リスクマネジメント（リスク管理）とは

「リスクマネジメント（リスク管理）」とは、企業・組織を取り巻くリスクを洗い出し、特に重要と思われるリスクをリストアップした上で、対策を施し、損失の回避や軽減を図る行動を指す。リスクが発生する前に対応策を講じる、リスクが顕在化した後に緊急対応するという2つのケースがある。ちなみに、ビジネスにおけるリスクについて、国際的なガイドラインであるISO31000では、「目的に対する不確実性の影響（Effect of uncertainty on objectives）」と定義付けている。

リスクの分類

一般的に、リスクは「純粋リスク(マイナスのリスク)」と「投機的リスク(プラスとマイナスのリスク)」に分類される。それぞれについて解説したい。

●純粋リスク

「純粋リスク」とは、偶発的な事故や人為的なミスによって発生するリスクを指す。これが生じると企業は損失のみを受けるだけで、利益は得られない。そのため、マイナスのリスクとも称されている。具体的には、以下のリスクが挙げられる。

・財産リスク
火災・爆発や風水災および地震などによる財物の損壊、機械的・電気的事故による財物の損壊、詐欺や盗難などによる財物の滅失

・費用・利益リスク
財産リスクに伴う事業の中断や施設の閉鎖による売上減少や経費の支出

・人的リスク
経営者・従業員の死亡、後遺障害、傷害、疾病、雇用差別など

・賠償責任リスク
不注意や過失による法的賠償責任、製造物責任（PL）、株主代表訴訟など

●投機的リスク

一方、「投機的リスク」とは政治や経済などの情勢変動といった環境変化に伴うリスクを指す。ビジネスリスクと称されることもある。企業は損失を受けることもあるし、逆に利益を得ることもあり得る。具体的には、以下のリスクが挙げられる。

・経済的情勢変動リスク
景気や為替および金利などの変動、デリバティブや投機損失

・政治的情勢変動リスク
政策変更や政情不安および政権交代、政変・革命、消費者の嗜好変化・消費動向変化、規制の緩和または強化、規格の変更

・法的規制の変更に関わるリスク
税制改正、法律や命令・条例の改正

・技術的情勢変化に関わるリスク
新発明や技術革新および特許

リスクマネジメントの目的

「リスクマネジメント」の目的は、問題が生じた際の事業存続である。どんなリスクが起こりえるか、万が一起こってしまった場合にどれだけの影響があるかを把握するとともに、取り得る限りの対策を施しておくことで、損失を最小限に留めることが可能となる。

もう一つは、投資家に向けたアピールである。近年は、リスクの影響が企業内に限らず社会全体にまで及ぶという考え方が広がってきている。そうしたことが起きないよう、「自社ではここまで取り組みを行っている」とメッセージすることで、投資家の印象をより良くしたいという狙いもある。

リスクアセスメント、リスクヘッジ、クライシスマネジメントとの違い

「リスクマネジメント」に類する用語に、「リスクアセスメント」や「リスクヘッジ」、「クライシスマネジメント」などがある。どう違うのかを説明しよう。

●リスクアセスメント

「リスクアセスメント」とは、「リスクマネジメント」における1つのプロセスを指す。具体的には、リスクの特定・分析および評価をする段階を言う。「リスクマネジメント」には、「リスクアセスメント」の他、リスクへの対応措置や効果測定なども含まれる。

●リスクヘッジ

「リスクヘッジ」とは、想定されるリスクに備えて事前に何らかの施策や方策を施すことを言う。リスクには想定外の事態も含まれる。そうした状況であっても、影響を極力抑える取り組み・工夫も「リスクヘッジ」には含まれる。これに対して、「リスクマネジメント」にはリスクの対策だけでなく、リスクの分析やモニタリングなどの管理体制の構築・運用も含まれる。

●クライシスマネジメント

「クライシスマネジメント」とは、既存のマニュアルでは対応が不可能なレベルの重大事故・緊急事態に備えて対応することを意味する。具体的には、テロや大地震などが挙げられる。いずれも、「リスクマネジメント」よりも影響力が深刻な事象に対処することになる。そうしたケースでも、被害を最小限度に留めるための対策を施すことを言う。

リスクマネジメントの基本的な考え方と展開の仕方

リスクマネジメントのガイドラインであるJISQ31000（国際規格ISO31000）では「リスクマネジメント」の基本的な考え方と展開の仕方を示している。ポイントとなるのは、リスクマネジメントの「原則」と「枠組み」、「プロセス」の3つだ。

