近年の情報化社会において、企業を取り巻くリスクは拡大しています。リスク管理に失敗した企業が負う傷は深く、ステークホルダーに一度抱かれた不信感を払拭するのは容易ではありません。そこで、特に重要性が増している企業のリスク管理の概要や手法について詳しく解説します。
リスク管理とは
リスク管理とは、想定されるリスクを未然に防ぐための策を検討し、実行に移す行為のことです。具体的には、今後発生し得るすべてのリスクを洗い出し、発生時の影響を可視化し、優先度をつけて防止策を計画、実行します。リスク管理におけるリスクとは、企業経営や事業継続を妨げる不確定事象を指し、企業ごとにリスクの定義や優先度は異なります。
リスク管理の理想は、「リスクを発生させない」ことです。リスクの回避をするためには、異変を素早く察知できる仕組みや体制の整備が求められます。加えて、法改正や外部環境の変化、他社事例などの情報を収集し、新たに想定されるリスクを追加し、影響度を見直す活動も必要です。企業の規模によっては、「リスクマネジメント室」のような専門部署を設置しています。
リスク管理と危機管理の違い
リスク管理と混同されやすい「危機管理」との違いについても理解しておきましょう。リスク管理と危機管理は密接に関わっていますが、スタンスが異なります。
リスクとは基本的には、「対策を取ることで回避できるもの」のことです。しかし現実には、天災や外部要因による事故や事件など、企業努力では防ぎようのないリスクも多く存在します。危機管理では、こうした企業努力を超えた危機的状況も発生し得るという前提に立ち、その際に「どのようなプロセスで損失を最小化するか」という点に主眼が置かれています。
つまり危機管理とは、企業経営や事業継続が深刻な損失を被る恐れのある危機的状況において、損失を最小限に食い止め、早期の危機脱出・信頼回復を図るための管理活動のことです。
想定されるケースごとに、危機後の対応マニュアルと早期正常化シナリオを用意しておくこと、そして確実にそれらを実行していくことが、危機管理活動の基本です。場合によっては、トップの記者会見などの広報対応もマニュアルに組み込まれます。
企業がしておくべきリスク管理の例
続いては、企業が想定し備えておくべき具体的なリスクの例を紹介していきます。
まずは、「情報漏えいなどのセキュリティ問題」です。外部からのサイバー攻撃のほか、社員が誤ってメールを誤送信したり、悪意を持って機密情報を持ち出すといったケースなどが該当します。急に「システム障害」が起こる可能性もあります。例えば2020年10月には、東京証券取引所でシステム障害が発生し、終日全銘柄の取引が停止されるという大問題に発展しました。
参照元:https://www.jpx.co.jp/corporate/news/news-releases/0060/20201019-01.html
「コンプライアンス違反」も企業として管理すべき重要リスクです。企業コンプライアンスが重視されている昨今では、横領や脱税、異物混入、社員の不祥事などに向けられる目は大変厳しく、最終的に倒産に追い込まれる場合もあります。収益悪化やハラスメント問題といった「財務・人事リスク」も想定されます。製造業においては、「リコール」もあります。ネット社会では、企業の「SNS炎上」も後を絶ちません。
企業努力で回避しづらいリスクには、震災やパンデミックなどの「自然災害」、景気の悪化や政策転換などの「環境変化」があります。いまだに収束の兆しが見えない新型コロナウイルスの感染拡大は、世界中の多くの企業に甚大なダメージを与えています。こうした非常事態であっても、社会的信頼と利益を守るために、企業は最善を尽くさなければならないのです。
リスク管理のポイント
リスク管理の重要性について理解できたところで、ここからはリスク管理の進め方を3つのステップに分けて説明します。社内にリスク管理体制が整っていない場合は、次のステップを参考に導入を進めていきましょう。
過去事例からリスクを想定する
最初のステップは、自社に想定されるリスクの洗い出しです。ここで徹底的に洗い出しておくことで、リスク管理が強化されます。もっとも簡単かつ合理的な方法が、過去事例の振り返りです。過去事例を参考に、今後起こり得る不確定事象をリストアップしていきましょう。
徹底的な洗い出しには、関係部門の協力が不可欠です。リスクの発生源となる可能性をはらんでいる部門や発生時の対応部門などを集めたプロジェクト会議を開き、複数の視点からヒアリングしていきます。可能であれば会議を取り仕切る専門部署を設置し、ガバナンスを効かせていくのがよいでしょう。
リスク危険度を評価し優先順位付けを行う
洗い出しが終わったら、リスク危険度を評価し、優先順位付けを行いましょう。優先順位を決めることで、限られたリソースを効果的に活用できます。優先順位は、「影響度」と「発生確率」の2軸で判断します。
「顕在化した場合の影響度が大きく、なおかつ発生する確率の高いもの」が、最優先で対策すべきリスクです。続いて、発生確率は低くても影響度が高いもの、影響度は低くても頻繁に起こり得るものの防止策を検討します。最後に、発生確率も影響度も低いものの対応方法を決めていきましょう。
リスク対応計画を立案・実行する
最後に、策定した優先順位に基づいて、アクションプランを立案・実行します。リスク管理の理想形は、リスクを発生させない、つまり「あらゆるリスクをあらかじめ抑え込んでしまう」ことです。しかしコストや手間を考えると、難しいのが実状です。
そのため、アクションプランを立案する際には、優先度に応じて次の4つのレベルに分類することをおすすめします。「回避」「軽減」「転嫁」「受容」です。まず自社のリスクについて、確実に「回避」する策を講じ、排除することを軸とします。
その排除が困難な場合は、「軽減」できる方法を検討します。「発生確率を低くする」「影響度を抑える」という2つの角度からリスクをコントロールするという考え方です。これは、現実的に多くの企業が実践している対応策です。
また「転嫁」とは、業務のアウトソーシングなどによって、リスクを第三者に移転・分散するというものです。外注費がかかるのがネックではありますが、効果は期待できます。
そして「受容」は、最終的にリスクを受け入れるという妥協案です。発生確率も影響度も低いリスクについては、対応する手間やコストを考えると、「多少のデメリットを伴ってでもリスクを受け入れる」ほうが合理的だと、判断できる場合もあります。
[SMART_CONTENT]
まとめ
テレワークなど、働き方の多様化が進んでいる昨今では、企業のリスク管理の一例でもある「セキュリティ管理」への対策はとりわけ急務とされています。セキュリティを強化するための有効策のひとつが、企業の情報やコンテンツの管理を確実に行うこと、そのためのクラウドストレージの導入です。クラウドストレージを利用することで権限管理を厳正化でき、メール添付によるファイル共有よりも、セキュリティレベルや情報ガバナンスを高められるため、情報漏えい対策に非常に効果的です。「Box」は、ログも取得でき、高機能かつマルチデバイス対応の企業向けクラウドストレージサービスであり、安全かつ効率的な情報共有を可能にします。リスク管理の一環として、Boxのようなクラウドサービスの導入や情報ガバナンス評価シートによる対応を念頭に、セキュリティ対策に取り組まれてはいかがでしょうか。
- トピックス:
- DX
- 関連トピックス:
- 経営戦略