2020/01/08

リスクマネジメントの手法 企業活動の危機は、常にコントロールできる!

どのような企業活動でも、何かが保証されている事柄はほぼ存在しません。毎日のように不確実な領域に踏み込む必要があり、常にリスクと隣り合わせです。そこで、リスクは起きることを前提にして事前準備をし、リスクが起きたときに適切に対処するリスクマネジメントの考え方が改めて重視されています。

 

リスクマネジメントとは? [1]

 

リスクマネジメントとは、企業や公共団体などの組織が抱えがちなリスクについて、組織全体を指揮しコントロールする一切の活動を指します。

大半のリスクの存在は事前に予想できます、しかし、いつ、どのような形で具体的に降りかかるかは正確に予測できません。人は皆、基本的には「昨日と同じ今日がまた来る」と思って生活していますので、リスクの存在を忘れてしまいがちです。

だからこそ、事前のリスクに備える準備は計画的に行う必要があります。また、リスクが発生した後の臨機応変かつ柔軟な対応が必要なので、リスクマネジメントは権限を持つ経営トップがリーダーシップを執らなければなりません。

関西大学教授で社会システム工学を専門とする石田成則氏らの著書『ストーリーで語るリスクマネジメント論』(創成社)などによれば、リスクマネジメントの大まかな流れは、次の通りとされています。
・リスク対応の選択肢の洗い出しと策定
・リスク対応の計画・実施・有効性の検証
・対応した後、なおも残っているリスク(残留リスク)が、費用対効果の面で許容できるか

こうしたリスク対応のチェックは、担当者の主観や感覚で行わせず、客観的なチェック項目を用意し、担当者が変更されたときでも再現性を担保した上で実行しなければなりません。
なお、「ISO31000」は、リスクマネジメントの国際標準規格であり、この企画に沿えば客観性が担保できます。2019年12月現在、2018年版が最新ですので、「ISO31000:2018」を用いる必要があります。

 

リスク処理の4手法 [2]


前出『ストーリーで語るリスクマネジメント論』(創成社)などによれば、リスクマネジメントを効果的に行うには、次の4つの手法を組み合わせながら採用し、試行錯誤(PDCA)を繰り返して、自社に適合する形に修正していくのが一般的とされます。

・【回避】 安全な状況を作り出す企業行動(危ない企業への投資を取り止めるなど)
・【防止】 事故発生を予防する訓練など。代替手段を確保するリスク分散
・【保有】 損失を埋め合わせる資金を貯めておく
・【移転】 損失を埋め合わせる資金を他社から譲り受ける

企業にとって、マネジメントすべきリスクはいくつもありますが、この記事では、大半の企業にとって身近と思われる「オペレーショナルリスク」「戦略リスク」「サイバーリスク」の各マネジメント手法について、以下、ご説明します。

 

オペレーショナルリスクマネジメントの手法 [2]

 

オペレーショナルリスクとは、組織内部の人・資源・システムの中に潜むリスクです。
ここでは、三菱総合研究所研究理事で、国内におけるリスクマネジメント研究の第一人者、野口和彦氏の著書『ISO31000:2018 リスクマネジメント 解説と適用ガイド』(日本規格協会)などの分類に従いまして、事務リスク・法務リスク・人事リスク・風評リスクについて採り上げます。

「事務リスク」は、事務処理で思いがけず起こした過失によって、大きな存在をもたらすリスクです。有名なのが、「61万円で1株」を「1円で61万株」と誤って、売りの発注を入力したために、株式市場に大混乱を起こした事件です。これに関しては、通常ありえない売買注文の際に、システムが警告を鳴らして再確認するなどして、マネジメントすることが可能です。

「法務リスク」は、端的に言えば他の法人や個人に対して損害を与えたために、賠償(弁償)を求められるリスクのことです。あるいは法律違反を規制当局に指摘されて、罰金刑や課徴金のペナルティを課されるおそれもあります。法務部を整備したり、顧問弁護士にアドバイスを仰ぐなどしてマネジメント可能です。

「人事リスク」は、企業の都合を優先し、人事上の不公平な扱いを行ったことで、優秀な社員のモチベーションが下がったり、退職したりするリスクのことです。人事異動や懲戒などが適切に行われているか、独立した監査機関がチェックすることでマネジメント可能です。

「風評リスク」(レピュテーションリスク)は、会社の社会的な評判・評価が悪くなることで、顧客離れが起きて売上げ減に繋がるリスクです。会社の事務リスクや法務リスク、人事リスクなどの存在が、マスコミやSNSなどで採り上げられることで発生します。また、これらを会社が隠蔽しようとした後に発覚すると、さらに風評リスクにさらされます。事後的には、弁護士などの助言を受けて、適切に記者会見を開いて説明することによって、軽減させられます。

 

戦略リスクマネジメントの手法 [2]


企業の戦略リスクとは、ビジネスを行って利益をあげようと活動する中で直面しうるリスクとされています。この章も、前出『ストーリーで語るリスクマネジメント論』(創成社)などの専門書の分類に沿って解説いたします。

たとえば、顧客ニーズの変化や、時代やタイミングの不一致などで、過剰投資や過剰在庫が発生してしまうことが挙げられます。この類いの戦略リスクを徹底的になくそうとすると、かえって利潤を上げるチャンスを失い、企業活動が立ち行かなくなるおそれがあるとされます。

そこで、回避困難なリスクをあらかじめ想定して、ストレステスト・シナリオ分析を行うことで、どこまで過剰投資や過剰在庫によるリスクを許容できるか、シミュレーションを行い、戦略リスクをマネジメントしていくことが建設的とされます。

