リスクマネジメントとは|企業で取り組む必要性やプロセスについて
更新日:2024.04.08
公開日:2023.10.20
今回のコラムでは、リスクマネジメントの知識、手法とともに、パワハラ・セクハラ防止なども解説。自社のリスク管理にご活用ください。
「コンプライアンス研修」の詳細はこちらから
リスクマネジメントとは
リスクマネジメントを行うには、リスクマネジメントとは何をすることなのか、なぜ重要なのかを知る必要があります。さらに、リスクの種類もおさえておくと、リスクの予測や対策に役立つでしょう。
リスクマネジメントの基本的な意味
リスクマネジメントとは、企業経営において起こり得るリスク(危機)を想定し、そうした事態への対策を立てることで、
損失を最小限に抑える施策のことです。
ビジネスにおけるリスクマネジメントの「リスク」とは、企業活動に悪影響を及ぼす全てと考えるとよいでしょう。
新技術が登場することで不確定要素が生まれることもリスクの1つですし、DXによって業務がデジタル化することで、
サイバー犯罪の被害を受ける可能性が生まれることもリスクです。グローバル化で海外進出をする場合は、進出先の国・地域の文化や価値観、法令に関わるリスクもあるでしょう。
リスクマネジメントでは、こうした事業活動において発生し得る悪影響を予測し、全体の方向性を調整したり、予測される
リスクへの対処方法を検討したりしなければなりません。企業・組織の文化や体制、戦略をチェックし、従業員一人ひとりの業務、チームや組織の活動、そして会社全体での活動において発生するであろうリスクについて、あらかじめ細かく
洗い出し、対策を立てておくことがポイントです。
リスクマネジメントの目的と必要性
リスクマネジメントを行う目的は、企業経営における損失を最小限に抑えることです。
これを具体的にイメージするため、1つ例を挙げましょう。今回は、「外部に委託していた検査結果に数値の改ざんが
あった」と報告を受けた場合です。
外部に業務委託を行う場合、検査結果の信頼性の確保や情報管理について、あらかじめリスクを検討していなかった場合、
事実確認で手間取るうちに問題が拡大する恐れがあります。すると、企業側として正式な公表をしていない段階で、
「漏れる」形で世間へ伝わる可能性が出てきます。「不正を隠していた」と世間に認識されれば、企業としての信頼を失ってしまうかもしれません。
あるいは、意思決定が遅れることで、改ざんデータをもとにした商品が一般流通してから問題が発覚することも考えられます。これが健康や美容に関するものであれば人々の健康に悪影響を与える恐れがありますし、家電製品であれば火災につながる恐れもあるでしょう。自社の商品がこのような被害を顧客に与えてしまえば、企業やブランドの信頼は大きく失墜します。
一方で、リスクマネジメントを適切に行っていれば、迅速な事実確認と意思決定を行えます。世間への公表内容の検討、対応の内容などに誠実さがあれば顧客への被害を抑えられますし、委託先との取引を続けるかどうかの判断もしやすいでしょう。その結果、委託先の数値改ざんによって自社が被る損失は、リスクマネジメントを行わない場合よりも少なく済みます。
技術の発展、社会の価値観や情勢の変化、自然災害や感染症など、ビジネスを取り巻く環境は常に変化し続けています。予測が困難なこの状況にあって、リスクに対して無策のままでは、高額な損害賠償金の支払い、サイバー犯罪などの被害などで
大きな損失も発生しかねません。こうした時代で生き残り、企業価値を高めていくためにも、リスクマネジメントは不可欠なのです。
リスクの種類や違い
リスクマネジメントの国際的なガイドライン*1にもあるように、リスクには大別して「内部要因」と「外部要因」の2つの
分類があります。「内部要因」とは、自社で影響をコントロールできるリスク。自社のコントロールが及ばないリスクは
「外部要因」とされています。
それぞれの分類におけるリスクの種類を下表にまとめました。具体例とともにご確認ください。
| 分類 | リスクの種類 | 具体例 |
