリスク管理(危機管理)は、ますます重要な課題となっている。企業規模を問わず、自社の業務上起こりうるリスクの洗い出しを行い、それに対する適切な対応策を事前に準備する必要がある。
リスク管理では、万一リスクが現実なものとなった場合でも、損失を最小限に食い止めることができる。もし、会社が適切なリスク管理を怠れば、たった一つの事故や災害によって会社が倒産してしまうことすらあり得る。
今回は、リスク管理を効率的・効果的に学ぶ方法として、世界中の知恵が凝縮された「規格」を用いてポイントをまとめてみたい。
JIS規格とISO規格に学ぶ
学ぶ対象とする規格は、JIS規格(日本産業規格、Japanese Industrial Standards)と、ISO規格(国際標準化機構、International Organization for Standardization)だ。具体的には、リスク管理の国際規格である「ISO31000」と、その国内規格である「JISQ31000」から、リスク管理のポイントを学び取りたい。
上記の国際規格「ISO31000」以前に、日本にはJIS規格「リスクマネジメントシステム構築のための指針」として「JISQ2001」があった。規格は生き物なのでどんどん改定が進むが、経営者にとっては、この根底にある考え方が重要。ここでは各規格の細かな相違点などは気にせず重要ポイントをまとめることにする。
リスク管理のJIS規格制定の背景
日本において、リスク管理の重要性が認識されたのは1995年1月の「阪神・淡路大震災」の頃からといわれている。阪神・淡路地区に事業所を持つ企業の多くは、この大地震によって、従業員やその家族の死傷、生産設備の損壊、物流の混乱などの苦い経験をすることとなり、それにより「リスク管理の重要性」を改めて認識した。
そして、この大地震を契機に、企業におけるリスク管理システムの「標準化」が叫ばれるようになり、6年後の2001年にJIS規格「リスクマネジメントシステム構築のための指針:JISQ2001」が制定されることとなった。
リスク管理システム構築手順
リスクを管理するということは、発生したリスクに関して組織を指導し、それを管理するために調整された活動そのものだ。これは、言い換えればリスクを評価し、その影響を最小化するために必要な体制や方針を策定し、リスクという不確実性なものをコントロールするための経営戦略ということになる。
各種規格をまとめると、リスク管理を適切に進めるためには、以下の順序に従って、「マネジメントシステム」構築し、運用することになる。
■組織体制の整備
リスクマネジメントシステムを構築・維持していくためには、まずリスクマネジメントを推進する体制を社内に構築し、経営トップが「リスクマネジメントシステム担当責任者」を指名する必要がある。もし、社内にリスクマネジメントを担当する部署などがないのであれば、早急に担当部署を設置し、必要な人材などを配置する必要がある。
■方針表明
自社のリスクマネジメントに関する戦略の立案と、それに基づく方針表明・計画策定を行う。ここで重要なことは、経営トップが、リスクマネジメントに関する方針を定めること。トップの明確な意思表示により、各社員へのリスクマネジメントに対するモチベーションの高揚が期待できる。方針の中に盛り込む内容は例えば以下のようなものだ。
- 自社に与えられた社会的評価を高める
- 被害が生じた場合には、速やかな回復を図る
- リスクに関連する社会的要請を組織のリスクマネジメントシステムに反映する
- リスクが顕在化した場合は責任ある行動をとる
■リスクの発見・分析・評価
自社を取り巻くリスクの洗い出しや、そのリスクの分析・評価作業を行う。リスクの洗い出しについては、規格について書かれた書籍などを参考にする方法もあるが、社内各部門の社員を対象にアンケートを行い、下記について分かる範囲で書いてもらうという方法も効果的だ。
- 自部門において想定されるリスク内容
- 発生時の損失額(最大値、できれば根拠も)
- 業務への影響度(ランク付けをしてもらう)
- 考えられるリスク処理方法(対策)・対策費用の見込額
- 他部門への影響度合い
上記以外に、リスクの洗い出しに有効といわれる方法例として以下を挙げておく。
- 類似業種の他社事例調査
- 外部有識者へのインタビューおよびアンケート調査
- コンサルタントなど外部専門家への相談
こうして洗い出した各リスクに対して、分析・評価(経営への影響度の予測)を行うことになる。分析・評価は、そのリスクが発生した場合の「被害規模」と「発生確率」の組み合わせから、リスクを定量的に推測するのが一般的。
なお分析・評価を行うときに、影響度と発生頻度を軸とした「リスクマップ」を作成しておくと、次に述べる「リスク対策の検討」を考える際、限りある経営資源をどのように配分すべきかの重要な判断材料を与えてくれることとなる。
■リスク対策の検討(リスクコントロール)
