中国で猛威を振るっている新型コロナウィルスは世界中に拡散しつつあり、世界経済に深刻な打撃を加える様相を呈しています。日本の企業においても経営への影響が懸念され始め、リスクマネジメントの重要性が再認識されそうです。
大災害などを予測するのは困難ですが、企業には突発的な事象を含め様々なリスクに見舞われる可能性があります。このリスクは既存の企業だけでなく会社設立直後の企業にも起こり得ることであるため、ある程度の対策を備えることは重要です。
今回は企業のリスクマネジメントを取り上げ、リスクの内容・種類、その影響やリスクマネジメントの方法などを説明します。会社設立後から必要となるリスクマネジメントに興味がある方などはぜひ参考にしてください。
1 企業にとってのリスクと発生による影響
ここでは企業にとってのリスクにはどのようなものがあり、どのような影響や問題を及ぼすかという点を確認していきましょう。
1-1 リスクによる企業活動への影響
起業後成長し事業規模が拡大していく過程では予測していなかった様々なリスクに見舞われることも少なくありません。ここではそのリスクがどのような影響をもたらすのか説明します。
①大規模災害
日本で発生する災害は、地震・津波、台風・暴風、集中豪富(ゲリラ豪雨等)、河川の氾濫、火山活動(噴石、溶岩、火砕流や火山灰等)、豪雪 などが多いです。これらの発生によるリスクはその規模や強さなどで異なりますが、大規模なものが発生すれば企業が被る被害は甚大になります。
2011年の東日本大震災では建物の倒壊とともに大津波により沿岸地域が大きな被害を受けました。民家や商業施設のほか工場等の生産施設などが海水に流されたり、浸水したりして企業活動は停止に追い込まれています。
東京電力の福島原子力発電所では地震による電源喪失でメルトダウンを起こす事故に至り、発電ができなくなるだけでなく空中、土壌、海水への放射能漏れを招きました。このことにより近隣住民は疎開を余儀なくされ、農林水産業などでは放射能汚染という風評被害等に伴う業績悪化に陥ったのです。
2019年では台風や暴風が民家や農作物への被害をもたらし、都会では排水能力を超える雨量により地下や低い土地での浸水なども起こりました。
このような大規模災害が一度起これば企業の活動は停止せざるを得なくなります。自社がその災害に直接的な被害を受けなくても従業員や取引先などが被害を受ければ何らかの影響が出て、ケースによっては活動を中断せざるを得なくなるのです。
②突発的な不況
産業にもよりますが景気はある程度循環するため、あらかじめ景気の後退局面に備えること不可能ではありません。しかし、リーマンショックのようにある時期、ある事象をきっかけに急激な景気の後退に動く局面は、企業にとって致命的なリスクになり得ます。
アメリカのサブプライム住宅ローン問題に端を発した2008年9月のリーマン・ブラザーズの経営破綻「リーマンショック」から世界の金融市場が混乱し始め世界経済に大きな影響を与えました。
日経平均株価では9月12日の終値が12,214円から10月28日には6,995円まで下落しています。米国でもリーマンショック以前の失業率が5%台だったところ10月には10%台になるほか、12月期のGDPは前期比でマイナスへと景気後退に突入してしまったのです。
日本の中小企業等の倒産件数は2008年と2009年において2007年と比べ大幅に増加しており、リーマンショック後の影響がいかに大きかったが窺えます。
③コンプライアンス違反
一般的に法令遵守のことをコンプライアンスと呼びますが、企業が法令や企業倫理等に背いた行動をとると、法的な罰則を受けるのみならず社会的な制裁が科せられるケースも少なくありません。
粉飾決算や試験データの偽装などを行った場合、法的なペナルティーも軽くないですが、業界関係者、取引先や消費者のほか世間全般からの信頼や信用を失ってしまいます。
税法上のルールを違反すれば金銭的な罰則が科せられ、企業は資金繰りで重い負担を背負うことになりかねません。試験偽装などが発覚すれば製品リコールや営業停止などの処置を受け、事業活動をストップせざるを得ない状況に陥ることもあります。
食品などでのコンプライアンス違反では、消費者からの信頼を失い関係商品のブランドのみならずその会社のすべての商品の売上に影響することもあるのです。
株式会社帝国データバンクの情報によると、コンプライアンス違反に関連した企業倒産件数は、2012年度以降2018年度にわたり7年連続で200件台となっています。
2018年度では、詐欺的な資金調達が実施されていたとされる「ケフィア事業振興会」グループの連鎖倒産によりこの倒産件数が増加しました。また、投資関連の不動産市場に少なからぬ影響を及ぼした「スマートデイズ」の倒産も世間からも注目されています。
このようにコンプライアンスに関わる問題は広範囲であり、影響も決して小さいもので済まないケースが多いことから会社設立時から少しずつでも適切な対応をとることが重要です。
④パンデミック
2019年は中国で新型コロナウィルス感染症が発症し、武漢市のみならず中国全体の経済や市民生活に影響が生じ、2020年からその影響が世界に広がりつつあります。
武漢市は中国の「中国製造2025」のモデル都市となっており、半導体やハイテク部品などの先端製造業が集積する都市で、アジアでのサプライチェーンの中心地の1つです。この新型コロナウィルス感染症の発症により武漢市は事実上の外出禁止となり同市の経済活動は停滞を余儀なくされています。
日本企業も約160社が進出していますが、一時的に操業を停止する企業も現れており、日本政府は邦人の帰還措置を発動しています。2020年に入り中国人の入国禁止という人の移動の制限が各国で出始め、中国人のみならずアジア系の人達の出入りを禁止する動きや差別的な言動なども聞かれるようになりました。
中国の邦人企業ではユニクロやイオンなどで営業活動の一時的停止が始まり、自動車部分品等製造業などへの影響が懸念されています。素材・部品等の製造業などの中には、自社のサプライチェーンに大きな影響を受ける企業も出てくるでしょう。
パンデミックへの対策は容易ではないですが、発症した場合の事業への影響を事前に分析し何らかの対策を早急に取れないと致命的な打撃を受けかねません。