リスクマネジメントの原則

「リスクマネジメントの原則」とは、「リスクマネジメント」のあるべき姿・目指すべき姿を意味する。全部で11の原則がある。具体的には、以下の通りである。

リスクマネジメントの枠組み

「リスクマネジメントの枠組み」とは、「リスクマネジメント」に取り組むための基準を意味する。環境が逐一変わっていくだけに、それに適応するよう継続的に見直し、改善する姿勢が求められる。具体的には、以下の要素がある。

●統合

「リスクマネジメント」を、企業・組織の狙いや組織統治、戦略、リーダーシップ、コミットメント、目的、営業活動の一部と位置づける。

●設計

組織の現状やステークホルダーの意向を理解し、「リスクマネジメント」に対するコミットメントを明らかに打ち出す。

●実施

時間と資源も含めて綿密に計画し、各種決定が誰によって成されるのかを明確にする。

●評価

「リスクマネジメント」の意義や実施計画、指標などに基づいて成果を継続的に測定し、組織の目的実現を支援できているかを明らかにする。

●改善

企業・組織を枠組みに適応させながら継続的に改善する。

リスクマネジメントのプロセス

「リスクマネジメントプロセス」とは、リスクを認識して対処していく過程を言う。具体的には、以下の5つのプロセスがある。順番に見ていこう。

（1）コミュニケーションおよび協議

「コミュニケーション及び協議」は、組織と関わるさまざまなステークホルダーとの意思疎通を図ることを意味する。具体的には、「リスクマネジメント」に対する組織構成員の目線合わせや組織外のステークホルダーに対して「リスクマネジメント」導入の必要性を説明し、理解を得ることを言う。特に、「リスクマネジメント」のトップとなる責任者とのコミュニケーションは重要となる。

また、組織に対するステークホルダーからの期待は、時々刻々変わってゆくので「コミュニケーション及び協議」は、「リスクマネジメント」の各プロセスにおいて、継続的に行う必要がある。

（2）適用範囲、状況、基準の確定

「適用範囲、状況、基準の確定」は、「リスクマネジメントプロセス」を進めるに際して、事前に取り決めておく事項を確定する作業を意味する。具体的には、組織が置かれている状況を整理した上で、「リスクマネジメント」を適用する範囲を決めたり、どの程度のリスクであれば重要なリスクと考えるための基準を設けたりする。

（3）リスクアセスメント（特定・分析・評価）

リスク特定とは、リスクを洗い出すことを言う。「何が・どのように」発生し得るかを、リスク分析シートなどに基づいて各部門からリストアップし、それらを各部門の関係者が集約し、ブレーンストーミングなどを行い抽出する方法が一般的だ。次に、リスク分析とは、洗い出されたさまざまなリスクを影響度と発生確率によって算定したり、客観的な統計データなどを基にできる限り定量化したりすることを言う。最後にリスク評価とは、リスクに対応する前段階で重要なリスクを絞り込み、対応の優先順位を付けて処理することを意味する。

（4）リスク対応（リスクコントロール、リスクファイナシング）

機能面に注目するとリスク対応は、リスクコントロールとリスクファイナンシングに大別される。リスクコントロールとは、リスクの回避や損失防止、損失削減、分離・分散などを行うことを言う。一方、リスクファイナンシングは損害が発生した後に資金手当てを行うことを意味する。実際には、この2つを組み合わせて、効果的なリスク対応を図っていくことになる。

（5）モニタリングおよびレビュー

最後のプロセスとなるのが、モニタリングとレビューだ。「リスクマネジメント」がしっかりと機能しているか、「リスクマネジメント」の目的と目標が達成できているか。それらを継続的にチェックしていくことが大切になってくる。

まとめ

現代は予測不能なVUCAの時代と呼ばれている。それだけに、企業・組織はさまざまなリスクに直面している。それらにどう取り組んでいくのかの施策も多種多様だと言っていい。また、どれが正しい、間違いというものでもない。重要なのは、それぞれの企業・組織の実状に合致した「リスクマネジメント」を構築し運用していくことだ。そのためにも、ステークホルダーとの対話や情報共有を疎かにせず、継続的にウォッチし、以前と比較して多少なりとも前進したのか、改善されているのかを確認するようにしたい。