トップ不正にバイトテロ~企業を守るリスクマネジメントプロセスとは

2019/05/31

リスクマネジメントプロセス

2018年に国際的なリスクマネジメント規格であるISO (International Organization for Standardization (国際標準化機構))31000が改定され、それに伴い日本のJIS Q(Japanese Industrial Standards (日本工業規格) の管理システム関連) 31000も2019年になって改訂が発表されました。

一方、相前後する2018年3月に発表された内閣の「平成29年企業の事業継続及び防災の取組に関する実態調査」では大企業では90%超がリスクを具体的に想定した経営をしているものの、中堅以下の企業ではその1/3以上がリスクについて未検討であることも明らかになっています。

度重なる自然災害や、近年の情報化の進展に伴う情報リスク、果てはトップによる大胆な不正から”バイトテロ”のSNSでの瞬時の拡散まで、それまでの企業の経営努力を無にしてしまう経営リスクはますます多様化しています。この機に是非自社のリスクマネジメントとそのプロセスを振り返ってみましょう。

 
1. 企業のリスクマネジメントとは

20世紀に急速に確立されてきた企業のリスクマネジメントですが、中小企業ではまだまだ十分に浸透していません。一方で、ネット環境の広がり、フィンテックのような新しい技術の発展などを背景に、資金や情報の流出、風評被害の発生・炎上から、米中関係や北朝鮮の核問題などの国際間の緊張まで、企業がその事業を遂行する中で出会うリスクは多様化、普遍化し、身近に迫っています。
ESG (環境 (Environment)、社会 (Social)、ガバナンス (Governance) を重視した経営) やSDGs (Sustainable Development Goals (持続可能な開発目標)、2015年9月に国連採択) の根底ともなっている「サステイナブル」(持続可能) な事業を確立するためにも、今一度この機会に企業のリスクマネジメントについて考えてみましょう。

 
1-1. 「リスク」と「リスクマネジメント」の定義

【リスクとは】
企業のリスクマネジメントについて定めた“JISQ31000(2019)”では、リスクの意味を「目的に対する不確かさの影響」としています。

リスクはマイナス面だけでなく、プラス面でも起こるとされ、
① 期待されていることからの乖離の好ましいもの、好ましくないものがあるとされます。

  リスクマネジメントプロセス-1 リスクマネジメントプロセス-1









 

② 様々な側面及び分野にわたるとされます

    リスクマネジメントプロセス-2 リスクマネジメントプロセス-2    









③ リスク源、起こりうる事象、結果と起こり易さがあるとされます

  リスクマネジメントプロセス-3 リスクマネジメントプロセス-3










 

【リスクマネジメントとは】
同様にこの”JISQ31000(2019)”では「リスクマネジメント」については「リスクについて組織を指揮統制するための調整された活動」と定義しています。

リスクマネジメントとは
・「リスクについて」

  リスクマネジメントプロセス-4 リスクマネジメントプロセス-4




 

・「組織を指揮統制するための調整された活動」とされます。

  リスクマネジメントプロセス-5 リスクマネジメントプロセス-5






「リスク」も「リスクマネジメント」も、言葉としては身近にあるだけ、自分なりに解釈して新たに定義することもできそうですが、ここでは上記の定義を前提に進めていきます。
例えば経産省はこのJIS規格の改正にあたってのプレスリリース (2019年1月21日) の中で「リスクを目的に対する好ましくない影響とは限定せず、好ましい影響も含むものと定義することにより」としたうえで、リスクマネジメントについても「ISOの他のマネジメントシステム規格においては、マネジメントは価値を創出及び保護する活動と位置付けていますが、ISO31000においても (中略) リスクマネジメントも価値を創出する活動と位置付けています。」と述べています。

 
1-2. リスクマネジメントの3要点

上記でも紹介したJISQ31000では2010年版の時点から、リスクマネジメントの構成を以下の3つの要点を掲げています。

1.原則
2.枠組み
3.プロセス

ただし、2010年版ではこの3点の関係性が原則→枠組み→プロセスの順であらわされていましたが、2019年版では原則を中心に、枠組みとプロセスが相互に作用する関係と再定義されています。

