IT・情報システム
公開日: 2022.10.06
リスクマネジメントの重要性とは? 考慮すべきリスクや対策法を解説
ビジネスシーンにおいて「リスク」という言葉を聞いた経験のない人はいないだろう。しかし「リスク」とは何なのか、正しく理解している人は意外と少ないかもしれない。世の中にはさまざまなリスクが存在し、それを適切にマネジメントしなければ企業にとって大きな損失につながるケースがある。本記事ではリスクマネジメントの重要性や方法について解説する。
【画像】Shutterstock
リスクとは何か
リスクと聞いたときにどんなイメージが浮かぶだろうか?おそらく「危険」や「危険性」といった言葉が思い浮かぶだろう。しかし、実はリスクとは単なる「危険」の意味であるとは限らず、その意味には二種類ある。混同しやすいため、まずリスクとは何なのかについて解説したい。
純粋リスクと投機的リスク
経済産業省が公表している『先進企業から学ぶ事業リスクマネジメント実践テキスト』によれば、リスクとは以下のように定義されている。
リスク=組織の収益や損失に影響を与える不確実性
つまり、リスクとは「確実ではない」「予測できない」という意味であり、想定外の収益の上振れのような予期せぬプラスの事象も含むと定義している。実際にビジネスシーンでも「リターンを得るため積極的にリスクを取る」などの言い方をする場合があるが、これはリスクをプラスの事象も含んだ言葉として捉えている。
一方で、リスクは単にネガティブな意味の言葉としても定義される。政府や企業に対するビジネスマネジメントの指導を目的として設立されたアメリカのトレッドウェイ委員会支援組織委員会(COSO)では、リスクを以下のように定義している。
リスク=組織にとって不利な影響を与え得る事象
こちらはリスクをマイナスのみの意味として定義している。こちらのほうが一般的なリスクのイメージに近いだろう。中小企業庁の定義によると、上記のプラスもマイナスも含むリスクを「投機的リスク」、マイナスの事象のみを含むリスクを「純粋リスク」と呼んでいる。
本記事で述べるリスクは純粋リスク、すなわちCOSOが提唱しているマイナスのみの意味である定義として読んでいただきたい。
リスク=組織の収益や損失に影響を与える不確実性
つまり、リスクとは「確実ではない」「予測できない」という意味であり、想定外の収益の上振れのような予期せぬプラスの事象も含むと定義している。実際にビジネスシーンでも「リターンを得るため積極的にリスクを取る」などの言い方をする場合があるが、これはリスクをプラスの事象も含んだ言葉として捉えている。
一方で、リスクは単にネガティブな意味の言葉としても定義される。政府や企業に対するビジネスマネジメントの指導を目的として設立されたアメリカのトレッドウェイ委員会支援組織委員会(COSO)では、リスクを以下のように定義している。
リスク=組織にとって不利な影響を与え得る事象
こちらはリスクをマイナスのみの意味として定義している。こちらのほうが一般的なリスクのイメージに近いだろう。中小企業庁の定義によると、上記のプラスもマイナスも含むリスクを「投機的リスク」、マイナスの事象のみを含むリスクを「純粋リスク」と呼んでいる。
本記事で述べるリスクは純粋リスク、すなわちCOSOが提唱しているマイナスのみの意味である定義として読んでいただきたい。
企業におけるリスクマネジメントの重要性とは
【画像】Shutterstock
おそらくリスクマネジメントの重要性に異論がある人は少ないだろう。誰だってリスクが抑えられていたほうがよいと、なんとなく思っている。しかし、中小企業庁が実施した2015年の調査によればリスク管理の専門部署があるのは大企業でも18.5%に留まり、中小企業ではわずか3.9%しかない。多くの人が重要だと思いながらここまで実施率が低いのはおそらく具体的に何をしたらいいか分からないからだろう。中小企業庁によればリスクマネジメントを以下のように規定している。
リスクマネジメントとは、リスクを組織的に管理(マネジメント)し、損失等の回避又は低減を図るプロセスをいい、ここでは企業の価値を維持・増大していくために、企業が経営を行っていく上で障壁となるリスク及びそのリスクが及ぼす影響を正確に把握し、事前に対策を講じることで危機発生を回避するとともに、危機発生時の損失を極小化するための経営管理手法をいう。
