自信を持ってリスクマネジメントにトライできる「世界一わかりやすいリスクマネジメント集中講座」(by 勝俣良介)

本書は、リスクマネジメントに特化したコンサルティング会社であるニュートンコンサルティング株式会社の副社長である著者が、リスクマネジメントを初歩からわかりやすく解説した本である。
世の中にはリスクマネジメントに関する書籍があふれていて、どこまで信用してよいのか分からないものや、独自性が強くて汎用性の乏しいもの、抽象的すぎて読む気が起きないものも多くある。
本書は、ISOなど広く一般に認められている根拠や基準に依拠しながら、講義形式で具体的事例も交えて分かりやすく解説してくれており、リスクマネジメント・ERMを理解したい初心者にとって非常に役に立つ本だと思う。

https://www.instagram.com/p/B-OkMQyJDfk/

リスクとは何なのか

「リスク」とは「未来に起こるかもしれない、嬉しいこと・嫌なこと」である(いやなこと=ネガティブリスクだけでなく、嬉しいこと=ポジティブリスクもリスクである。ポジティブリスクのことを「機会」ということもある。)。
リスクを考えるにあたっては、何にとっての「嬉しいこと・嫌なこと」であるのか、つまり「目的・目標」を定める必要がある。
国際規格ガイド73では、リスクを「目的に対する不確かさの影響」と定義している。また、COSO-ERMでは、リスクを「イベンド(事象)が起こり戦略達成やビジネス目標に影響を与える可能性」と定義している。いずれも、目的、影響、不確かさ(可能性)がリスクの要素となっている。

つまり、リスクを明らかにするということは、次の項目を明らかにすることに他ならないと言えます。

人・組織が大切にしたい目的・目標は何か?
それらに大きな影響を与えるものにはどんなものがあるか?
それが発生する可能性はどの程度なのか?
(p9)

そして、目的・目標の設定にあたっては、自らが置かれた環境・前提条件を確認することが有用である。ISO31000では、企業の環境については以下のような観点で分析するのが望ましいと述べられているらしい。

外的環境
社会・文化・政治的環境、法規制環境、金融環境、技術環境、経済環境、自然環境、競争環境
内的環境
ガバナンス・組織体制・役割・アカウンタビリティ、方針・目的・戦略、資源、内部ステークホルダーとの関係・内部ステークホルダーの認知及び価値観、組織文化、ITシステム及び決裁プロセス、組織が採用する規格・指針・モデル、契約関係の形態及び範囲

こんな細かいことまで手取り足取りガイドラインが定められていることに驚く。

リスクマネジメントのステップ

リスクマネジメントは、よく言われているように、リスクの洗い出し(リスクの特定)、リスクの分析、リスクの評価、リスク対応、というステップで考える。

リスクの洗い出し(リスクの特定)

抽象的に「リスクを洗い出せ」といわれても、できない。

「リスクを洗い出せ」っていうのは、「頑張れ」って言うのと同じくらい抽象的な指示だと。どう洗い出せばいいのか、分かりにくい。そういうことですか?
正解。どう洗い出せばいいのか、問いかけ方をもっと具体的なものに変えてあげる必要がある。

(p82)

リスクの洗い出し方にあたっては、
1.目的達成に必要なモノを押さえる
2.広く知られた洗い出し手法を活用する
3.適切な人材を巻き込む
の3つが重要らしい。

そして、広く知られたリスクの洗い出し手法としては、以下のようなものがあるそうだ。

  • 業務フローから洗い出す(J-SOXなどはまさにこれ)
  • 保有する資産から洗い出す(高価な資産を持つということはリスクを抱えるということなのだ)
  • ベースラインアプローチ(一般にこうすべきといわれているものと自分の場合とを比べ、そのギャップを洗い出す)
  • 変化からのアプローチ(代表例:pestel(=政治、経済、社会、技術、環境、法)が変わったらどうなるか、という観点から洗い出す)
  • 統計(統計上どうなっているのか、というところからリスクを見つける)
  • 事例(過去の事例や他社の事例を自分に当てはめる。ヒヤリハットなどもこれか。)
  • 知見(よく知っている人にやってもらう)

コンプライアンスリスクの洗い出しはベースラインアプローチがよいらしいが、それに加え、保有資産からのアプローチや事例からのアプローチは使えそうだ。

リスクの分析

洗い出したリスクについて、その発生可能性と、発生した場合の影響度などを分析する。
ここで大事なのは、複数人が行う分析の判断基準がばらばらにならないよう、判断基準を定めておくことらしい。

(例)
発生可能性:大=めったに起こらない、中=数年に1回程度、小=1年に1回程度
影響度:大=1億円相当、中=5000万円相当、小=1000万円以下

リスクの評価

リスクを分析したら、それに基づいて重要性・優先順位を評価する。
発生可能性×影響度で数値化するのもよいが、リスクマップ(発生可能性を横軸、影響度を縦軸にして図表に位置づける)という方法もある。

影響度が大きければ発生可能性が低くてもかなり重要であるのに対し、影響度が小さければ発生可能性が高くてもそれほど重要ではないので、数値化するときは発生可能性は1点・2点・3点、影響度の方は1点・5点・15点、などと差をつけるか、あるいは、数値は使わずにリスクマップを使う方が分かりやすいかもしれない。