⑤情報に関連したトラブル
情報を適切に取り扱うことができないことで企業は様々なリスクに見舞われます。個人情報保護が重視される現代において企業からの個人情報が流出すれば、損害賠償による金銭的負担とともに利用者からの信用を失い事業が停滞する恐れも生じかねません。
また、自社の重要情報を不正アクセスにより失えば、事業上の競争力を失う可能性も出てくるでしょう。或いは自社ネットワークでのデータを喪失したりシステムに障害が起きたりする場合でも顧客へのサービスの中断や営業活動の停止などに追い込まれる可能性もあります。
現代の企業経営において情報をいかに適切に処理し活用できるかが企業の発展に欠かせない要素となっているため、情報に関連したリスクは企業の命運を大きく左右することになるのです。
⑥取引関係や経済の変化
経済全般や業界での一時的な変化が大きなリスクになるケースもあります。最も起こりやすいのが主要取引先の倒産ですが、これには販売先だけでなく仕入先においてもその影響は決して小さなものになるとは限りません。
たとえば、売上高の約半分もあるような販売先が倒産すれば、売上債権の回収不能により即連鎖倒産に追い込まれる可能性が高いです。売上債権が回収できたとしても急に売上の大半を占めている顧客がなくなれば、その穴埋めを短期に実現するのは困難であり、やはり経営が苦しくなるでしょう。
また、仕入商品の半数を占める仕入先が倒産した場合、既存商品の供給が断たれることになり事業が成り立たなくなる可能性が高まります。
こうした主要取引先の倒産は先の突発的な不況などにより生じますが、急激な為替や金利などの金融市場での変化に伴うことも多く、それらが主要取引先や業界に影響を及ぼし結果的に自社に跳ね返るというリスクとして出現することもあるのです。
⑦労務問題や従業員テロ
企業の貴重な経営資源の一つである従業員に関連したリスクも少なくありません。労使の関係がギクシャクすれば、企業活動に一体感が無くなり効率的な業務遂行は難しくなります。
非効率な業務運営はコスト増を生むだけでなく、負担の重い業務からは顧客へのサービス低下などに結びつき業績を落とす一因になりかねません。また、従業員のモチベーションが低下すれば、業務改善を望むことも困難になるほか革新的な業務アイデアなどを期待するのも難しくなるでしょう。
また、業務内容と報酬のバランスが悪くもないのにいたずらに労働者の権利や待遇改善などを主張してストを頻繁に起こされては企業の経営は立ち行かなくなってしまいます。
最近では従業員やアルバイトなどの労働者が業務中のいたずらを動画で配信するといった行為が目立ち始めましたが、これらの企業や店舗などでは顧客からの支持を失うこともあるはずです。
大企業ほど多くの従業員を雇用して事業を運営しなければなりませんが、彼らに対する取り扱い方でその従業員が大きなリスクになることもあります。
1-2 リスクの顕在化に伴う影響に関する事例
リスクが発生した場合、具体的にどのような影響が生じるかその事例を紹介しましょう。
①災害
災害というリスクの影響を見る場合、「東日本大震災」に伴う企業倒産件数が参考になります。下図の資料は株式会社東京商工リサーチがHPで提供しているもので、震災から7年経過した2018年までの企業倒産件数のデータです。
発生した2011年3月から倒産が急激に増加し、8月の負債総額は5,000億円近くまで上っています。
(引用:株式会社東京商工リサーチ)
また、東京商工リサーチ社のHPでは2018年7月の関連倒産の事案として、水産物加工販売の太洋産業(株)と清酒製造の醉富銘醸(株)を紹介しています。
太洋産業社は北海道や岩手県に加工工場を有し「タイサン」ブランドの塩干物や生鮮魚等の加工販売でピーク時の売上高は330億円にも及んでいました。東日本大震災による津波で大船渡工場が全壊して業績を大きく落とすことになり、その後も経常利益の赤字が続き民事再生法の適用を申請するに至ったのです(2018年12月東京地裁より破産開始決定を受ける)。
醉富銘醸社は1917年創業の老舗の酒造メーカーで、同社の清酒「醉富」は地域では有名でした。東日本大震災により醸造設備が被害を受けるとともに売上の低迷が続き、2016年8月に工場を閉鎖しています。不動産賃貸業で会社を支えていましたが、破産手続をとるに至ったのです。
②リーマンショックによる影響
リーマンショックが企業業績に大きなダメージを与えていますが、その点に関する情報を東京商工リサーチ社が提供しています。下図の内容は国内企業の業績推移をまとめたもので、2007年度の値を100%として次年度以降の業績と対比させたグラフです。
全企業の売上高については、2018年度に至るまでに一度も2007年度レベルまで回復していません。利益については2008年度に18.1%と大きく落ち込んでから2012年度まで回復できていないのです。
(引用:株式会社東京商工リサーチ)
上表のとおり利益がリーマンショック後に大きく落ち込みましたが、売上高自体は利益に比べてまだ緩やかな下落です。金融市場が不安定化や委縮して経済活動が停滞し始めても仕事や取引がすぐに大幅に減少することはありません。
しかし、消費者やユーザー等での購買意欲の低下→企業の販売量の低下や値引き対応→設備投資の抑制、取引先への値下げ要請、円高の進行→企業利益の大幅な減少→さらに景気の低迷 といった流れで経済が長期に渡って悪化することもあるのです。
こうした状況が5年も続けば既存の事業に限界が訪れ倒産に繋がるケースも少なくありません。その一つの例が第一中央汽船社の倒産でした。
リーマンショック後同社は受注減少、燃料費の高騰、円高の高止まりなどにより経営が厳しくなっていき、売上高の落ち込み(需要減少と運賃の低下など)とともに2012年3月期から2015年3月期まで、4期連続で最終赤字となっています。
また、運賃市況の悪化の中、船舶価格の下落を根拠とした船舶の大量発注が裏目に出て、市況が回復する前に経営破綻に至ったのです。
③コンプライアンス違反
様々なコンプライアンス違反がよく見聞きするようになっていますが、その代表的なタイプとしては不正会計や偽装事件などになるでしょう。