JISQ31000にみるリスクマネジメントの3要点とその変化 JISQ31000にみるリスクマネジメントの3要点とその変化
     図1:JISQ31000にみるリスクマネジメントの3要点とその変化 (㈱トクチョー作成)
   

本稿では「1.原則」「2.枠組み」について軽くおさらいをした後、「3.のリスクマネジメントの「プロセス」の実際について詳しく確認します。

 
【コラム】「リスクマネジメント」と「危機管理」

「リスクマネジメント」と同じように使われる言葉に「危機管理」があります。リスクマネジメントと聞いて、危機管理の事では?と思う方も多いようです。実際には、危機管理はリスクマネジメントの一部 (特に重大な悪影響を及ぼす場合についての予防や対策) あるいは次段階 (実際に起こった以降の対策) の意味で使われるのが適切です。第1章で述べたように「リスク」には想定外の好ましい事項も含めて考えるとされていますが、危機管理は、基本的に好ましくない/悪い影響で、特に被害が大きいものを想定します。重大事故やテロ、災害対策などを思い浮かべると解り易いでしょう。

 
2. リスクマネジメントの原則を確認する

JISQ31000_2019年版では、有効なリスクマネジメントが要求する要素として以下の8点を挙げています。(実際には数字ではなくアルファベット記号にて記載されています)

3章に掲げるリスクマネジメントの枠組み作り、あるいは4章に詳述するリスクマネジメントのプロセスを実行する際に、常にこの原則に照らして確認をすることで、自社のリスクマネジメントをより有効なものにすることができます。

【JISQでは・・・
~リスクマネジメントを価値を創出し保護する活動として~
1) 統合:組織の全ての活動に統合されている
2) 体系化及び包括:体系化されかつ包括的な取組み、一貫性のある比較可能な結果への寄与
3) 組織への適合:枠組みとプロセスは組織の目的に関連する内外の状況に合わせ均衡がある
4) 包含:ステークホルダの適宜の参画と知識見解及び認識の考慮
5) 動的:組織の内外の状況変化に伴りが出現変化又は消滅するリスクの変化及び事象を適切にかつ時宜を得て予測し発見し認識し対応
6) 利用可能な最善の情報:過去及び現在の情報並びに将来の予想に付随する制約及び不確かさを明確に考慮し、その情報は時宜を得て明確で、かつ関連するステークホルダが入手できるもの
7) 人的要因・文化的要因:人間の行動、文化は各レベル及び段階でリスクマネジメントの全ての側面に大きな影響を与える
8) 継続的改善:学習及び経験を通じて継続的に改善をおこなう

リスクマネジメントの「原則」の概念 リスクマネジメントの「原則」の概念
 図2:リスクマネジメントの「原則」の概念
 
   
3. リスクマネジメントの枠組みを創る

2010年時点でのJISQ31000では、「経営者の指令とコミットメント」のもとにいわゆるPDCAを回す形となっていましたが、今回の2019年版では (やはりトップのリーダシップ及びコミットメントのもとにですが) さらに組織の様々な面と「統合」された上でPDCAを実践されることとし、2010年版では設計 (Plan) の中の単なる1項目であった「統合」という言葉をその上位に置きなおしています。

【JISQでは・・・】
~リーダーシップとコミットメントのもとで~
1) 統合
 -組織の意図,組織統治,リーダーシップ及びコミットメント,戦略,目的並びに業務活動の一部となっていること

2) 設計 (Plan)
 -組織とその状況(地理的/社会的/経済的環境)、トレンド、関係者などを理解し
 -リスクマネジメントへのトップ以下のコミットメントの明示し
 -組織の役割、権限と責任等の割り当て
 -資源(人員、プロセスや方法・手段、手順、情報や知識の管理、教育など)を配分し
 -コミュニケーション及び協議の確立を図る

