経済のグローバル化や社会環境の急速な変化に伴い、企業はさまざまなリスクにさらされています。金利や株価変動、自然災害、業務上の不正、品質事故……リスクの種類は数え上げればきりがありません。
こういったリスクを組織全体の観点から包括的に評価する、ERM(全社的リスクマネジメント)とよばれる手法が、近年、注目を集めています。
しかし、これまではリスクを別々の部署が所轄し管理するのが一般的だったため、ERMに対し「一時的な流行ではないか」「理解を得づらい」「負担が大きい」というイメージが根強く、導入をためらう企業が多いのも事実。
そこで、「そもそもERMとは何か」といった基本的な項目から、実践する方法まで、具体的な事例などを交えながらご紹介します。
ERMは「全社を挙げて」リスクの把握や評価・管理を行うこと
ERM(Enterprise Risk Management)は、リスクマネジメント(危機管理)の手法のひとつ。企業を経営するうえで起こりうるあらゆるリスクに対し、全社的に管理しようとする体制のことをいいます。
従来のリスクマネジメント手法では、生じるリスクに応じて「個別の部署が」リスク管理を担当するのが一般的。たとえば財務に関するリスクがあるとすれば、そのリスク管理はもっぱら財務関連部署のみが行っていました。
しかし、企業をとりまく環境の変化に伴い、リスクは巨大化かつ複雑化しており、従来の個別的なリスクマネジメントでは適切な対応が難しくなってきています。
これに対してERMは、「全社を挙げて」リスクの把握や評価・管理を行う点に特徴があります。経営者から従業員まで総合的にリスクに向きあうことで、リスクの性質やリスク間の関係をより正しく把握し、最適の対処策をとることができるのです。
ただ具体的なイメージや実例が紹介されることが少ないため、実際の活用に結びつけるのが難しいという意見も聞かれます。次章では、ERMを実際に導入する場合に押さえておきたい8項目を、わかりやすく解説します。
ERMの5つのサイクルと導入ポイント
では、ERMはどのような構成になっているのか確認してみましょう。
①外的要因や内的要因などのリスクを認識する
②リスクが発生する可能性やその影響度を確認する
③リスクに対して対応する方法を考える
④日常的、および定期的に状況確認する
⑤リスクを評価・報告し、検証・チューニングを行う
以上のように、まずはどんなリスクがあるのかを認識することからERMは始まります。次にその発生の可能性や影響度を考え、対応方法を考えます。リスクについて、対応が十分なのか、リスクは減ったのかなどを定点観測し、リスクについて報告する。そしてまた、リスクの認識から繰り返す。これが、ERMのサイクルです。
ERMのサイクルに則って、どんなことに気をつけて導入すればいいのか要点をまとめます。はじめてERMを考えるときや、運用のチェックをするときに参考にしてください。
①外的要因や内的要因などのリスクを認識する
ERMを構築するとき、まず行うのはリスクの洗い出しです。組織の目標達成を阻害するリスクをすべて洗い出しましょう。
たとえば、不正行為やセクハラ、モラハラ、パワハラなどのハラスメント行為、人材の流出、サービスの質の低下などが当てはまります。
【CHECK POINT】組織の目的を確認
・ビジョンやミッション、経営理念が設定されていること。また各レベル(業務、部署、個人単位など)で具体的な目的が定められ、社員がそれを理解しているか。さらにその目的がコンプライアンスにかなっているか。
・たとえば、「シェア拡大のための価格下落は現状の50%までOK。ただし顧客満足度ダウンはNG」といった指針など、上記ミッションやビジョンのためにリスクをどこまで受け入れるか、指針が示されているか。
【CHECK POINT】内部環境
・経営者自身がリスクマネジメントについてはっきりした考えを持ち、それを社員全体が理解していること。また強い誠実さと倫理観に基づき、社内の行動基準を設けられているか。
・従業員の専門能力を十分活かし、権限と責任を明らかにすると共に、適切な教育・研修が行われているか。
・リスク管理の手法を経営指標に盛り込んだり、規定が設けられたりしているか
・内部監査部門や取締役会が正常に機能しているか。
②リスクが発生する可能性やその影響度を確認する
次に、発生する可能性の高いリスクや、影響度が大きいリスクはどれになるかを確認します。
【CHECK POINT】発生する可能性の高いリスクと、影響度が大きいリスクを理解する