不正会計の事例としては東芝の件がまだ記憶に新しいはずです。東芝の不正会計事件では、インフラ、半導体、テレビ、パソコンなどの各事業で利益の水増しという粉飾決算が行われ発覚しました。
その結果、経営陣の多くが引責辞任を強いられ、東京証券取引所からは特設注意市場銘柄への指定と上場違約金約9千万円の徴収が発表されています。この粉飾決算は取引先や金融機関などとの取引において彼らに不利益をもたらす詐欺的な行為となったため、日本国内での東芝に対する損害賠償請求額は2018年2月の時点で1700億円以上にも及んでいるのです。
債務超過の解消などのためにリストラに迫られた同社は医療機器子会社や半導体子会社という成長が期待される事業を売却しています。その結果、同社の連結ベースの売上高や営業利益は2017年以降も大きく減少し続けているのです。
④情報漏洩
情報に関連したリスクも多様ですが、その代表的なものとしては情報漏洩が挙げられるでしょう。企業から個人情報が流出してその保護管理の重要性を改めて認識させる事件として、2014年のべネッセの個人情報漏洩事件が話題になりました。
流出の原因は、当時同社の東京支社に勤務していた派遣社員(男性)による犯行と判明しましたが、ベネッセの個人情報管理の不備が批判されています。
この情報漏洩のお詫びとして、ベネッセは登録会員へ図書カードや電子マネーギフトを提供するに至り、莫大な費用(2014年4~6月期の特損計上は260億円)をかけるとともに約136億円の最終赤字になりました。
また、ベネッセホールディングス社長とベネッセコーポレーション社長が引責辞任しています。
⑤連鎖倒産
倒産に結びつくリスクは下表のようにいくつもありますが、その上位を見ると第1位は「販売不振」、第2位は「既往のしわよせ(徐々に悪化が進行する状態=ゆでがえる)」第3位が「放漫経営」、第4位が「連鎖倒産」です。1位から3位までは自社の経営のまずさが招く倒産ですが、連鎖倒産については自社が直接的に対処できるリスクとは言えません。そのため連鎖倒産に巻き込まれた場合自社の事業が好調であったとしても道連れにされることになるのです。
平成31年 原因別倒産状況
放漫経営 | 過少資本 | 連鎖倒産 | 既往のしわよせ | 信用性の低下 | 販売不振 | 売掛金回収難 | 在庫状態悪化 | 設備投資過大 | その他 | 合 計 |
---|---|---|---|---|---|---|---|---|---|---|
434 | 337 | 370 | 844 | 37 | 6,079 | 38 | 8 | 56 | 180 | 8,383 |
*中小企業庁HP 「白書・統計情報の倒産状況」の令和元年12月分エクセルデータから抜粋
大企業の連鎖倒産の事例としては、2000年代初頭の「マイカル」と「そごう」の例が代表的です。2002年版中小企業白書の第1-1-32図にその倒産件数が示されています。マイカル倒産後(2001年9月民事再生法)、関連倒産は1カ月目が22件、2カ月目13件、3カ月目7件と減少していき、2002年2月時点で計53件です。
そごう(2000年7月民事再生法)の関連倒産については、1カ月目が29件発生、2001年末では計75社にとなり7カ月目以降でも24件の倒産が発生しています。
なお、一般的に連鎖倒産が多い業界としては、建設業や製造業が多いと見られています。これらの業界では特定の主要取引先に売上の大半を依存するケースが多く、また取引先を短期間で見つけ取引することが容易でないため、得意先が倒産すれば自社もそれに巻き込まれやすいのです。
*2002年度版中小企業白書 第1-1-32図 マイカル・そごう関連倒産件数の比較
~今後も影響について注視すべきマイカル関連倒産~
(引用:2002年度版中小企業白書)
⑥労務問題
労務に関するリスクも多く、労務問題が企業を倒産や廃業に追い込むこともあり「労務倒産」という用語があるほどです。人手不足が深刻な中小企業等では事業が比較的堅調であっても従業員が離職し、その補充ができず事業の継続が困難になるケースが増えてきています。
また、人材を確保するために給与水準を上げた結果、原価がアップして価格競争力を失い事業が低迷するケースも珍しくありません。雇用管理の不備から残業や休日出勤に対する処遇が曖昧になり、従業員から未払い残業代を請求され裁判で争うような問題も見られます。
最近の日本では少なくなりましたが、従業員のストも事業活動に深刻な影響を及ぼしかねません。韓国のルノーサムスン自動車では2018年10月~2019年7月までに20回以上の部分スト等が実施され、月間生産量が約25%(約5000台相当)低下したと見られています。
2020年にはいってからも部分ストは続いており、ルノー本社は今後の生産の割り当てに苦慮しており、最悪工場閉鎖も視野に入れているようです。
以上のように企業には様々なリスクが生じる可能性があり、一度発生すれば事業に大きな影響が及び最悪の場合倒産に追い込まれるケースも少なくありません。
すべてのリスクに備えることは不可能ですが、比較的発生する確率の高いリスクや影響度の大きいリスクなどについては事前に把握・分析し一定の対策を講じる必要があるはずです。
2 リスクの種類と会社設立後のリスク
ここでは先に紹介してきたリスクのタイプについて整理するとともに、会社設立後から特に注意しておきたいリスクを説明しましょう。
2-1 リスクの定義と主な種類
リスクの定義は様々な機関や学者等により行われています。たとえば、日本産業規格JIS31000:2010 (ISO31000:2009準拠)においては、リスクとは「あらゆる業態及び規模の組織は、自らの目的達成の成否及び時期を不確かにする外部及び内部の要素並びに影響力に直面している。この不確かさが組織の目的に与える影響」としています。
遵守すべき社内ルールや仕組みによる管理などを意味する内部統制におけるリスクは「組織目標の実現を阻害する要因」です。ISOGuide73:2009では「諸目的に対する不確かさの影響」と定義されています。
単純に企業にとってのリスクを定義すると、「リスクとは企業にマイナスの影響を及ぼす不確実な要因」と言えるでしょう。
企業にとってのリスクを整理すると次のような事象が挙げられます。