3) 実施 (Do)
 -時間及び資源を含めた適切な計画し、
 -各種決定が組織全体のどこで、いつ、どのように、誰に拠るのかを特定し、
 -必要に応じて,適用される意思決定プロセスを修正し
 -リスクのマネジメントに関する組織の取決めの明確な理解と確実な実施する

4) 評価 (Check)
 -意義,実施計画,指標及び期待される行動に照らしパフォーマンスを定期的に測定
 -枠組みが組織の目的達成を支援するために適した状態か否かを明確にする

5) 改善 (Action)
 -組織を枠組みに適応させ、継続的に改善する
 

リスクマネジメントの「枠組み」の概念 リスクマネジメントの「枠組み」の概念
    図3:リスクマネジメントの「枠組み」の概念

   
4. リスクマネジメントのプロセスを実行する

では、実際には企業の中でどのようにリスクマネジメントのプロセスを実行していけばよいのでしょうか。本稿の主題としてじっくり見ていきましょう。

JISQ31000では、リスクマネジメントプロセスの「一般事項」(基本) として以下の事を求めています。
① マネジメント及び意思決定における不可欠な部分であること
② 組織の体制、業務活動及びプロセスに組み込まれていること
③ 戦略や業務活動・プログラム・プロジェクトの段階で適用できること
④ プロセス全体にわたって人間の行動及び文化が持つ動的で可変的な性質を考慮すること

第2章の「原則」はリスクマネジメント全体についてのものでしたが、こちらはプロセスについての原則といえます。そのうえで、リスクマネジメントの「原則」や「枠組み」同様に、以下の事項をその構成要素として挙げています。

【JISQでは・・・】
1.コミュニケーション及び協議を十分に行う
2.適用範囲,状況及び基準を決める
3.リスクアセスメントを行う
4.リスク対応を実施する
5.モニタリング及びレビューを欠かさない
6.記録作成及び報告を行う

リスクマネジメントの「プロセス」の概念 リスクマネジメントの「プロセス」の概念

図4:リスクマネジメントの「プロセス」の概念
 

それぞれの手順について、以下で実際の手法やツールを交えながら詳説していきます。
 




 
4-1. コミュニケーションや協議で認識を共有する

まずは「リスクがある」こと、リスクがあるがゆえに「リスクマネジメントが必要である」こと、「実際にどんなリスクがあるのか」等の認識と理解を共有する必要性があります。トップに (そして社員にも) この認識がない場合、共有されていない場合、たとえ形だけ整えてもリスクマネジメントは機能不全に陥りがちです。第3章で述べた「枠組み」の中でも「リーダーシップ」と「コミットメント」に触れられていますが、このプロセスの第1歩はリーダと社員のリスクマネジメントの必要性の共有から始まります。会社や事業の置かれている環境、自社の状況などの背景と併せて共有します。

【JISQでは・・・】
1.関係者のリスク、意思決定の根拠、及び特定の活動が必要な理由を理解を支援する
2.リスクに対する意識及び理解の促進する(=コミュニケーション)
3.意思決定を裏付けるためのフィードバック及び情報の入手を可能にする(=協議)
4.コミュニケーションと協議の組み合わせで事実に基づく時宣を得た適切で正確な情報交換を促進する

具体的には以下のような取り組みを行います。

 
4-1-1. 自社の置かれている環境・状況を確認する

自社の置かれている世界情勢、自国の政治情勢、地域や産業の情勢、競合の動向などのマクロ、ミクロの外部環境と、自社の内情、リスクマネジメントの現況などを、PEST分析、5-Force分析やSWOT分析等を用いて整理し、生じている変化や今後に予見される変化と、現状のリスクマネジメント状況を確認します。

結果として、リスクマネジメントへの取り組みの必要性そのものと、後述する適用範囲や基準の基礎的な認識を共有します。

コミュニケーションにより共通理解を深めたうえで、協議による正確な情報の交換を組み合わせて行います。

 
4-1-2. 事例を知る

企業やその事業がどの様なリスクを抱えているかは、業種業態、企業形態や規模などによって様々です。

上場企業の場合は公開時の資料 (目論見書など) で市場の運営者や投資家向けにリスク事項の記載を求められますので、特に顕著なリスクについては認識ができています。また最近導入された「統合報告書」の中でもリスクと対策についてほぼ必ず触れるようになってきています。