|---|---|---|
| 内部要因 |
|
コンプライアンスリスクの例 取引先である大手企業の新製品について、 公表前に知った情報に基づき取引先の株式を購入した |
| 外部要因 |
|
災害リスクの例 大規模災害の発生で通信インフラが遮断され、 業務継続が困難になった |
リスクマネジメントでは、リスクやその影響をコントロールできるか否かによって取るべき対応策が異なります。そのため、「内部要因」と「外部要因」の違いを理解し、それぞれの下位分類(リスクの種類)を把握しておくことが何よりも重要です。
*1 ISO31000(Riskmanagement-Principles and Guidelines:リスクマネジメントー原則及び指針)
リスクマネジメントと危機管理における考え方の違い
リスクマネジメント(リスク管理)と似た概念に、「危機管理(クライシスマネジメント)」があります。
危機管理とは、簡単に言えば「不祥事等の危機が起こってしまった結果」として企業が被る損失を最小化し、早期に回復するための施策のことです。
リスクマネジメントとの違いは、リスクマネジメントが自社に損失を与える事象の発生の予測と防止に焦点を当てているのに対し、危機管理は発生してしまった後の対処と企業活動の回復を視野に入れている点にあります。
可能であればリスクマネジメントによって損失につながる事態は全て未然に防ぎたいところですが、自然災害などは防ぎようがありません。そのため、リスクマネジメントとともに、万が一起こってしまった場合にどうするかという視点で危機管理を行い、被害を最小化する施策も大切です。
リスクマネジメントの基本プロセス
リスクマネジメントを行う際に有効なフレームワークが、PDCAです。ここまでの内容を踏まえ、実際にどのように
リスクマネジメントを行えばよいのか、「PDCA」に基づいたプロセスで見ていきましょう。
リスクマネジメントのPDCA
「PDCA」とは、「Plan」「Do」「Check」「Act」の頭文字を取ったもので、業務を継続的に改善する仕組みのことです。PDCAをリスクマネジメントに当てはめると、以下のようになります。
【リスクマネジメントのPDCA】
| P | 方針の決定、リスクの認識・評価・順位づけ、対応策の立案 |
|---|---|
| D | 対応策の実施 |
| C | 対応策のモニタリング |
| A | 対応策の評価・改善 |
まずPから始め、立案した施策をDで行い、その後CとAでモニタリングや評価、課題解決に向けた改善策を講じるという流れです。Aのあとは、ブラッシュアップした方針や対応策をPで策定し、次のD・C・Aへと回していきます。
このように、4つの段階を回し続けることで、より適切な方針や施策へつなげていくことを「PDCAサイクルを回す」などと
表現します。
リスクマネジメントのPDCAの要は「Plan」にあり
PDCAの中でも、リスクマネジメントで特に重要なのがPのプロセスです。
「Plan」で行うのは、リスクの洗い出し方・評価方法の検討、洗い出したリスクの評価・優先順位づけであり、そのうえで
対応策を立案すること。リスクマネジメントでは、この「リスクの認識」が極めて重要なのです。認識できていないと本来
対策が必要なリスクを事前に洗い出せず、リスクが顕在化した際に適切で迅速な対応策を取れないからです。
一般財団法人リスクマネジメント協会は、「ありえない・あってはならない・あたりまえ・あいまいさ」の4つの「あ」を
排除することが、リスクを認識するためのポイントであると述べています。多角的にリスクを検討する必要がありますので、リスクマネジメントにおけるPDCAサイクルの「Plan」には、全体の8割の時間を充てるつもりで取り組んでください。
その後の「Do」「Check」「Act」で、「Plan」の妥当性を検証する際は、「Check」「Act」において
- ・ リスクが実際に軽減したかどうか
- ・ 新たなリスクが発生していないか
- ・ リスクの影響度は変化していないか