リスク対応

リスク評価で重要性が高いと評価されたものについて、対応を行う。
ここでのポイントは以下の3点だそうだ。

1.適切な人材を巻き込む
2.対策洗い出しの工夫をする
3.リスクの大きさがどこまで減ったか(残存リスク)を確認する

2の対策洗い出しの工夫として、フレームワークのようなものがあるらしい。

リスク対応にも対策を考えるフレームワークのようなものがある。ここでは代表的な3種類のフレームワークを教えておこう。

・その1 リスク受容、リスク軽減、リスク共有、リスク回避
・その2 物理的対策、技術的対策、運用的対策
・その3 予防的対策、発見的対策、対処的対策
(p63)

モニタリング、改善

リスク対応を行えばそれで終わりではない。やってみると、対策が十分ではなかったり、逆に対策がどんどん増えてしまって無駄な業務が増える、みたいなことが起こる。そのため、その後も、モニタリングと改善を続ける必要がある。

もっとも、実際に事故が起きていなければ、対策が十分なのかどうかは確認しにくい。そこで、以下のような方法で効果測定をするのがよいらしい。

・実際に事故が起きそうな状況を演出してテストしてみる
・机上でシミュレーションテストしてみる
・専門家に評価してもらう
・他者に評価してもらう
・自己評価する

繰り返しになるが、細かいことまで手取り足取り考えられていることに驚く。

全社的リスクマネジメント(ERM)

以上がリスクマネジメントの基本であるが、ある程度大きな組織になると、それぞれの部署がそれぞれリスクマネジメントを行っても、相互に矛盾や重複が生じたり、漏れが生じたり、相互の情報交換がされなかったりするし、会社全体としての優先順位付けと必ずしも沿わない結果となってしまうことがありうる。
そこで、これを全社的な視点から調整、整理しながら進めようというのが、全社的リスクマネジメント(ERM:Enterprise Risk Management)なのだ。

具体的には、リスクマネジメント委員会を作って基本方針を策定したり、起きている結果や各部署で行っているプロセスを評価したり、用語・報告書・基準などを統一したり、抜け漏れ・重複の交通整理、情報共有を促進したり、海外子会社にも目を配ったりするらしい。

こんなERMにもISO31000という国際規格があるらしい。なんでもあるのだ。

ERMの構築の仕方

ERMの構築の仕方についての考え方も本書で解説されている。

1.組織が抱える課題は何か?

これは、「~についてのリスク対応が十分でない」というような課題もあるが、それだでなく、「リスクという言葉の理解が人によってばらばらだ」「リスクはひとつ残らずつぶすべきと考えている人と、リスクをとってこそ利益が得られると考えている人がいて、話が通じない」というような課題もあるらしい。

外的環境・内的環境や、過去の事件、ヒアリング等によって課題を見つけていくしかないようだ。

2.その課題をどうやって解決するか?

リスクマネジメント委員会をつくる、年に1回確認する、共通言語を整える、などなどがあるようだ。

3.そのためにどんなツールが必要か?

ルールの文書化する、用語を統一する、書式の整備する、などなどがあるようだ。

4.そのツール整備は誰とどうやって推進するか?

担当者・責任者などを決める、ということだろうか。

5.整備プロジェクトの推進と運用の開始

6.モニタリングと結果の評価、改善

特に大企業の場合は、すべてに目が届くわけではないので、「モニタリング」、特に「事故の予兆監視」が必要だ。
これも具体的にどうやればいいのかといえば、万能な方法はないようだ。

自組織で仮説を立てて、検証しながら有効な予兆指数を発見していくしかない。

(p182)

例えば、社員による不正な情報漏洩というリスクについて考えると、

直接的な理由:荒んでいる組織風土、何をやってもバレにくい状況
間接的な理由:ルールを守らないことが常態化、会話が少ない、内部監査が長年行われえていない

などが考えられる。
このうち、「ルールを守らないことが常態化」「内部監査が長年行われていない」を予兆指数として考え、これが認められたときはさらに詳しく調べていく、ということになるようだ。
仮説が間違っていたら見直す。大変な労力だ。

だから、時間もお金もかかると言っただろう?

(p183)

失敗は成功のもと

リスクマネジメントは、あらゆる事故の発生を防ぐ・機会を捉えることが目的ではなく、大きな機会を捉える・大きな事故を防ぐことが目的である。

失敗がなければ逆に学んで成長する機会も失ってしまう。

日本人の生真面目な性格も手伝って、緻密な分析をしたり、出てきたリスクすべてを徹底管理しようとしたり、ついついやり過ぎてしまう組織をよく見てきたからね。本当に重要なリスクに目を向けて対応する、それこそがリスクマネジメントの本質だ。

(p242)

リスクリスクおじさんにイライラしている人におすすめ

このように、本書は、リスクマネジメントの考え方について、信頼できる形で、なおかつわかりやすく書かれている。
日頃、「リスク、リスク」とうるさく言われて「何言ってんのこの人」とイライラしている私のような人には、「あぁ、そのリスクについては、こういう考え方にもとづいてこうしてああして・・・」とどや顔でリアクションできるよう、本書を強くお勧めしたい。