それでも、それらに記載されているものは事業の全てのリスクを網羅したものではないですし、その様な機会のない非上場の企業等の中には「うちは大丈夫」「うちの事業はそんなにリスクはない」「そもそもリスクを検討する余裕がない」といった認識もまだまだ少なくありません。

そのような場合はまず、同業者や同じ業界、あるいは近隣の企業でのリスクの実例を知り、自社にもリスクの影響が起こりうる具体例を知ることが、リスクマネジメントの必要性を認識する近道となります。

 
4-1-3. 感性を磨きリスクを予見する

医療機関や工場の様に、一つの事故 (リスクの発現) が人の命や大けがに関わるような業種ではリスクマネジメントが比較的普及しています。院長や工場長などの監督者のもとで、部門別や職種別等に安全委員 (会) を設け、インシデント (事故の予兆) やアクシデント (実際に発生した事故) を収集、分類し対策を立てる事を繰り返す中で、どの部門あるいはどの行程で、どのようなリスクが発生するのかがある程度予見できるようになっています。

多くの企業でも、経理部などが新しい取引先について与信管理を行うのは、そこに貸し倒れ等のリスクが発生する可能性を知り、予見しているからなのです。

このように比較的頻度や影響度の高いリスクについては広く知られていますが、固有な業務、特殊な業務でのリスクや頻度の少ない事象については、組織として「そこにリスクがあるかもしれない」と想定し起こりするリスクを予見する”感性”を磨く必要があります。

 
4-2. リスク管理の適用範囲や基準を決め、体制を構築する

リスクマネジメントの必要性の認識共有が出来たら、その適用範囲や実際の体制、役割分担などを決めます。

同じ企業の中でも、例えば製造部門と販売部門、あるいは経理部門での「リスク」は内容が異なる一方、リスクマネジメントの推進や、金銭・人員といった資源の配分などは、全社での最適化が望ましいものです。この両方をかなえる為に、リスクマネジメントの体制は一般に、トップマネジメントのもと推進や資源配分を管理統制する中央集権的な組織と、部門ごとに異なるリスクの性質や内容に精通してマネジメントを行う部門別の担当者が連携する形になるのが一般的です。

組織としてのリスクマネジメントを初めて行う場合は関係者には新たな業務となるので、人選や指揮命令のルールと業務の割り当て、時間配分や報酬設定なども検討する必要があります。

【JISQでは・・・】
1.適用範囲,状況及び基準の確定により、リスクマネジメントプロセスを組織に合わせ、効果的なリスクアセスメント及び適切なリスク対応を可能にする
2.組織は、リスクマネジメント活動の適用範囲を定める
3.状況は、組織が業務活動を行う外部及び内部の環境の理解から確定される
4.基準は①取ってもよいリスク又は取ってはならないリスクの大きさ及び種類を規定 ②リスクの重大性を評価し意思決定プロセスを支援するための基準を決定 ③検討対象の活動に特有の意義及び範囲にリスク基準を合わせる、ことが望ましい

リスク対応組織の例 リスク対応組織の例
図5:リスク対応組織の例
 








 
4-3. リスクアセスメントを行う

必要性を認識共有し、対象範囲を定めて体制を整えたら、実際にどのようなリスクがあるかを抽出し、評価していきます。

【JISQでは・・・】
1.リスクアセスメントはリスク特定、分析及び評価を網羅するプロセス全体である
2.特定:組織の目的の達成を助ける又は妨害する”リスク”を発見し、認識し、記述する
3.分析:手法は定性的・定量的・それらの組合せによるが例えば次の要素を検討する
(①事象の起こりやすさ及び結果 ②結果の性質及び大きさ ③複雑さ及び結合性 ④時間に関係する要素及び変動性 ⑤既存の管理策の有効性 ⑥機微性及び機密レベル)
4.評価:追加の行為をとるかの決定のため、分析の結果と確立された基準の比較を通じて決定を裏付ける