といった点を確認するとよいでしょう。
PDCAを回して継続的な見直しを
リスクマネジメントは、「対応策マニュアルを作ったら終わり」「対応策を実施したら終わり」ではありません。
ビジネス環境や法令、ニーズや価値観は変化するものです。社内を見ても、必ずしもずっと同じ業務を続けていたり、同じ
メンバーが働いていたりするわけではありません。
リスクマネジメントのPDCAを回すことは決して簡単なことではないでしょう。それでも、時々刻々と変化するそれぞれの
リスクに対して評価・検討を行い、きちんとPDCAを回し続けることが、企業活動を続けるうえで欠かせない取り組みなのです。
リスクマネジメントの手法
自社の活動で発生し得る各リスクを洗い出した後に検討しなければならないのは、そうしたリスクへの対応方針です。これには、大きく分けて次の4種類の手法があります。これら基本のやり方をおさえることで、複雑なケースにも応用して対応できるでしょう。
【4種類のリスク対応方針】
| 分類 | 概要 |
|---|---|
| リスクの低減 | リスクの発生可能性を下げること。 例) グローバル展開する企業において、各国の法令などに抵触しないよう、海外赴任する従業員に 対して教育を実施する。 |
| リスクの回避 | リスクの発生要因をなくすこと。 例) 想定されるリスクが大きい場合、当該業務・事業をやめる。 災害の多い地域や治安の悪い地域から事業所・工場を移転する。 |
| リスクの移転 | リスク発生時の影響を他の方法でカバーすること。 例) 発生し得るリスクに備えて保険に加入し、リスク発生時に損失を充当する。 業務の一部を外部委託し、リスク発生の際は契約により損害賠償などの形でリスクを移転する。 |
| リスクの受容 (保有) |
リスクを認識するだけにとどめ、対策を行わないこと。 例) 発生頻度が低くリスクの影響が小さい場合に、そのリスクが発生し得ることを認識する。 |
どのリスクに対して、どの方針をとるかを決定した後は、関係者にきちんと周知することも忘れてはなりません。必要に応じて、社内規定にも追加しましょう。
「Pマーク」「ISMS認証」とは
リスクマネジメントに取り組んでいることを示すことは、顧客からの信頼や社会におけるイメージ向上につながります。特に第三者機関による認定があれば、自社の優位性をより高めることができるでしょう。その代表的な認定・認証制度として、「Pマーク(プライバシーマーク)」と「ISMS認証(ISO/IEC 27001)」があります。
Pマークのメリットと取得方法
Pマーク(プライバシーマーク)とは、個人情報を適切に取り扱っていることを評価された事業者であることを示すマークです。審査基準は、「JIS Q 15001:個人情報保護マネジメントシステム—要求事項」に準拠した個人情報保護マネジメント(PMS)を構築・運用できているかどうかです。Pマークの取得・使用には、JIPDECによる審査を受けなければなりません。
Pマーク取得のメリットの1つは、PMSの構築・運用によって、個人情報漏洩などの事故を予防・抑制できることです。万が一事故が発生しても、定期点検によって早期発見が可能ですし、事故後の対応や責任の所在が明確であるため、迅速に適切な対応をとることができます。
また、個人情報の適切な管理を行っていることが第三者機関によって評価されることで、顧客等からの信頼も得られます。ほぼ同条件の競合と差別化できることで、市場での優位性が高まったという企業もあるようです。
2005年に個人情報保護法が全面施行されてから、取得企業が急激に増加。2019年には、1万6,000社を超える企業がPマークを取得しました。取得したPマークは、店舗やホームページに表示するだけでなく、宣伝・広告用資料、名刺などにも使用できます。
Pマークを取得するには、JIS Q 15001準拠のPMSを構築し、実際に運用を行っていることが重要です。PMSにおけるPDCAを1サイクル以上回した段階で申請が可能となり、申請が受理されると文書審査と現地審査、審査会での協議を経てPマーク