・企業に影響のあるリスクを漏れなく評価しているか。その際、固有リスク(何も対策していない状態でのリスク)と残余リスク(対策を講じた後になお存在するリスク)を区分しているか。
*たとえば、火災保険をかける前のリスクを「固有リスク」といい、保険をかけた後のことを「残余リスク」という
・リスクマップを作成する、統一した評価基準でランク付けするなど、リスクの発生の可能性および影響度を、定性的および定量的に、評価しているか。
・ストレステストやシナリオ分析など、用いる評価手法が妥当であるか。
・商品群AとBは品質も顧客層も似ていることから、同時に不良在庫となるリスクが高い製品として位置づけるなど、事象の相関関係を考慮したうえでリスク評価を行っているか。
③リスクに対して対応する方法を考える
リスクを洗い出し、優先順位を考えました。次は、計画的にリスクに対処することが求められます。優先度の高いものから、どんな対策を講じるかをひとつずつ考えていきましょう。
【CHECK POINT】リスクへの対応
・リスクへの対応策を、リスク回避、低減、共有、受容のいずれかに決定しているか。
*ここで「回避」とは製品ラインの撤退「低減」は自然災害対策、「共有」とは保険の購入などを指す。「受容」は、一切対策をとらないことを意味する。
・費用対効果の分析を行っているか。
【CHECK POINT】事象の識別
・経営者が、最重要リスクのトップ5を選定するなど、事業目的に影響を与える事柄を考慮し、マイナスの影響であればリスクとしてきちんと評価して対応策を講じているか。
・社内でリスク洗い出しのためのディスカッションが定期的に行われているか。
・経営陣が、「マーケテイング研修の拡大」が「顧客注文の増加」につながる、さまざまな事象の相関関係を理解しているか。
【CHECK POINT】統制活動
・品質低下リスクに対し「軽減」というリスク対応を決定した場合、これに従い、マニュアルや手順書を修正し順守するなど、経営陣が決定したリスク対応方針が、具体的に実行されているか。
・必要な統制活動が、方針や手順にきちんと明記されているか。
④日常的、および定期的に状況確認する
リスクそれぞれの対応策が決まれば、その成果と進捗についてモニタリングします。ERM担当者が自ら確認したり、内部監査部門など担当者以外が調査したりすると良いでしょう。
【CHECK POINT】モニタリング
・継続的モニタリングと独立的評価の2種類のモニタリングで、ERMの有効性を継続的に観察しているか。
*「継続的モニタリング」とは、担当部署自らがERMの有効性を持続的にチェックすること。
*「独立的評価」とは、内部監査部門など日常業務担当部署以外の人間が適宜ERMの有効性をモニタリングすること。
・モニタリングの範囲が適切であるか。
・チェックリスト方式、質問書など、モニタリングに用いる手法が確立しているか。
・モニタリングで用いた証跡や記録が文書化されているか。
⑤リスクを評価・報告。検証・チューニングを行う
最後に、ERMに関する取り組みを、事業報告書などに記載し開示したり、社員が定期的に確認できるようイントラネット上に掲載したりしましょう。そうすることで、信頼性が高く、透明性のある経営状況であることを示せます。
【CHECK POINT】情報と伝達
・リスクマネジメントに必要な情報が、準備され、適切に利用可能であるか。
・イントラネット上に日常業務上のリスクのポイントを掲載し、従業員が共有できるようにするなど、業務や組織のリスク情報が統合的に管理され、各部門間で共有できるようになっているか。また顧客クレームをデータベース化し、緊急時に備えるようにしているなども当てはまるのか。
まとめ
ERMを実行に移すうえで、欠かせないのは社内各部門の理解と協力です。実際に対応策を策定・実行するのは各部門なので、各部門のキーパーソンの賛同を得ないことには、名前だけで実態のないリスクマネジメントになってしまいます。その際、総務が先導役となることが大きなポイントになります。経営者の推進力と併せ、総務が有する情報力、経営・バランス感覚は、社内の理解と協力を得る上で不可欠といえるでしょう。
また一気に理想形を求めて焦らず、例えば年がかりなど、段階的に導入していくことも有効とされます。時間と共に、改善すべき点が見えると同時に社内の理解と協力が進み、定着する傾向があるからです。総務が中心となり、「小さく生んで大きく育てる」という発想で取り組んでこそERMの真の成果があがるといえるでしょう。