1)自然災害:
地震、洪水・津波、台風・暴風雨、火災、火山(噴石、火砕流、溶岩流、火山灰等) 等
2)感染症:
鳥インフルエンザ、新型インフルエンザ、SARS・MARS、マラリア、ジカ熱
新型コロナウィルス感染症 等
3)犯罪等:
従業員による犯罪(窃盗・横領・金品の持ち出し、内部統制違反、情報漏洩 等)、他者からの詐欺・暴行、テロ、脅迫・誘拐、産業等スパイ 等
4)情報関連:
顧客情報の紛失及び盗難、企業の個人情報の無断使用や転用、情報の流出や漏洩、他者からの自社情報システムへの不正アクセス 、コンピュータ・ウイルス等の攻撃によるシステムダウンやシステムの乗っ取り、フィッシング詐欺、不正送金による被害、サイバー攻撃による建物・設備等の被害 等
5)コンプライアンス違反:
粉飾決算等の不正会計、製品仕様等のデータ改ざん、官庁等への提出資料の偽装、労働関連法規違反、労働安全衛生法違反、補助金等の不正受給、情報漏洩、製造物責任違反、食品衛生法違反、出資法違反、著作権侵害(海賊版CDの販売等)、環境汚染 等
6)取引上関連:
大幅な景気変動、販売先や仕入先の倒産、仕入先の供給停止や遅延、取引条件の変更、新技術や新製品の登場、部材や光熱費等の高騰 等
7)訴訟リスク
製造物責任訴訟、知的財産権訴訟、パワハラやセクハラの訴訟、株主代表訴訟、その他労務関連の訴訟 等
8)財務リスク
投資の失敗、不良債権の発生、企業買収の失敗、株価の下落、資産の陳腐化 等
9)経済リスク
景気、為替や金利の急激な変動、税制等の法改正、大型倒産、バブル崩壊 等
10)政治リスク
政権交代、革命、戦争・動乱、制度改正 等
*海外の場合はカントリーリスク
2-2 会社設立後からのリスク
経営状態が不安定になりがちな会社設立直後から発生するリスクは影響度が大きくなるため先手を打った対策が望まれます。ここでは特に注意しておきたいリスクの内容を説明しましょう。
①資金関係
会社設立直後の企業において運営資金が潤沢であるケースは稀で、資金繰りの悪化により倒産に至ることも少なくありません。そのため資金繰りの悪化に繋がるリスクには注意を払い不安な点には何らかの対策を打つべきです。
事業の継続には元手だけでなく販売した対価を回収していくサイクルを回さなければなりません。事業の維持に必要な資金調達ができ、販売した商品等の代金をきっちり回収できないと資金不足に陥り事業をストップさせることになるのです。
そのため予定している資金調達できない、販売代金が回収できないというリスクに備える必要があります。資金提供者が金融機関であれ友人知人等であれ、確実に提供してもらえるか確約をとっておくことも重要です。
なお、最近ではクラウドファンディングによる調達も多くなってきましたが、この方法は確実とはいえないため資金調達先の一つとして捉え、これだけに頼るのは注意しましょう。
代金回収が困難になるリスクについては、販売相手が約束通りの価格や期日で支払わない、販売先が倒産する などがあり得ます。口約束で注文をもらい納品したものの値引きを要求される、商品等が気に入らず返品される、といったケースは珍しくありません。
こうした状況を回避するためには正式な注文書や契約書を発行してもらった正規の取引を行う必要があります。また、販売先の倒産や支払遅延といった信用上の問題に巻き込まれないためには、販売先の経営状態などの事前チェックも不可欠です。
②取引関係
新設会社が成長していくには仕入先と販売先を成長段階に合わせて適切に確保・増大させていくことが求められます。つまり、必要な取引先を確保できなければ経営危機に直面する可能性が高くなるのです。
仕入先においては、商品等の供給停止や納期遅れなどが大きなリスクになります。また、大幅な値上げなども自社の事業継続に大きな負担になりかねません。仕入先が信用できる相手かどうかの見極めが必要であり、取引する場合正式に書面を交わすのは当然です。
また、供給先は1社だけでなく複数を使い分けるなどのリスク分散も求められます。
販売先に関しては、徐々に増大させることが重要です。主要販売先が売上の半数以上を占めるといったケースは珍しくないですが、その販売先が不況に陥ったり、販売方針を変えたりすると、その影響は甚大になります。毎年、一定数以上の新規顧客を開拓するという営業努力が必要です。
③従業員関係
会社設立前後の企業においては労働者の確保が容易でないため、従業員が適切に確保できなければ経営上の大きなリスクになり得ます。必要な人材を必要な数だけ確保できない場合事業の継続が難しくなるわけです。
従業員の採用も簡単ではないため、様々なルートから採用を進める手立ても講じる必要があり、そのためのコストも確保しなければなりません。採用後は適切に教育を行うとともに職場の環境に早く馴染める工夫や配慮も必要です。
特に処遇に対する不満を放置することは離職率を高めることになるため、従業員の意見や考えを定期的に確認してある程度処遇に反映していくという姿勢も求められます。
3 リスクマネジメントの方法
リスクに備える方法として「リスクマネジメント」が利用されています。すべてのリスクに対応するは不可能であるため、リスクマネジメントの考えに沿って備えることが現実的です。
3-1 リスクマネジメントとは
危機管理やリスク管理などの用語があり、両者は区別されることも多いですが、ここでは両者を含め「リスクマネジメント」として扱い説明していきます。
リスクマネジメントの定義も様々ですが、たとえばJISQ31000(準拠)の考えに基づけは以下のようになるでしょう。
・リスクマネジメントとは、組織に降りかかるリスクを網羅的に捉え、重要と考えられるリスクを抽出し、リスク回避のための事前策とリスクが顕在化した際の事後策(緊急時対応)を策定し取り組む組織的な一連の取り組みのこと
簡単に表現すると、「事前にリスクを網羅的に把握→重要なリスクを抽出→事前策(リスク回避)と事後策の立案(緊急時対応等)→対応策を実施→改善 」というプロセスを回すことがリスクマネジメントになります。
そして、リスクは「事態の発生確率とその結果の組合せ」という考えで定義されます。火事をリスクとして考える場合、「事態の発生確率」は火事がどの程度の確率で発生するか、「その結果」は火事の結果によりどのような損害が起こるのかという点を指します。