実務上は以下のような方法を用いることが多くなっています。

 
4-3-1. フレームワークの採用とコード体系化

企業の規模にかかわらず、リスクマネジメントはその企業全体に及ぶものとなるため、効率的に進めるためにはMECE (Mutually Exclusive and Collectively Exhaustive:相互に重複がなく、全体として漏れがない=無駄なく抜け漏れがない) であることを意識して整理します。

実際のフレームワークも法律やJIS規格などで所定のものがあるわけではありませんが、企業調査等に使う際の調査項目に沿った洗い出しや戦略策定に用いる自社のバリューチェーン、PEST分析などをもとに、各部分でのリスクを洗い出す方法があります。

  リスク抽出に応用できる企業調査に用いるフレームワーク(外部環境からのリスク検討) リスク抽出に応用できる企業調査に用いるフレームワーク(外部環境からのリスク検討)
図6:リスク抽出に応用できる企業調査に用いるフレームワーク
(外部環境からのリスク検討)

 

リスク抽出に応用できる企業調査に用いるフレームワーク(内部環境からのリスク検討) リスク抽出に応用できる企業調査に用いるフレームワーク(内部環境からのリスク検討)
図7:リスク抽出に応用できる企業調査に用いるフレームワーク
(内部環境からのリスク検討)

 

  リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク
図8:リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク
(競合環境からのリスク検討(ファイブフォース))

 

  リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク
図9:リスク抽出に応用できるファイブフォースやバリューチェーンに基づくフレームワーク
(事業構造からのリスク検討(バリューチェーン))
  

上述の外部環境分析と重なる部分もありますが、経営環境分析でよくつかわれる「PEST分析」のフレームワークも事業リスクの抽出や理解に役立ちます。

   リスクマネジメントプロセス-15 リスクマネジメントプロセス-15
図10:リスク抽出に応用できる、経営環境分析(PEST分析)に基づくフレームワーク
  

これらの分析を行う際には、後述の「リスクの特定/評価」の際に集計分類等が行いやすいように大分類、中分類などのコードを体系化しておくと後々便利です。

 
4-3-2. リスクの特定

フレームワークを決めたら、実際に各項目ごとに、自社の事業に発生しうるリスクを特定するために、社内調査を行います。

社内調査は、企業の規模や組織形態、文化やリスクマネジメントへの習熟度などを考慮して、
 ① 原則全社員に対してのアンケート/質問票の送付と回答の形式
 ② トップやリスク管理に関する事務局から部門長へのヒアリングによるサンプル抽出の形式
 ③ 選出した社員(小規模の場合は部門単位等で全員参加も含め)によるワークショップ形式
などから、自社に適切な方法を選んで実施します。

実際の調査では、前項のリスクの抽出のためのフレームワークを提示し、全体の理解を得たうえで、同時に設定したコード番号にあてはめ、それを添えて回答してもらうと、同じ事柄に関するリスクの集計や重複・類似の整理などに有効です。

前項のような形でリスクが洗い出されたたら、フレームワークとそれに基づくコードによって整理分類します。場合によっては同じリスクを似た言葉、少し違う言葉で複数挙げている場合もあるため、重複しないように慎重に整理します。