この定義からいうと、リスクマネジメントとは以下の五つの流れで行う。
1. リスクを正確に特定し把握する
2. 把握したリスクを分析し、評価する
3. リスク対策を講じる
4. 対策をモニタリングする
5. 対策を評価し、改善をする(PDCA)
また、3のリスク対策には以下の手法が考えられる。
1. 回避:リスクを伴う活動自体を中止する
2. 損失防止:損失を防止する対策を講じる
3. 損失削減:損失が発生したときに最小限に抑えるための対策を講じる
4. 分離・分散:リスクの元になりそうなものを一カ所に集中させない
5. 移転:保険や契約などにより第三者にリスクを肩代わりしてもらう
6. 保有:リスクを受け入れ、損失発生時に全て自己負担する
この六つの対策のうち、1から4をリスクコントロール、5と6をリスクファイナンスという。
これらの目的は「企業の価値を維持・増大していくため」である。言い換えればリスクマネジメントをおろそかにすると、企業の価値が維持できなくなる可能性が高い。リスクマネジメントは企業の継続性において必要な要素なのである。
1. リスクを正確に特定し把握する
2. 把握したリスクを分析し、評価する
3. リスク対策を講じる
4. 対策をモニタリングする
5. 対策を評価し、改善をする(PDCA)
また、3のリスク対策には以下の手法が考えられる。
1. 回避:リスクを伴う活動自体を中止する
2. 損失防止:損失を防止する対策を講じる
3. 損失削減:損失が発生したときに最小限に抑えるための対策を講じる
4. 分離・分散:リスクの元になりそうなものを一カ所に集中させない
5. 移転:保険や契約などにより第三者にリスクを肩代わりしてもらう
6. 保有:リスクを受け入れ、損失発生時に全て自己負担する
この六つの対策のうち、1から4をリスクコントロール、5と6をリスクファイナンスという。
これらの目的は「企業の価値を維持・増大していくため」である。言い換えればリスクマネジメントをおろそかにすると、企業の価値が維持できなくなる可能性が高い。リスクマネジメントは企業の継続性において必要な要素なのである。
リスクヘッジやリスクアセスメントとの違い
リスクマネジメントとよく似た言葉に「リスクヘッジ」や「リスクアセスメント」がある。これらはリスクマネジメントとはどう違うのだろうか。
リスクヘッジとは
リスクヘッジとは将来起こり得る特定のリスクに対して備える行為を言う。もともとは金融業界の言葉で、株式や外国為替などの分散投資によって発生し得る損失の金額を抑えるような意味であった。リスクマネジメントとの違いは、対応の範囲や日常性にある。
リスクヘッジはどちらかというと限定的・具体的・短期的なリスクに備える言葉であるのに対し、リスクマネジメントは包括的・全体的・日常的なリスクをコントロールするような意味である。
リスクヘッジはどちらかというと限定的・具体的・短期的なリスクに備える言葉であるのに対し、リスクマネジメントは包括的・全体的・日常的なリスクをコントロールするような意味である。
リスクアセスメントとは
リスクマネジメントと似たもう一つの言葉に、リスクアセスメントがある。アセスメントとは「評価」という意味である。つまり、リスクアセスメントはリスクを分析して適切に評価する作業を言う。
リスクマネジメントとの違いは対策の有無である。つまり、リスクアセスメントにはリスクの回避や低減のための対策は含まれず評価する作業のみを指す。一方で、リスクマネジメントは評価も含めた総合的な対策・管理を指す。リスクアセスメントもリスクマネジメントの一部分と言えるだろう。
リスクマネジメントとの違いは対策の有無である。つまり、リスクアセスメントにはリスクの回避や低減のための対策は含まれず評価する作業のみを指す。一方で、リスクマネジメントは評価も含めた総合的な対策・管理を指す。リスクアセスメントもリスクマネジメントの一部分と言えるだろう。
企業が想定するべきリスクの例
【画像】Shutterstock
では企業にとってどのようなリスクが世の中に存在するのだろうか。従来のリスクマネジメントでは自然災害や事故、感染症流行などの対応が最も多く、他のリスクについてはあまり考慮されていなかった。しかし、現在ではより幅広く包括的なリスクに対応すべきという考え方が主流になってきている。具体的には以下のようなリスクが考えられる。
