リスクマネジメントとは? 組織全体で取り組むべき優先課題|コラム|人材育成・教育研修

2017.10.11 |NEW!

グローバル化と情報化の進展により、事業を取り囲む環境は不確実性が増しています。一昔前であれば「あり得ない」と思っていたことでも簡単に起こってしまう時代、経営やプロジェクトマネジメントにおいてリスクをどう捉え、どう管理することが大切でしょうか。今回はリスクマネジメントについて考えたいと思います。

リスクマネジメントとは? 危機管理とどう違う?

企業を取り巻くリスクには様々なものがあります。事故や自然災害、コンプライアンス違反、他社の権利侵害、為替や株価の変動、関連法の改定、情報セキュリティの脅威など、数え上げればきりがありません。グローバル化・情報化の進展がもたらす急速な事業環境の変化によって、リスクが企業に与えうるインパクトや影響範囲は計り知れないほど大きくなっています。このような背景に伴い、リスクに対する備え(リスクマネジメント)は以前よりもはるかに重要視されるようになってきています。

リスクマネジメントとは? 組織全体で取り組むべき優先課題

ところで、そもそもリスクとはどう定義されるものでしょうか。リスクマネジメントの国際的なガイドライン※1 の冒頭では、「目的に対する不確かさの影響」と定義されています。もう少し読み進めてみると、序文の中で「あらゆる業態および規模の組織は、自らの目的達成の成否および時期を不確かにする内部および外部の要素ならびに影響力に直面している。この不確かさが組織の目的に与える影響を“リスク”という」と解説されています。経営者やプロジェクトマネジャーは、これら「プロジェクトの目標達成を阻む不確実な要因」=リスクをしっかりと捉えて、対応策を立てる必要があるのです。

では、具体的にリスクにはどのようなものがあるでしょうか。上述のガイドラインに則り、リスクが内部の要素か、外部の要素かで分類してみると以下のように分類できます。内部の要素としては財務リスク、コンプライアンスリスク、オペレーションリスク、戦略リスクなど。外部の要素としては市場・社会の変化、災害関連などです。これらのリスクが起こり得る可能性を考慮し、事前に回避策や低減策を取ることがリスクマネジメントです。

このように見ると、「危機管理」と「リスクマネジメント」の違いがよく分からないという方もいらっしゃるかもしれませんが、危機管理学研究等の見解をまとめると、次のような違いがあります。危機管理とは上記のようなリスクが「起こってしまった結果」として企業が被る損失を最小化させる諸施策を指します。これに対してリスクマネジメントは、将来起こり得る危機に対して、リスクを回避したり低減させたり許容した上で対応策を取ることを指し、危機管理よりも能動的な事前の備えと言うことができます。

リスクを予め評価した上で、その対応をどうするかはマネジメントの判断になりますが、リスク対応は一般的に以下の4つに分類されます。

【リスク対応の分類】

  • リスク回避:リスクを生じさせる要因そのものを取り除くような対応です。リスク破棄とも呼ばれます。ある手段を取った際に想定されるリスクが非常に大きい場合、リスク回避策が取られるケースがあります。
  • リスク移転:リスクを組織外に「移転」するような対応方法です。リスク共有とも呼ばれます。災害対策として保険に加入するといったケースがリスク移転にあたります。
  • リスク低減:リスクの発生可能性を下げる、もしくはリスクが顕在化した際の影響の大きさを小さくする、または、それら両方の対策をとるような対応方法です。
  • リスク保有:リスクを許容し、特別な対策を取らずに受け入れる対応です。リスクの発生頻度が極めて稀、もしくは発生した際の損失が極めて軽微である場合、または、現実的な対策がないためやむを得ず受け入れると判断された場合に選ばれる対応方法です。

なお、よく言われる「積極的にリスクを取る」「戦略的にリスクを取る」という行動をとる際は、ただ「リスクを取る」だけではなく、これらのリスク対応策を講じる必要があります。

では、リスク対応策を講じた結果、リスクマネジメントがうまく機能している状態というのはどのような状態でしょうか。

例えば、あるリスクが顕在化してしまったとき、当然ながら現場担当者は事態の収束やリカバリーを迫られ最優先で対応することになりますが、リスクマネジメントをうまく行っているリスクオーナー(リスクの運用管理について説明責任と権限をもつ人)からすると「起こって欲しくなかったが、想定していた事態」であり、「経営やプロジェクト遂行に影響が及ばないように先回りして手が打ってある」ために慌てることはありません。このように、事前に想定していた範囲に損失が収まるようにコントロールしつつ、当初の目標達成へ向けて対応を続けるのがリスクマネジメントがうまく機能している理想的な状態といえるでしょう。

※1 ISO31000(Riskmanagement-Principles and Guidelines:リスクマネジメントー原則及び指針)

リスクマネジメントにおける肝:「リスク認識」と「組織文化」

上記のような理想的な状態は、実は現実にはそう簡単なことではありません。
経営におけるリスクの多様さ・複雑さは言うに及ばず、一つのプロジェクトにおいても、関係者が多くなればなるほど、また完了までの期間が長くなればなるほど、不確定な要素は増え、考慮、対応すべきリスクは増えます。同じリスクでも、部門によって利害が一致しないために損失・影響範囲の捉え方が異なるといったことも考えられ、リスクマネジメントは緻密なプランニングと組織的な対応が欠かせません。

リスクマネジメントは、「マニュアルを作ったら終わり」というものではなく、時々刻々と変化するそれぞれのリスクに対して、きちんとPDCAを回していく必要があります。

リスクマネジメントのPDCA

P 方針の決定、リスクの認識・評価・順位づけ、対応策の立案
D 対応策の実施
C 対応策モニタリング
A 対応策の評価・改善

PDCAの中でも、特にPlanの中の「リスクの認識」が肝になります。認識できないものは管理する術がなく、リスクが顕在化したときにはリスクオーナーにとっても「想定外」の事態となり、目標達成に影響が出る危険性があるためです。そこで、リスクの認識においては、日ごろの常識や思い込みを排して、「無理やりにもリスクを発見する」ぐらいの意識で棚卸をすることが重要です。リスクマネジメント協会の資料では、リスクの認識におけるポイントとして、「ありえない」「あってはならない」「あたりまえ」「あいまいさ」の4つの「あ」を排除することが述べられています。

また、リスクは専門部署だけで認識・管理できるものはありません。

"

リスクに強い組織とは、全社員が「リスク」と「顕在化した際の損失、影響」を一定レベル以上理解し、リスクに対し敏感に反応する組織文化を形成することです。そのためには、当然のことながら経営者の役割が大きくなります。経営者が、リスクに対する考え、保有、対応を判別するガイドラインを明確にする必要があります。全てのリスクを管理するなどという指示は、現実的ではありません。リスクに対する理解や感性は、組織のごく一部で高めるものではなく、“文化”として全社で高めていくものなのです。会議やミーティングの場では常に議案に付随するリスクが検討され、リスク対応に関する責任の所在を明確にしておくと良いでしょう。

(リスクマネジメント協会Webサイト「リスクマネジメントLesson」より引用)

"

リスクに対する理解を深め、リスクに敏感に反応できる組織文化を形成するためには、日ごろの社員教育が不可欠です。研修やeラーニング、TQC活動などを活用し、ぜひ組織全体でリスクに対する意識および知識を共有してみてください。

対象別の育成ポイント

関連情報一覧
人材育成コラム一覧

  • Share on Google+