 
【コラム】もうひとつのリスクマネジメント体系「COSO」

今回取り上げたISOは国際標準化機構 (とその定める基準)、JISは日本工業規格ですが、この他にもリスクマネジメントの基準があります。その代表的なものに、米国の公認会計士協会の流れを組むCOSO (トレッドウェイ組織委員会 (Committee of Sponsoring Organizations of the Treadway Commission)) が1987年に発表した内部統制のフレームワークがあります。 このフレームワークは1980年代の米国の多くの企業の経営破綻を発端に、当初は不正な財務報告の防止や発見を主な目的とした内部統制のためのもので、「COSOキューブと呼ばれる「3つのカテゴリー」(業務、財務、法令順守) と「5つの構成要素」(モニタリング、情報と伝達、統制、リスク評価、統制環境)、さらにこれらを担う「部門/企業活動」の立体的な構成に特徴がありました。このCOSOも2004年に更新され、目的カテゴリーは「戦略」を加えた4つに、構成要素にはさらに「イベント識別」「目標設定」「リスク対応」を加えた8つの要素となった「COSO-ERM」(Enterprise Risk Managemet Framewark) になり、さらに2017年にはここでもリスクの定義にプラスの要素を取り入れてISO31000 (2018)と平仄を合わせたうえで、リスクの5つのカテゴリと23の原則などを挙げて一段と「リスクマジメント」の重要性を強調したものとなりました。こちらも日本語での解説書などがもう出ていますので、興味のある方はぜひご一読ください。

リスクマネジメントプロセス-16 リスクマネジメントプロセス-16
 
4-4. リスクの評価

リスク事項が整理されたら、今度はリスク事項を評価していきます。
中小企業でも数十から、大企業では千単位のリスクが特定されることがありますので、これらを評価して、発生の事前回避や発生時のリスクコントロールの為に、会社の資源の配分を考えておかねばなりません。

評価方法や基準にも決められたものはありませんが、方法論としては「リスクマトリクス」を用いて評価する手法が多いようです。

 
4-4-1. 「リスクマトリクス」によるリスクのマッピング

特定された個々の「リスク」を表す特性には「発生部署」、「発生個所」、「時間帯」、「頻度」や「影響度」などがありますが、特に準備や対応のプライオリティー付けに使われるのは「頻度」と「影響度」です。

具体的には縦軸に (主に被害金額等の) 影響度を取り、横軸に年間の発生件数等の頻度を取り、各3段階程度に分けて、高頻度・高被害のものを最重要課題とする方法です。
下図に頻度、影響度を共に3段階にした場合の例を示しますが、頻度や影響度の指標と段階分けは、企業規模や事業特性 (命に関わるような重大なものか、軽微なものかなど) で大きく異なります。

  リスクマトリックスの例 リスクマトリックスの例
図11:リスクマトリクスの例
  

また、それらの評価を「全社レベル」「事業部レベル」「部/課レベル」「役職・部門別」などでも行い、それぞれでの予防策や対応策を考える必要もあります。

 
4-4-2. 対応すべきリスクの選定と対応方法の検討

リスクの特定と評価が完了したら、重要度の高いリスクから、どのように予防し、発生時にはどのように対応すべきかを検討していきます。

対応策については基本的にはリスクを発生させないことが第一ですが、例えば安価な部品の精度の向上のために金型や工作機械を新たに作るよりも、不具合の発生時にすぐ取り換える方が経済的なメリットがある場合など、最終的なコスト(資源)配分を考慮しながら決定します。
その内容は「リスク管理表」などにまとめ、それの沿ったチェックや対応、記録記入を行うことで、リスクマネジメントが自然に業務の中に取り込まれるように仕組んでいきます。

 
4-5. リスクの対応計画の策定

リスクを特定し、評価し、対応策を検討したら、リスク対応計画としてまとめます。

全社から部門、社員一人ひとりまで、全体の「統合」を意識しながら、計画を策定し、一定の期間でモニタリングして対応計画そのものを評価し、必要に応じて改善を積み重ねていく、いわゆる「PDCAを回す」枠組みへと帰っていきます。

  リスク対応計画書の例 リスク対応計画書の例
図12:リスク対応計画書の例
 
4-6. リスク対応の実施

リスクを特定し対応計画を定めたら、いよいよリスク対応の実施です。
リスク対応はリスクが春減する前の予防策から始まり、当初定めた対応を実施後の確認と、必要があれば (当初計画になかった) 追加対応までも含めて行われます。