● 自然災害
● 物理的な事故(火災や断水、停電など)
● IT関連事故(システム障害、情報漏えいなど)
● コンプライアンス違反
● 自社商品に対するクレームや風評被害
● その他(反社会的勢力やその他のリスク)
● 自然災害
● 物理的な事故(火災や断水、停電など)
● IT関連事故(システム障害、情報漏えいなど)
● コンプライアンス違反
● 自社商品に対するクレームや風評被害
● その他(反社会的勢力やその他のリスク)
企業のリスクマネジメントにおけるITの重要性
上記リスクに対応するためにも、社内のITシステムにまつわるリスクマネジメントの対応が必要である。なぜなら現在の企業活動はITシステムを基本として動いているからである。これはIT関連事故の話だけではない。例えば、自然災害や物理的事故はデータセンターの物理的損傷に関わってくるし、コンプライアンス違反や自社商品へのクレームは企業ブランド価値の低下にもつながってくる。現代の企業にはITを活用したリスクマネジメントが極めて重要な役割を果たすのだ。
PマークやISMSを取得しよう
IT関連事故、特に情報漏えいなどの情報セキュリティーリスクの対策に対する認証としてPマークとISMSがある。これを取得すればウェブサイトなどに表示でき、顧客情報などへのリスクマネジメントの意識が高い企業だとアピールできる。企業ブランド向上にも有用であるのでぜひ取得していただきたい。
Pマークとは
Pマークとは「プライバシーマーク」の略称で、日本情報経済社会推進協会(JIPDEC)が運営する認証制度である。日本工業規格の一つ、「JIS Q 15001個人情報保護マネジメントシステム-要求事項」を満たしているかどうか審査し、認定をする。認定されたらプライバシーマーク(Pマーク)が使用でき、社員の名刺やウェブサイトに表示できる。自主的に高いレベルの情報リスクマネジメントを実施している証明になるマークである。
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは個人情報も含めたあらゆる情報資産を対象とし、企業が適切な情報リスクマネジメントを実施できる体制を整えているかを審査するための国際規格である。
リスクマネジメントしやすいITツールの選び方
【画像】Shutterstock
企業がITツールを選ぶ際には先述したようにできるだけリスクマネジメントに適切なツールを選ぶ必要がある。そのためには以下のポイントに気をつけて選ぶと良いだろう。
サーバーの堅牢性
サーバーがどれだけリスクに強くできているか、運営体制が整っているかをまず判断の基準にするべきである。これは情報リスクだけでなく、物理的な災害や事故、国際紛争などによるデータセンターの損傷リスクも含む。これは特に理由が無い限りクラウドサービスを選ぶべきである。クラウドサービスは非常に堅牢な運営体制を敷いている場合が多く、オンプレミス環境よりもデータ消失のリスクは低い場合が多い。
セキュリティーの強さ
クラウドサービスの中でもアプリケーションレベルで強固なセキュリティーを意識して開発されたサービスを選ぶべきである。これは主にハッカーなどの悪意あるユーザーから情報を守るために必要だ。
コンプライアンスに配慮されているか
ユーザーによる誤操作や設定ミスによって、情報が漏えいしてしまうような作りになっていないサービスを選ぶべきである。また、あまりにも強固すぎるセキュリティーはユーザーの利便性を阻害し、シャドーITの温床になるため、セキュリティーと利便性のバランスに配慮すべきだ。シャドーITとは社員が会社の管理下にない個人用のITツールを業務に使ってしまう行為を言い、情報漏えいの危険が高い行為である。
昨今はリモートワークの導入によってIT活用の機会が増えているが、それとともにセキュリティーリスクにも対応していかなければいけない。リスクマネジメントについて、本記事を参考に改めて考えてみてはいかがだろう。
昨今はリモートワークの導入によってIT活用の機会が増えているが、それとともにセキュリティーリスクにも対応していかなければいけない。リスクマネジメントについて、本記事を参考に改めて考えてみてはいかがだろう。