取得となります。最短でも4カ月ほどかかるため、申請は余裕をもって行いましょう。
一度取得したPマークも、有効期間は2年間です。2年ごとに更新手続きが必要となります。
ISMS認証の認証基準と取得方法
ISMS認証(ISO/IEC 27001)は、情報管理システムのセキュリティが一定以上であることを示すものです。
ISMSはInformation Security Management Systemの略で、
- ・ 情報の機密性(=情報が漏洩しないこと)
- ・ 情報の完全性(=情報の改ざんや誤りがないこと)
- ・ 情報の可用性(=必要な時に必要な人が情報を利用できること)
を保護するための体系的な取り組みを指します。
ISMS認証の基準は、ISO/IEC 27001に準拠してISMSを構築・運用しているかどうかです。日本語訳は、「JIS Q 27001」となります。技術的な対策が行われることはもちろん、従業員への教育、体制整備なども評価対象です。
ISMSの認証を受けるメリットも、Pマークと同様に大きく分けて2つあります。社内におけるメリットは、経営層や従業員の情報セキュリティに関する意識が向上することと、情報セキュリティの管理体制や対策強化ができること。社外に対するメリットは、顧客からの信頼確保と企業イメージの向上です。
ISMS認証を行う機関は、2023年10月時点で26機関あります。認証機関一覧は情報マネジメントシステム認定センター(ISMS-AC)の公式サイトで確認できます。認証にかかる費用は認証機関によって異なりますので、複数の機関から見積もりを取るとよいでしょう。
審査を依頼する機関が決まったら、その機関へ申請を行います。申請受理と初回認証審査のあと、問題がなければ認証登録へ。認証機関からISMS-ACへ認証報告が行われ、ホームページ上で公開されます。申請から認証まで、最短でも3〜4カ月かかるようです。
ISMS認証は、取得後も年に1回以上のサーベイランス審査を受けなければなりません。さらに、認証の有効期間は3年ですので、3年ごとに全面的な審査を受け直す必要があります。
こうした定期的な審査に通過することで、自社のリスク管理についてより高い信頼性のある評価を受けることができます。
近年特に重視されるリスク管理内容
こうした情報に関するリスクマネジメントの他、近年は法令の遵守や上司と部下の関係、顧客との関係においても
リスクマネジメントを意識する必要があります。
コンプライアンス
コンプライアンスとは、狭い意味では「法令を遵守すること」です。もともとの意味には「人の期待に応える」という
ニュアンスもありますので、広く捉えれば「社会のルールに反しないこと」といえるでしょう。
現代の企業経営において、コンプライアンスは非常に重要です。帝国データバンクの「コンプライアンス違反企業の倒産動向調査(2022年度)」*2によれば、「不正発覚による倒産」は過去最多の300件となりました。コロナ禍の影響や人手不足、
物価高の影響が続く中で、「粉飾」「業法違反」「不正受給」が目立つとのこと。コンプライアンスをおろそかにすることが、企業活動の停止、倒産へつながる例は珍しくないということです。
国内の法律や助成金等の受給で不正を行わないことは当然ですが、海外で事業を行う企業は進出先の国・地域の法令にも違反しないよう注意してください。法令は新設・改正が行われますので、自社の事業に関連する法令の知識が最新であるかどうかも常にチェックしましょう。
コンプライアンス違反を防ぐ制度の構築は、次の4ステップで進めるとよいでしょう。
| 段階 | ポイント |
|---|---|
| ステップ1 コンプライアンス制度の対象領域を設定する |
発生し得る事件や不祥事について、 |
| ステップ2 関連する法令の特定を行う |
|
| ステップ3 リスクの特定と対応を行う |
|
| ステップ4 リスク対策の運用状況をモニタリングし、 フィードバックを行う |
|