【JISQでは・・・】
1.リスクに対処するための選択肢を選定し実施する
2.次の事項の反復的プロセス:
①対応の選択肢の策定及び選定 ②対応の計画及び実施 ③対有効性の評価 ④残留リスクの評価 ⑤必要な追加対応の実施
といった形で表現されています。

 
4-7. リスクの対応のモニタリング及びレビュー

事業に関わるリスクを想定し、対応策を決めて実行に移したら、その対応策が有効に機能しているかどうかをモニタリングし、レビューします。

リスクマトリクスで見たように、軽微でも頻繁に発生するものから、ほとんど発生しないが万が一発生したら影響が重大なものまで様々ですが、それぞれの特性に合わせ、日々、週次、月次、年次の様に、いつ誰がどのようにモニタリングするのかを「設計」し、リスクアセスメントや対応計画が適切であったかをレビューして必要があればリスクの評価や対応のプロセスを修正することを繰り返していきます。

【JISQでは・・・】
1.プロセスの設計、実施及び結末の質及び効果を保証し、改善する
2.責任を明確に定め、プロセス及びその結末の継続的モニタリング・定期的レビューを計画的に実施
3.プロセスの全段階で行い、結果を組織のパフォーマンスマネジメント、測定及び報告活動全体に組み込む

 
4-8. リスクの対応の記録作成及び報告

リスクをモニタリングしたり、対応策の修正などを行ったら、記録し、定期的にリスクマネジメントを担当する組織に報告し、必要に応じてより高次なプロセス変更や必要なリソース配分の変更を行い、全社的に統合された中で、PDCAのプロセスにつなげることで、より適切なリスクマネジメントを実現していきます。

【JISQでは・・・】
1.適切な仕組みを通じてプロセス及びその結末を文書化し報告する
2.目的:組織全体に活動及び結末を伝達/ 意思決定のための情報を提供/活動を改善/関係者とのやり取りを補助
といった形となっています。

 
5. まとめ

1916年にフランスの経営者/経営学者アンリファヨールが著した「産業ならびに一般の管理」が始まりともいわれる企業経営におけるリスクマネジメントですが、発表から1世紀を経た今日でも、ビジネスのグローバル化やモバイルも含めたネット環境の普及などにより、企業のリスクが十分にコントロールされてるとは言えず、事故や不祥事による企業のダメージはむしろ増えているように思われます。

冒頭でリスクマネジメントは原則/枠組み/プロセスが三位一体となって全体を構成すると述べましたが、これまで見てきたそれぞれの詳細も含めて再度全体像を描いてみると、その全体像は結局下記の図のようになります。

  リスクマネジメントの全体像 リスクマネジメントの全体像
図13:リスクマネジメントの全体像
 

影響度の大きなリスクの発生は、場合によっては一撃で、大企業でさえもその存続を危うくします。
一方で、ESGやSDGsの拡がりに見るように事業の継続性の確保は市場経済での重要な課題となっています。

まだリスクマネジメントを事業に取り入れていない企業はもちろん、既にリスクマネジメントを導入されている企業でも、企業経営におけるリスクマネジメントの世界標準であるISO31000とそれに基づくJISQ31000が改定されたこの機に、ぜひ自社のリスクマネジメントあり方を再検討してみてはいかがでしょうか。

ビジネスでの調査なら総合調査のトクチョーへ

1965年創業の信頼と実績。
総合調査会社として、企業経営やビジネスでの意思決定に必要な、データベースからは得られない情報をお届けしています。

状況に応じた多面的な調査により、取引先や競合企業についてより充実した理解のためにご利用いただけます。

また、労務管理にまつわる社員の調査、クレーマーや不審人物の素性調査等もお気軽にご相談ください。

1965年創業の信頼と実績。
総合調査会社として、企業経営やビジネスでの意思決定に必要な、データベースからは得られない情報をお届けしています。

状況に応じた多面的な調査により、取引先や競合企業についてより充実した理解のためにご利用いただけます。

また、労務管理にまつわる社員の調査、クレーマーや不審人物の素性調査等もお気軽にご相談ください。