- コンプライアンス
リスクマネジメントの重要性とは?考慮すべきリスクや対策法を解説
公開日:
ビジネスシーンにおいて「リスク」という言葉を聞いた経験のない人はいないでしょう。しかし「リスク」とは何なのか、正しく理解している人は意外と少ないかもしれません。世の中にはさまざまなリスクが存在し、それを適切にマネジメントしなければ企業にとって大きな損失につながるケースがあります。本記事ではリスクマネジメントの重要性や方法について解説します。
※本記事は2022年8月に作成されました。掲載されている内容は作成時点の情報です。
リスクとは何か
リスクと聞いたときにどんなイメージが浮かぶでしょうか?おそらく「危険」や「危険性」といった言葉が思い浮かぶでしょう。しかし、実はリスクとは単なる「危険」の意味であるとは限らず、その意味には二種類あります。混同しやすいため、まずリスクとは何なのかについて解説します。
純粋リスクと投機的リスク
経済産業省が公表している『先進企業から学ぶ事業リスクマネジメント実践テキスト』によれば、リスクとは以下のように定義されています。
リスク=組織の収益や損失に影響を与える不確実性
つまり、リスクとは「確実ではない」「予測できない」という意味であり、想定外の収益の上振れのような予期せぬプラスの事象も含むと定義しています。実際にビジネスシーンでも「リターンを得るため積極的にリスクを取る」などの言い方をする場合があるが、これはリスクをプラスの事象も含んだ言葉として捉えています。
一方で、リスクは単にネガティブな意味の言葉としても定義されます。政府や企業に対するビジネスマネジメントの指導を目的として設立されたアメリカのトレッドウェイ委員会支援組織委員会(COSO)では、リスクを以下のように定義しています。
リスク=組織にとって不利な影響を与え得る事象
こちらはリスクをマイナスのみの意味として定義しています。こちらのほうが一般的なリスクのイメージに近いでしょう。中小企業庁の定義によると、上記のプラスもマイナスも含むリスクを「投機的リスク」、マイナスの事象のみを含むリスクを「純粋リスク」と呼んでいます。
本記事で述べるリスクは純粋リスク、すなわちCOSOが提唱しているマイナスのみの意味である定義として読んでください。
【参考】
経済産業省:先進企業から学ぶ事業リスクマネジメント実践テキスト
中小企業庁:第4章 稼ぐ力を支えるリスクマネジメント
企業におけるリスクマネジメントの重要性とは
おそらくリスクマネジメントの重要性に異論がある人は少ないでしょう。誰だってリスクが抑えられていたほうがよいと、なんとなく思っています。しかし、中小企業庁が実施した2015年の調査によればリスク管理の専門部署があるのは大企業でも18.5%に留まり、中小企業ではわずか3.9%しかありません。多くの人が重要だと思いながらここまで実施率が低いのはおそらく具体的に何をしたらいいか分からないからではないでしょうか。中小企業庁によればリスクマネジメントを以下のように規定しています。
リスクマネジメントとは、リスクを組織的に管理(マネジメント)し、損失等の回避又は低減を図るプロセスをいい、ここでは企業の価値を維持・増大していくために、企業が経営を行っていく上で障壁となるリスク及びそのリスクが及ぼす影響を正確に把握し、事前に対策を講じることで危機発生を回避するとともに、危機発生時の損失を極小化するための経営管理手法をいいます。
この定義からいうと、リスクマネジメントとは以下の5つの流れで行います。
- リスクを正確に特定し把握する
- 把握したリスクを分析し、評価する
- リスク対策を講じる
- 対策をモニタリングする
- 対策を評価し、改善をする(PDCA)
また、3のリスク対策には以下の手法が考えられます。
- 回避:リスクを伴う活動自体を中止する
- 損失防止:損失を防止する対策を講じる
- 損失削減:損失が発生したときに最小限に抑えるための対策を講じる
- 分離・分散:リスクの元になりそうなものを一カ所に集中させない
- 移転:保険や契約などにより第三者にリスクを肩代わりしてもらう
- 保有:リスクを受け入れ、損失発生時に全て自己負担する
この6つの対策のうち、1から4をリスクコントロール、5と6をリスクファイナンスといいます。
これらの目的は「企業の価値を維持・増大していくため」です。言い換えればリスクマネジメントをおろそかにすると、企業の価値が維持できなくなる可能性が高くなります。リスクマネジメントは企業の継続性において必要な要素なのです。
リスクヘッジやリスクアセスメントとの違い
リスクマネジメントとよく似た言葉に「リスクヘッジ」や「リスクアセスメント」があります。これらはリスクマネジメントとはどう違うのでしょうか。
リスクヘッジとは
リスクヘッジとは将来起こり得る特定のリスクに対して備える行為を言います。もともとは金融業界の言葉で、株式や外国為替などの分散投資によって発生し得る損失の金額を抑えるような意味でした。リスクマネジメントとの違いは、対応の範囲や日常性にあります。
リスクヘッジはどちらかというと限定的・具体的・短期的なリスクに備える言葉であるのに対し、リスクマネジメントは包括的・全体的・日常的なリスクをコントロールするような意味です。