競合他社が、ほぼ同じターゲットに近い商品・サービスを提供したために、価格競争に陥ることも、戦略リスクのひとつとして挙げられます。この場合は、価格を下げずに商品やサービスをブラッシュアップさせ、コンセプトを変更することで、競合他社の商品・サービスに満足していない方が乗り換える可能性があります。また、別の客層を取り込むことも可能です。

特に公開会社にとっては、望まない企業による敵対的買収のおそれも、戦略リスクのひとつに挙げることができるでしょう。

 

サイバーリスクマネジメントの手法 [3]


サイバーリスクは、コンピュータやインターネットを用いた社内システムを運用する上で抱えているリスクです。オペレーショナルリスクのひとつですが、時代の進展によって重要性が高まっていますので、あえて別章立てにしています。
企業が運用するサーバーや端末が、インターネットで外部に繋がっている以上、不正アクセスやサイバー攻撃を受けるリスクが常に付きまといます。諜報・破壊・愉快犯・金銭目的・なりすましなどが動機です。
2017年には、大手航空会社がビジネスメール詐欺に遭い、億単位の損害を被った事例もあります。規模の大小を問わず、どのような企業にもサイバーリスクが顕在化する事件は起こりえます。

・外部からのサイバー攻撃・不正アクセスへの対処手法

以下、NTTコミュニケーションズ株式会社経営企画部に所属し、この分野に精通する竹内文孝氏らの著書『決定版サイバーリスクマネジメント』(NTT出版)での言及に沿って解説します。

社内のネットワークシステムを外部からの攻撃から防御する手法としては、まず「エンドポイント防御」を行うのが基本とされます。社内のPC端末すべてにアンチウイルスソフト(ワクチンソフト)を導入して、外部からマルウェア(いわゆるコンピュータウイルス)が送り込まれたとしても、それを自動検知し、排除するしくみです。

次に「ゲートウェイ防御」を講じるといいでしょう。インターネットと内部ネットの間にファイヤウォールやIDS(不正侵入検知装置)を置いて、外部からの侵入を検知するのです。仮に、ゲートウェイ防御を突破したマルウェアがあったとしても、それが社内のPC端末に取り付いたときの外部への自動通信を遮断し、マルウェアの効果を減殺させる次世代型ファイヤウォールも開発されています。

・内部者(従業員などの企業関係者)によるサイバーリスクへの対処手法

日本国内の企業の情報漏えいのうち、73%は内部要因だといわれています(2017年情報セキュリティインシデントに関する調査報告書)。国外の企業では28%にとどまりますので、日本企業では内部者によるサイバーリスクが顕著にあるのです。

このリスクをシステムだけで防ぐのは難しく、追加で物理的な整備が必要とされています。重要な企業情報にアクセスできる人員を徹底的に絞り込んだり、サーバー設置場所や電源、空調の位置、耐震性や施錠の態勢などを整備します。

また、テレワークを許可している従業員に対しては、顧客の個人情報などの重要なデータを社外で扱わないことを指示し、端末の管理などを徹底することが提唱されています。

 

外部・内部、双方に当てはまるサイバーリスクマネジメントの手法

 

まずはサイバーリスクに対するレジリエンス(耐性)を強化することが急務とされます。いくらサイバーリスクへの対策を採っても、損害を受けることはありえます。そのとき、どうするのかを想定し、被害を想定して訓練しておくことが重要です。

たとえ、不正アクセスや情報漏えいが起きても、通常の業務におよぼす影響を最小限に抑えられるよう、システム的に分離しながらマネジメントする態勢も重要です。

また、記者会見をするときの説明責任(アカウンタビリティ)についても、誠実に果たす必要があるとされます。その不正アクセスや情報漏えいの要因は、組織的か個人的か、構造的か偶発的かで、説明された側の印象は大きく異なるからです。

さらに、システム的に処理する手法として「ゼロトラスト」という概念があります。たとえ役員や従業員によるアクセスであっても信頼しすぎず、EDRと呼ばれる仕組みで、社内のあらゆる端末の、すべての挙動をログに記録し、解析する態勢を整備するのです。内部リスクにも外部リスクにも両睨みで備えるゼロトラストにより、サイバーリスクの検知が早まれば、早期解決にも繋がるものとされています。

・総括

以上で挙げた他にも、「政治的・地政学リスク」「ハザード(災害)リスク」「財務リスク」など、企業にとってはマネジメントすべきリスクが多岐にわたります。
たしかにリスクを回避した先に、経営上のチャンスが巡ってくることもあります。ただ、適切な回避手法を実践できないままで経営が危機に陥れば、リスクの向こう側にあるチャンスも掴めません。楽観視しすぎず、ピンチのときに慌てず、普段からリスクマネジメントの心得た経営を進めることが大切なのです。

【識学からのお知らせ】
リーダーシップが育つロジカルなマネジメント手法を学んでみませんか?
<ご訪問 or Web会議で体験できます>
1000以上の企業が受講した「識学マスタートレーニング」を無料で体験しませんか?
今申込むと『伸びる会社は「これ」をやらない!』書籍をプレゼント

識学マスタートレニングは「学びながら実践」します。
平均して3ヶ月ほどで「売上向上」「離職率の低減」など目に見える成果が上がっています。


お申込み・詳細は こちらお申し込みページをご覧ください

[1]『ISO31000:2018 リスクマネジメント 解説と適用ガイド』野口和彦 日本規格協会 p41
[2]『ストーリーで語るリスクマネジメント論』石田成則・小川浩昭 創成社 p10~14 p184
[3]『決定版サイバーリスクマネジメント』竹内文孝 NTT出版 p15~17 p84~91 p131~155