そして、リスクは両者の「組合せ」であることから、火事がどの程度の確率で発生し、発生した際にはどのような損害が生じるのかの両面から評価した内容が火事によるリスクになるのです。
なお、リスクの評価は部門や担当者ごとで異なり評価が分かれることもあるため、組織全体で評価の基準を統一することが求められます。また、リスク対応は費用がかかるため、リスク評価の順位や対策の目標を達成するためのコストの大きさなどを考慮して採用していくのが重要です。
3-2 リスクマネジメントの構成
JISQ31000で考えられているリスクマネジメントの構成は、「リスクマネジメントの原則」「リスクマネジメントの枠組み」と「リスクマネジメントプロセス」からなります。
①リスクマネジメントの原則
リスクマネジメントの原則では「有効かつ効率的なリスクマネジメントの特徴に関する指針」が示されてあり、リスクマネジメントの価値を伝達し、リスクマネジメントの意図・意義を説明するためのものです。
この原則はリスクのマネジメントを行うための基礎で、組織のリスクマネジメントの枠組みとプロセスを確立する場合原則に基づいて検討することが要請されています。
なお、詳しい内容は割愛しますが、原則の項目は以下の通りです。
- ・統合
- ・体系化と包括
- ・組織への適合
- ・包含
- ・動的
- ・利用可能な最善の情報
- ・人的要因と文化的要因
- ・継続的改善
②リスクマネジメントの枠組み
リスクマネジメントの枠組みの意義は、「リスクマネジメントを組織の重要な活動と機能に統合するときに組織を支援すること」とされています。リスクマネジメントが上手く機能するには組織の統治機能に含まれ運用される必要があるため、ステークホルダ、特に経営陣の支援が不可欠となるのです。
なお、枠組みの設定では組織全体におけるリスクマネジメントの統合、設計、実施、評価と改善が含まれますが、それにトップマネジメントの関与が求められています。
リスクマネジメントの枠組はリスクマネジメントを実施するための体制を整えることですが、体制づくりや運営にはトップマネジメントのコミットメントが不可欠です。変化する環境へリスクマネジメントとして対応できるためには継続的な修正や改善が必要であり、トップの関与が欠かせません。
③リスクマネジメントプロセス
リスクマネジメントプロセスは、先に説明したリスクを把握し対応していくための一連のプロセスのことを指します。
リスクマネジメントプロセスの構成内容は下記の通りです。
- 1)リスクの発見及び特定
- 2)リスクの算定
- 3)リスクの評価
- 4)リスク対策の選択
- 5)リスク対策の実施
- 6)残留リスクの評価
- 7)リスクへの対応方針及び対策のモニタリングと是正
- 8)リスクマネジメントの有効性評価と是正
以上の項目が実施されることでリスクマネジメントが展開されます。
(引用:平成28年度版中小企業白書)
このリスクマネジメントプロセスでは、最初に企業の事業目標の達成に向けてどのようなリスク要因があるか洗い出し、リスクとして特定することから始まります(1)。なお、リスクの特定は以下の要素を考慮することが望ましいです。
- ・有形と無形のリスク源
- ・原因と事象
- ・脅威と機会
- ・ぜい(脆)弱性と能力
- ・外部と内部の状況の変化
- ・新たに発生するリスクの指標
- ・資産と組織の資源の性質と価値
- ・結果と結果が目的に与える影響
- ・知識の限界と情報の信頼性
- ・時間に関連する要素
- ・関与する人の先入観、前提と信条
次は特定したリスクについて「リスクの発生確率」と「リスクが顕在化した場合の企業への影響度」の両面からの重要度の算定です(2)。なお、この2面からの定量評価が難しい場合、定性評価を行い「大」、「中」、「小」などで評価するとよいでしょう。
発生確率と企業への影響度を尺度として比べたリスクマップ等をつくり、事業に関連するリスクを整理していくのです。
次は算定したリスクについて基準を設けてそれにより重大リスクを絞り込み対応上の優先順位をつけていきます(3)(大事なリスクへの対応が後回しにならないように)。
4)のリスク対策の選択では、「リスクコントロール」と「リスクファイナンシング」の2つの方法が一般的に利用されます。前者は損失の発生頻度と規模を削減する方法で、リスクファイナンシングは損失を補てんする目的の金銭的な対応手段と言えるでしょう。
この2つの方法は下表のような内容になります。
分類 | 方法 | 内容 |
---|---|---|
リスクコントロール | 回避 | リスクを生じさせる活動を中止し、リスクを遮断する例:取引停止 事業撤退 等 |
損失防止 | 損失発生を未然に防ぐ対策。予防措置をとり発生頻度を低減する。例:マニュアル作成 等 | |
損失削減 | 事故発生時の損失の拡大を防止或いは軽減し、損失規模を抑制する(リスクに伴う結果のコントロール)例:緊急時対応マニュアルの作成 等 | |
分離・分散 | リスクの源泉や損失の対象を分離し、発生時の影響を小規模に抑える例:複数の機能を1つのサーバーに集中させず、複数のサーバーに割り当てる 等 | |
リスクファイナンシング | 移転 | 保険や契約などによりリスク発生時の損失を第三者に補填してもらう例:火災保険への加入 等 |
保有 | リスクの発生に伴う損失を自己負担する(受容する)例:引当金や積立金 等 |
これらの方法を取ることでリスクの発生を抑制、損失を削減して、発生した場合の金銭的な負担に耐えられるようにするのです。
リスク対策が策定できれば、それを実施するためにリスク対応計画を作成し取り組んで行きます(5)。なお、対応計画で提供される情報として、以下の事項が盛り込まれることが望ましいです。
- 期待される取得便益を含めた対応選択肢の選定の理由
- 計画の承認と実施に関してアカウンタビリティと責任をもつ人
- 提案された活動
- 不測の事態への対応を含む必要とされる資源
- パフォーマンスの尺度
- 制約要因
- 必要な報告とモニタリング
- 活動が実行され完了することが予想される時期