一般的にリスク対策(処理技術)の方法には、以下の2つが挙げられる。
- リスクコントロール
- リスクファイナンシング
まずは「リスクコントロール」についてまとめてみる。リスクコントロールには、回避、損失制御、結合、分離、移転という5つの処理技術がある。
- 回避:はじめからリスクを生じさせないこと、つまり「潜在的な損失の発生確率をゼロにする」こと。完璧なリスク処理技術といえるが、実務上これを行うことはかなり難しいし、「回避」により対応できるリスク自体もあまりない。
- 損失制御:潜在的な損失の発生頻度を軽減する「損失防止」と、損失の影響度を軽減する「損失軽減」の2つがある。防災活動などがこれに当たる。
- 結合:損失にさらされている危険単位の数を増やすことにより、リスクの予知能力を高めやすくすること。例えば、タクシー会社が保有する車両数を増やしたり、他のタクシー会社と合併することなどが挙げられる。
- 分離:損失にさらされている人やモノなどを、より小さな単位に細分化すること。例えば、社員旅行を一度に全員で実施せず、複数グループに分けてそれぞれの日程をずらすことなどが挙げられる。
- 移転:損失にさらされているモノや活動を、委託によって他の法人に移転したり、契約締結時に、法律などから発生する責任を免除または制限する条項を設けることなど。
■リスク対策の検討(リスクファイナンシング)
次に「リスクファイナシング」についてまとめてみる。リスクファイナンシングによるリスク対策技術は、大きく「保有」と「転嫁」に分類できる。保有には、経常費・引当金・借入、自家保険、キャプティブの3つがあり、転嫁には、保険、保険以外の移転の2つがある。
- 経常費・引当金・借入:事故などが発生したことにより生じた損失を、経常費、引当金、金融機関などからの借り入れで賄うこと。
- 自家保険:過去の損害履歴などを基に、事故などの発生時にかかる予算を事前準備しておくこと。
- キャプティブ:親会社並びにその関連会社のリスクを引き受ける目的だけのために、保険会社以外の組織によって設立される保険子会社のこと(純粋キャプティブ)をいう。このほかにも、特定の業界の業者または特定の職種にある人々が構成する協会が、その会員のみのために保険を引き受ける「協会キャプティブ」もある。
- 保険:企業の抱えるリスクの全部または一部を保険会社に引き受けてもらう方法。最も一般的なリスクマネジメント。
- 保険以外の移転:例えば、「金融機関が企業に融資するに当たって連帯保証人を要求するケース」などが考えられる。
ここで述べたリスク対策の各種方法と、前項で述べたリスクマップなどを有効に使い、それぞれのリスクに見合った適切な対策方法を検討する。例えば、リスクマップのB型(低頻度、高影響度)に当たるリスクには「保険」を活用し、C型(低頻度、低影響度)に当たるリスクには「自家保険」を活用するといった具合だ。
なお、リスク対策の検討時には、各担当者の責任・役割を明確にし、リスクの重要度に応じてリスクに優先順位を付け、予算などの経営資源を決定していく必要がある。そして、規格を参考にするなら、この時点で適切な「リスク管理の目標」を設定し、それを文書化しておく。
■リスク対策の実施
「リスク管理の目標」の内容に沿って、具体的なリスクマネジメントの実施手順(システム)を作成し、日々の業務の中でそれを実施できるようにする。なお、この段階で「緊急時の対応手順」「復旧時の対応手順」などについても作成する。
■評価・是正・改善
実施手順に沿ってリスクマネジメント活動を行ってみて、自社の構築したリスクマネジメントシステムが実際どの程度成果を上げているのかを評価する。
評価の結果や、「日常点検で不備・不具合を発見」「評価や監査の結果、システムの改善が必要と判断」「緊急事態を経験して現在のシステムでは不備があると痛感」した場合などは、必要に応じてリスクマネジメントシステムを是正・改善する。
■経営トップによるレビュー
「経営トップによるレビュー」は、前述の「方針表明」とともにトップの責務であり、これによりリスク管理システムの継続的改善の実施が期待できる。規格を参考にすれば、以下の内容をレビューすることが基本となる。
- 管理方針
- リスク管理に関する計画策定
- リスク管理の実施
- パフォーマンスの評価および有効性の評価
- マネジメントシステムに関する是正・改善の実施
- マネジメントシステム維持のための体制・仕組み
経営トップによるレビューにより見直すべき点が発見されたら、ただちにそれを見直し、リスク管理方針、リスク管理の実施などに反映させる。これを継続的に行うことにより、リスクに強い企業へと変貌を遂げることができる。
経営管理のPDCA手法
上記のリスク管理システム構築手順は、規格を参考にしているので当然だが、要するに「PDCAサイクル」の考えを取り入れた管理システムそのものだ。PDCAサイクルとは、経営管理におけるの一般的な手法で、組識をPlan(計画)、Do(実行)、Check(点検)、Action(経営者による対策)といったサイクルで運営し、継続的改善を図っていくというもの。