リスクアセスメントとは
リスクマネジメントと似たもう一つの言葉に、リスクアセスメントがあります。アセスメントとは「評価」という意味です。つまり、リスクアセスメントはリスクを分析して適切に評価する作業を言います。
リスクマネジメントとの違いは対策の有無です。つまり、リスクアセスメントにはリスクの回避や低減のための対策は含まれず評価する作業のみを指します。一方で、リスクマネジメントは評価も含めた総合的な対策・管理を指します。リスクアセスメントもリスクマネジメントの一部分と言えるでしょう。
企業が想定するべきリスクの例
では企業にとってどのようなリスクが世の中に存在するのでしょうか。従来のリスクマネジメントでは自然災害や事故、感染症流行などの対応が最も多く、他のリスクについてはあまり考慮されていませんでした。しかし、現在ではより幅広く包括的なリスクに対応すべきという考え方が主流になってきています。具体的には以下のようなリスクが考えられます。
- 自然災害
- 物理的な事故(火災や断水、停電など)
- IT関連事故(システム障害、情報漏えいなど)
- コンプライアンス違反
- 自社商品に対するクレームや風評被害
- その他(反社会的勢力やその他のリスク)
企業のリスクマネジメントにおけるITの重要性
上記リスクに対応するためにも、社内のITシステムにまつわるリスクマネジメントの対応が必要です。なぜなら現在の企業活動はITシステムを基本として動いているからです。これはIT関連事故の話だけではありません。例えば、自然災害や物理的事故はデータセンターの物理的損傷に関わってきますし、コンプライアンス違反や自社商品へのクレームは企業ブランド価値の低下にもつながってきます。現代の企業にはITを活用したリスクマネジメントが極めて重要な役割を果たします。
PマークやISMSを取得しよう
IT関連事故、特に情報漏えいなどの情報セキュリティーリスクの対策に対する認証としてPマークとISMSがあります。これを取得すればウェブサイトなどに表示でき、顧客情報などへのリスクマネジメントの意識が高い企業だとアピールできます。企業ブランド向上にも有用です。
Pマークとは
Pマークとは「プライバシーマーク」の略称で、日本情報経済社会推進協会(JIPDEC)が運営する認証制度です。日本工業規格の一つ、「JIS Q 15001個人情報保護マネジメントシステム-要求事項」を満たしているかどうか審査し、認定をします。認定されたらプライバシーマーク(Pマーク)が使用でき、社員の名刺やウェブサイトに表示できます。自主的に高いレベルの情報リスクマネジメントを実施している証明になるマークです。
【参考】プライバシーマーク制度の運用 - 一般財団法人日本情報経済社会推進協会(JIPDEC)
ISMSとは
ISMS(情報セキュリティマネジメントシステム)とは個人情報も含めたあらゆる情報資産を対象とし、企業が適切な情報リスクマネジメントを実施できる体制を整えているかを審査するための国際規格です。
【参考】ISMS(情報セキュリティマネジメントシステム)とは - 情報マネジメントシステム認定センター(ISMS-AC)
リスクマネジメントしやすいITツールの選び方
企業がITツールを選ぶ際には先述したようにできるだけリスクマネジメントに適切なツールを選ぶ必要があります。そのためには以下のポイントに気をつけて選ぶと良いでしょう。
サーバーの堅牢性
サーバーがどれだけリスクに強くできているか、運営体制が整っているかをまず判断の基準にするべきです。これは情報リスクだけでなく、物理的な災害や事故、国際紛争などによるデータセンターの損傷リスクも含みます。これは特に理由が無い限りクラウドサービスを選ぶべきです。クラウドサービスは非常に堅牢な運営体制を敷いている場合が多く、オンプレミス環境よりもデータ消失のリスクは低い場合が多くなります。
セキュリティーの強さ
クラウドサービスの中でもアプリケーションレベルで強固なセキュリティーを意識して開発されたサービスを選ぶべきです。これは主にハッカーなどの悪意あるユーザーから情報を守るために必要です。
コンプライアンスに配慮されているか
ユーザーによる誤操作や設定ミスによって、情報が漏えいしてしまうような作りになっていないサービスを選ぶべきです。また、あまりにも強固すぎるセキュリティーはユーザーの利便性を阻害し、シャドーITの温床になるため、セキュリティーと利便性のバランスに配慮すべきです。シャドーITとは社員が会社の管理下にない個人用のITツールを業務に使ってしまう行為を言い、情報漏えいの危険が高まります。
リスクマネジメントに強いSansan
Sansanは上述したリスクマネジメントのしやすさを備えたクラウドサービスです。データセンターへの通信の暗号化、データセンターの二重化による物理損傷リスクの最小化、全社員の個人情報保護士資格の取得、プライバシーマークの取得などリスクに配慮されたサービス設計、運営体制となっています。Sansanのセキュリティー体制については、こちらを参照ください。
3分でわかる Sansan
営業DXサービス「Sansan」について簡潔にご説明した資料です。
ライター
営業DX Handbook 編集部