この他、従業員への研修を1年に1回以上実施し、定期的にコンプライアンス違反が会社にもたらす影響や具体的に遵守すべきことなどを確認するとよいでしょう。集合研修が難しい場合は、e-ラーニングを活用しても構いません。
*2 コンプライアンス違反企業の倒産動向調査(2022年度)|帝国データバンク
パワハラ・セクハラ防止
上司と部下の関係においては、ハラスメント防止も欠かせません。ハラスメントによる訴訟には、1億円を超える損害賠償が命じられたケースもあります。社会からの信用も損なうことになりますので、ハラスメントの発生は非常に大きなリスクと
考えるべきです。
ハラスメントの中でも、職場におけるパワーハラスメント、セクシャルハラスメントについては事業主が防止対策を講じることが義務化されました。具体的に求められているのは、以下の5つの取り組みです。
- ・ 会社としての方針を明確にして、経営層や管理職も含む労働者に周知・啓発する(研修等を行う)
- ・ 労働者からの相談・苦情に応じて適切に対処するための体制を整備する(相談窓口の設置、担当者の配置、相談・苦情による不利益な取扱いの禁止を明記・周知、処罰内容を就業規則等に規定)
- ・ 相談・苦情があった場合に、事実関係を迅速かつ正確に確認し、被害者及び行為者に適正に対処、再発防止に取り組む
- ・ 相談者や行為者等のプライバシーを保護する
- ・ 業務体制の整備、ハラスメントの原因の解消に向けた措置を行う
コンプライアンスの項目で述べたように、法令は必要に応じて改正・新設されることがあります。ハラスメント関連の法令や取り組みは厚生労働省の公式サイトで紹介されていますので、定期的にチェックしましょう。
クレーム対応
顧客との関係性においては、クレーム対応に関するリスクマネジメントをより意識するとよいでしょう。今はSNSなどで一気に情報が拡散される時代です。社会における企業の評価を下げないよう、そして、顧客との関係性をより良いものにできるよう、適切なクレーム対応に向けた施策を講じてください。
従業員にクレーム対応研修を実施する場合は、次の4つの内容を取り入れましょう。
クレーム対応研修のおすすめ内容
| 項目 | 概要 |
|---|---|
| クレーム対応の重要性を 伝える |
たった1件のクレームでも悪評として拡散され、企業経営のリスクになる恐れがある |
| クレームが発生する背景を 知る |
|
| クレームの捉え方を 理解する |
|
| ケーススタディや 実践トレーニングを行う |
トレーニングを行う 良い対応かを考える機会とする |
「クレームに耳を傾け、きちんと対応してくれた」という顧客の体験は社会的な評価の低下を最小限にとどめられますし、
改善が成功すれば「誠実な対応をする会社である」という信頼関係の構築につながります。
クレームをただ「嫌なもの」として扱うのではなく、自社の商品・サービスの改善や顧客満足度向上に活かしましょう。
リスクマネジメントで危機に強い会社に
リスクの多様さ・複雑さは、関係者が多くなればなるほど、また想定する期間が長くなればなるほど複雑になり、不確定要素も多くなります。ある1つのリスクを考えても、部門によって損失・影響範囲の捉え方が異なるケースもあるでしょう。
上手にリスクマネジメントを行うには、従業員一人ひとりがリスクに対する理解を深め、リスクに敏感に反応できる知識と
組織文化の醸成が重要です。リスクマネジメント研修やeラーニングを通して、コンプライアンスやハラスメント防止、適切なクレーム対応などのポイントを学びましょう。
ALL DIFFERENT株式会社でも、リスクマネジメントに関する研修をご用意しています。集合型・オンラインの両方で受講できるリスクマネジメント向上研修では、リスクマネジメントの知識を習得できるだけでなく、ワークショップや
ケーススタディによって実践的内容に触れることも可能です。また、e-ラーニングによって個人情報保護や情報セキュリティなど、現代に必須のリスクマネジメントを学べるコースもご提供しています。
「リスクマネジメント研修」の詳細はこちら