「リスクの発見・分析・評価」と「リスク対策の検討」がPlan、「リスク対策の実施」がDo、「評価」がCheck、「経営トップによるレビュー」がActionに相当する。
一般的に、PDCAサイクルを導入すると、業務活動が記録に残り、組織内の報告・連絡・相談がスムーズにいくといわれる。また、経営トップは、組織の状況を的確に把握できるようになり、限られた経営資源をより効率的に運用することができる。
規格を参考にするなら、適切なリスク管理システムを構築して維持するために、ここまで述べてきたことのほかにも以下に挙げることを追加すべきだろう。
- 社員への教育・訓練
- シミュレーション
- リスク管理システム文書の作成
- 文書管理と記録類の維持・管理
- リスクの監視・モニタリング
中小企業のリスク管理の現実
ここまで、リスク管理システム構築の進め方について、規格を参考にみてきた。これだけの作業を社内人材のみで済ませるのは、なかなか大変なことだ。特に中小企業や小規模事業者では、元々社員数があまり多くないことから、リスク管理が大切なこととは分かっていても、日常業務だけで手一杯というのが現実。リスク管理システムの構築は二の次というのが実情ではないだろうか。
結局は経営トップがどう考えるかによるところが大きいと思われる。
実は、日本の産業を支援する経済産業省や中小企業庁は、中小企業や小規模事業者のリスク管理システム構築の現状について、かなり「課題が多い」と考えているようだ。
2021年度版「小規模企業白書」
中小企業庁は、中小企業や小規模企業に関する「白書・統計情報」をさまざまな切り口で公表している。ここにはリスクマネジメントに関する実態を調査分析したものもあり、例えば2016年度版の中小企業白書では「稼ぐ力を支えるリスクマネジメント」にひとつの章を割き、中小企業はリスクに対する認識が不足していることが多く、対策が十分に進んでいるとはいえないことを指摘している。
最新の「2021年度版 小規模企業白書」では、第1部第1章の第5節に「中小企業・小規模事業者を取り巻くリスクへの対応」があるので、これを参照してリスク管理の現実をみておこう。
■自然災害に対する対応状況
第1-1-101図は、企業規模別に見た、自然災害への対応状況である。これを見ると、「十分に対応を進めている」、「ある程度対応を進めている」と回答した割合は、大企業が約5割であるのに対して、中小企業は約3割にとどまっており、大企業と比べて中小企業の自然災害へのリスク対応が進んでいない状況が分かる。
引用:2021年度版 小規模企業白書: 中小企業・小規模事業者を取り巻くリスクへの対応
■リスクへの備えの状況
企業の事業活動に影響を及ぼすリスクは自然災害や感染症のまん延、テロなどの事件の発生、大事故、サプライチェーンの途絶、サイバー攻撃など多岐にわたっている。こうした不測の事態が発生しても、重要な事業・業務を中断させない、又は中断しても可能な限り短期間で復旧させるための方針、体制及び手順などを示した「行動計画」のことを「事業継続計画(BCP:Business Continuity Plan)」(以下、「BCP」という。)という。ここからは、中小企業のBCPに対する取組状況を見ていく。
引用:2021年度版 小規模企業白書: 中小企業・小規模事業者を取り巻くリスクへの対応
第1-1-105図は、企業規模別にBCPの策定状況について見たものである。これを見ると、「策定している」、「現在、策定中」と回答した企業の割合は、大企業が約4割に対して、中小企業は約2割となっており、大企業に比べて中小企業のBCP策定が進んでいない状況が分かる。
第1-1-107図は、BCPを「策定していない」と回答した企業に対して、その理由を聞いたものである。これを見ると、BCPの策定が大きく進展していない主な背景として、BCP策定に関する人材やスキル・ノウハウの不足があると考えられる。また、そもそもBCPの策定に「必要性を感じない」と回答した企業が2割程度存在している。
引用:2021年度版 小規模企業白書: 中小企業・小規模事業者を取り巻くリスクへの対応
■認識しているリスクの内容
第1-1-108図は、BCPを「策定している」、「現在、策定中」、「策定を検討している」と回答した企業に対して、事業の継続が困難になると想定しているリスクについて聞いたものである。これを見ると、感染症流行前は、「感染症」と回答した企業は約2割にすぎなかったが、感染症流行後は約7割と明確にリスクとして認識されていることが分かる。また、足元での事業環境の悪化から、「取引先の倒産」をリスクとして想定する企業の割合も増加している。
引用:2021年度版 小規模企業白書: 中小企業・小規模事業者を取り巻くリスクへの対応