次はリスク対策を行った結果、残留リスクが想定の範囲で容認できるレベルであるかどうかを評価します(6)。なお、リスクやその影響度は変化するため、定期的或いはリスクの顕在化に伴う損失の発生時にリスク対応の内容を修正することが必要です(7)。
最後はリスクマネジメントプロセスの有効性の評価と是正です。策定したプロセスが適切かつ効率的な仕組みとして作られている、運用されているかについて確認・評価するわけです。
この一連のプロセスを適切に実行することで適切にリスク(特に重大なリスク)と向き合い、企業経営に大きな影響を及ぼす危機が回避・低減できるようになります。
3-3 事業継続マネジメント
企業の中にはリスクマネジメントを事業継続マネジメント(BCM)として行っている企業が少なくありません。ここではBCMについて説明しましょう。
なお、BCMは事業の中断を回避・軽減するための取り組みを主目的としており、リスクマネジメントの一形態と考えられています。
①事業継続マネジメントと事業継続計画の内容
事業継続マネジメント(BCM=Business Continuity Management)は、企業が事業を継続していくために、事業継続計画(BCP)を策定し、導入・運用・修正というサイクルを継続的に改善も加えながら包括的・統合的に行う事業継続のためのマネジメントを指します。
内閣府「事業継続ガイドライン」の定義は、「BCP策定や維持・更新、事業継続を実現するための予算・資源の確保、事前対策の実施、取組を浸透させるための教育・訓練の実施、点検、継続的な改善などを行う平常時からのマネジメント活動」です。
事業継続計画(BCP=Business Continuity Plan)は、潜在的な損失による影響を認識・評価し、事業を継続させていく上での実行可能な継続戦略の策定と実施、事故発生時の事業継続に不可欠な行動を実現するための計画を指します。
内閣府「事業継続ガイドライン」のBCPの定義は、「大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画」です。
従って、BCPは事業継続の計画そのものであり、BCMはBCPを使用して、事業継続を戦略的に進めていくためのマネジメントということになります。
なお、BCPを作ればそれで事業継続が上手くいくというものではなくBCMをしっかりやらないと役立つBCPの策定や運用ができなくなる恐れがあり、適正なマネジメントが求められるのです。
②BCMの実施方法
BCMを推進していくための手順と内容を事業継続ガイドラインの内容をもとに簡単に説明しましょう。BCMのプロセスは以下の項目で構成され、一連のプロセスが回されることで適正なBCMが実現されるのです。
1)方針の策定
方針の策定では、「基本方針の策定」と「BCM実施体制の構築」が含まれます。基本方針の策定は、「BCMの実施に当たり、経営者はまず自社の事業及び自社を取り巻く環境を改めてよく理解し、自社が果たすべき責任や、自社にとって重要な事項を明確にすること」です。
BCM実施体制の構築は、経営者が「BCMの責任者及びBCM事務局のメンバーを指名し、関係部門全ての担当者によるプロジェクトチーム等を立ち上げるなど、全社的な体制を構築する」ことを指します。
2)分析・検討
ここでの内容は「事業影響度分析」と「リスクの分析・評価」です。事業影響度分析では、以下の取り組みが行われます。
・事業中断による影響度の評価
原因に関係なく自社の各事業が停止した場合の影響の大きさ及びその変化を時系列で評価する
・重要業務の決定と目標復旧時間/目標復旧レベルの検討
影響度評価の結果も含めて優先的に継続・復旧が必要な重要事業を抽出する
・重要な要素の把握とボトルネックの抽出
各重要業務の実施に必要な重要要素(経営資源)を認識する
リスクの分析・評価は、事業影響度分析と並行しながら自社が優先的に対処しなければならないリスク(発生事象の種類等)を認識する目的で実施されます。なお、リスクの分析・評価の手順の例は以下の通りです。
A 発生事象の洗い出し
自社事業の中断を誘発し得る発生事象の抽出。この抽出では発生し得る全ての対象を可能な限り考慮する
B リスクマッピング
Aで抽出された発生事象に対して、発生の可能性及び発生した場合の影響度を定量的・定性的に評価し、優先的に対応すべき発生事象の種類を特定しランク付けする
C 対応すべき対象に伴う発生事象によるリスクの詳細分析
Bで優先的に対応すると特定した発生事象から起こるリスクに対して、自社の各経営資源や調達先、インフラ、ライフライン、顧客等にもたらす被害等を予想する
なお、このリスクの分析・評価は、事業影響度分析の作業と行きつ戻りつしながらという作業になるでしょう。
3)事業継続戦略・対策の検討と決定
事業継続戦略の策定と対策です。策定にあたってのポイントは「事業継続戦略・対策の基本的考え方」、「事業継続戦略・対策の検討」と「地域との共生と貢献」になります。
事業継続戦略・対策の基本的考え方は、「重要業務に不可欠な要素、特にボトルネックとなる要素をいかに確保するかを検討すること」です。その主要な方向性は、想定被害からの防御・軽減・復旧の方法と、利用・入手できなくなった場合の代替を確保する方法の2点からなります。
事業継続戦略・対策の検討では、「企業・組織が検討すべき事業継続戦略を検討する観点」として、以下の点を考慮して策定することが重要です。
- A 重要製品・サービスの供給継続・早期復旧
- B 企業・組織の中枢機能の確保
- C 情報及び情報システムの維持
- D 資金確保
- E 規制等への対応
- F 行政・社会インフラ事業者の取組との整合性の確保
地域との共生と貢献では、地域との連携が求められています。緊急時の企業・組織の対応について、「地域との連携が必要である」点を考慮して戦略策定や対策に反映させるということが重要です。
企業は市民の一員として、地域社会のステークホルダー(利害関係者)に支えられおり、その事業活動は地域に様々な影響を与えているため、地域とのかかわりを戦略や対策に反映させることも必要になります。
4)計画の策定
先の戦略・対策の決定を踏まえ、以下の計画を策定するのが望ましいです。
A 事業継続計画:
ここでのBCPは、「危機的事象の対応計画を指すもの」と定義され、「被災後に、重要業務の目標復旧時間、目標復旧レベルを実現するために実施する戦略・対策、あるいはその選択肢、対応体制、対応手順等」が含まれます。
B 事前対策の実施計画
この計画では「平常時から順次実施すべきもの(事前対策)について、必要に応じて詳細な内容を詰め、実施のための担当体制を構築し、予算確保を行い、必要な資源を確保し、調達先・委託先を選定する」ことが求められます。
たとえば、以下の項目などについて検討することになるでしょう。
- 対応拠点(本社内など)、代替拠点等でのマニュアル、パソコン、電話回線、机、各種 書類、事務機器、設備などの設置または確保
- 通信、電源、水をはじめライフラインの代替対策(自家発電、回線多重化など)
- 現拠点の建物、設備等の防御のための対策(耐震補強、防火対策、洪水対策、テロ対策 など)
- 情報システムのバックアップ対象データ、バックアップ手順、バックアップシステムからの復帰手順の決定など
C 教育・訓練の実施計画
体系的かつ着実な教育・訓練の実施のため、その実施体制、年間の教育・訓練の目的、対象者、実施方法、実施時期等を含む「教育・訓練の実施計画」の策定が求められます。
D 見直し・改善の実施計画
「BCMの点検、経営者による見直し、継続的改善等を確実に行っていくため、『見直し・改善の実施計画』を策定し、体制、スケジュール、手順を定め、それに基づき見直し、改善、着実に実施していく」ことが必要です。
5)事前対策及び教育・訓練の実施
ここでの内容は「事前対策の実施」と「教育・訓練の実施」からなります。
事前対策の実施では、策定した事前対策の実施計画に従って、担当部署や担当者が、各々の事前対策を確実に実行できるようにします。なお、各部局が実施する事前対策については、その部局の管理者が進捗を管理しBCM事務局も進捗を管理することが不可欠です。
教育・訓練の実施では、「講義、対応の内容確認・習得、意思決定、実際に体を動かす等、対象や目的に合わせて様々な教育・訓練を行う」ことが重要になります。教育・訓練方法については、「その有効性を評価するため、目標を明確に定め、その達成度を評価する方法をあらかじめ決めておくこと」が肝要です。
6)見直し・改善
「各部局、BCM担当者やBCM事務局は、BCMの有効性低下やBCPの陳腐化を防ぐため、BCPを含むBCMの内容や実施状況等について、定期的(年1回以上)に点検を行う必要がある」とガイドラインは指摘しています。
経営者は、BCMの見直しについて、「自社の事業戦略や次年度予算を検討する機会と連動して、定期的(年に1回以上)に行う必要」があり、自社事業や環境に大きな変化があった場合でも見直すべきです。
また、自社がBCPを発動した場合、その発動と結果の内容を反映したBCMの見直しも求められます。リスクを回避できなかった点、軽減が十分でなかった点などの結果を踏まえBCMのあり方に改善の余地がないか見直してみましょう。
4 リスクマジメントの事例
平成28年度版中小企業白書からリスクマネジメントとBCMの事例を紹介します。
4-1 リスクマジメントの事例
リスクマネジメントの事例として「事例2-4-4.石坂産業株式会社」の内容を説明しましょう。
・社名:石坂産業株式会社(従業員135名、資本金7,000万円) 埼玉県三芳町
・事業内容:
産業廃棄物(建築物解体時の廃棄物等)の再資源化事業(産業廃棄物中間処理業)
・リスク内容:
ダイオキシン排出の可能性による企業イメージの棄損に伴う事業への影響
⇒1999年に所沢産の農作物からダイオキシンが検出されたという報道があるなど、当時産業廃棄物業者へのバッシングが過熱していました。その頃同社はダイオキシンを排出しない新型焼却炉を導入していたましたが、地域社会の目が厳しいことから導入して間もない焼却炉を廃棄することにしたのです。
・リスク対応:
焼却処理事業は同社の主力事業であり当時の売上高の7割を占めていましたが、地域社会との共存が重要と判断し同社は焼却処理事業からの撤退を決意しました。
焼却による縮減事業から撤退・事業転換するというリスクを十分に検討し、再資源化事業へと転換しています。つまり、リスク対策の選択におけるリスクコントロールの「回避」あたる行動をとったと言えるでしょう。そして、主要事業の撤退から他の事業の育成に取り組んでいったのです。
2002年にリサイクル事業を推進してくために、全天候型の資源再生プラントを設置しました。そして、事業に対する周辺住民や環境団体の理解が重要と判断し、工場見学に力を入れています。工場内には見学通路を設けて作業の「見える化」を進めており、見学者は年間1万人にも及び海外から訪れる方もいるのです。
また、リサイクル事業の発展のため同社はISO14001(環境マネジメントシステム)、ISO9001(品質マネジメントシステム)、OHSAS18001(労働安全衛生マネジメントシステム)を統合マネジメントシステムとして同時取得し活用しています。
ISO認証取得の動機は取引上の優位性を確保することでした。しかし、その後、省エネ、事業継続、社員や見学者への学習の質の向上等、同社に求められるニーズと環境変化に対応するため、ISO27001(情報セキュリティマネジメントシステム)など複数のマネジメントシステムも取得し、統合マネジメントシステムとして運用しているのです。
こうした認証取得とその運用により経営の透明化と社員の質の向上が実現され、業務改善やCSR(企業の社会的責任・社会貢献)事業に繋がり業績も拡大しています。
4-2 BCMの事例
BCMの事例として「事例2-4-5 大成ファインケミカル株式会社」について説明します。
・社名:
大成ファインケミカル株式会社(従業員66名、資本金4,000万円) 千葉県旭市
・事業内容:
アクリル樹脂を主体とした合成樹脂の設計・開発、製造、販売
・BCM導入のきっかけ:
内部監査における耐震監査の指示により2011年3月7日に在庫のドラム缶の飛び出しを防ぐ耐震ラックを設置したことがBCP導入の起爆剤となっています。
同社の稲生豊人社長はリスクマネジメントを社内に根付かせるためBCPの導入を以前から提案していましたが、社内から抵抗あり進展できずにいました。そして、東日本大震災が発生し、耐震ラックの設置により命拾いしたという従業員の声が上がり、リスクマネジメントの重要性が認識され始めたのです。
また、実際に震災の影響で工場の設備破損、電力供給の低下、従業員自身の被災などの問題が生じ、1カ月間の操業停止に至りました。加えて製造の遅延により一部の製品において取引先を失うケースも発生しています。
こうした背景により同社は本格的にBCPを策定しBCMを実践していくことにしたのです。
・BCMの導入:
民間コンサルティング会社から指導してもらい同社はBCPを新たに策定することにしました。BCPの作成に当たっては監督者や現場の人が参加する開放的なプロセスをとり、それが社員教育にも役立っています。
BCPに従って「耐震構造の本社管理棟の建設、倉庫の分散、在庫確保、大型自家発電機の設置、電源喪失時用の緊急停止設備の導入、情報関連の外部データセンターへの委託等」が実施されました。
ほかにも「売掛金の3倍の現預金を保有、手形から現金回収への変更、借入金を無くすといった取組により手元運転資金を確保」するという取引上のリスク軽減措置も実行されています。
こうしたBCPによる取り組みの中で、外部データセンターへの委託が運用コストの削減に役立ち、BCPの導入で保険料が有利になるなどコスト削減にも貢献しているのです。
5 リスクマネジメントの注意点
最後は会社設立後間もない企業も含めリスクマネジメントを進めて行く上で特に注意しておきたい点を4つ説明します。
5-1 リスクマネジメントは経営戦略の一環
リスクの発生は事業の継続及び企業の発展に大きく影響するため、リスクマネジメントを重要な経営管理の1つとして扱うべきです。また、事業目標の達成にもリスクが関わることを踏まえると中長期的な対応が必要となることから経営戦略の一部として扱うのが望ましいでしょう。
リスクが顕在化すれば、事業の操業停止や中断などに追い込まれ、取引先への商品・サービス等の供給ができず売上を落とす、取引先を失うなどの可能性も生じます。そうしたリスクの発生による影響の結果、業績及び事業目標の達成が困難になってしまうのです。
経営戦略は中長期の事業目標を達成するための基本方針と行動内容を示し、それらを計画的に進めるためにまとめた企業の航路図として位置づけられます。そのため事業遂行に影響するリスクを扱うリスクマネジメントは経営戦略を遂行するための経営管理の一部として取り扱うべきものなのです。
5-2 リーダーのコミットメント
本格的にリスクマネジメントを導入・運用していくには経営陣のコミットメントが不可欠です。
リスクマネジメントの体制を構築し、リスクマネジメントプロセスを運用させるには、その必要性や意義を従業員に理解させやる気を出させる必要があります。新しい仕組みを組織に定着させるにはそのための教育訓練や勉強会への参加のほか、新たな業務も増えるため従業員には少なからぬ負担が生じるのです。
そうした負担から導入には社内での抵抗が起こりやすいため、導入の意義を従業員に理解してもらえるように経営陣の説明・説得が重要になります。
また、経営者が部下の管理者にリスクマネジメントの導入を丸投げして結果だけを期待するような場合、形ばかりのシステムは出来ても中身が薄く手を抜いたい運用になりかねません。そうした場合、実際にリスクが生じれば、事前に策定したことも実施できず、慌てふためいて場当たり的な対応をとりリスクが拡大することもあります。
経営者も一緒になってリスクに備えていくという姿勢を従業員に示すことで、彼らの理解ややる気を手に入れることも可能です。
5-3 リスクマネジメント体制の構築
適切なリスクマネジメントを導入していくにはシステム構築のための体制整備が求められます。リスクマネジメントの事務局等を設置して社長等が直接的に監督することが望ましいです。
事務局等の責任者にはリーダーシップを発揮できる人材に当たらせることが重要で、できるだけ社内から選出するようにしましょう。事務局等のスタッフにはリスクマネジメントに関する知識も必要となるため、導入前に研修などで勉強できる機会を与えるべきです。
また、リスクマネジメントを本格的かつ短期で導入する場合などは外部のコンサルティング会社の支援を受けることも必要になります。ただし、支援者の言うままに進めるのではなく自社の実力に合わせた策定と運用を心掛けるべきです。
そして、経営者は事務局等の監督を行い導入・運用を支援します。事務局の相談相手となるほか、導入・運用での進捗や結果の確認に加え随時激励するといったコミュニケーションをとることも忘れてはなりません。
5-4 従業員への啓発と教育訓練の実施
リスクマネジメントの実施・展開はリスクの回避や軽減に繋がるだけでなく、業務改善やコストダウンなどをもたらす効果もあるため、運用する従業員への啓発と教育訓練の実施が重要です。
リスクマネジメントの導入・運用の意義や必要性を理解しないまま導入していった場合、従業員にとっては面倒な業務を押し付けられると感じ抵抗が生じることも少なくありません。また、管理職の中には導入のためのコストを懸念するなど反対者が現れることも少なくないです。
こうした社内の反対勢力を抑えて導入を進めるためには、リスクマネジメントについての啓発が必要になります。外部からコンサルタントなどの講師を招き、リスクがもたらす影響やリスクマネジメントの実施によるメリットなどを説明してもらうとよいでしょう。
また、事前に一定の研修や教育訓練を行い従業員にリスクマネジメントの内容やメリットを理解させ、運用が業務改善に繋がることなどを実感させることが重要です。
6 まとめ
企業にとってのリスクは各社様々ですが、内容によっては企業の命運を左右するケースも少なくないため何らかの対策が必要です。しかし、会社設立直後の企業など最初からリスクマネジメントやBCMなどについて詳しく理解し広範囲に対応していく必要はありません。
企業の状況に応じて少しずつでも具体的なリスク対応を進めて行けばよいでしょう。今自分の会社にとっての重大なリスクが何で、それを回避する方法、軽減する方法、リスクの結果に耐える方法を少しずつ取り入れていくことが重要です。
リスクマネジメントを特別な管理業務とみなさず通常の業務の一つとして取り組んでみてください。