■リスクを組織的に管理(マネジメント)し、損失などの回避または低減をはかるプロセスをいいます。■リスクマネジメントは、主に「リスクアセスメント」と「リスク対応」とから成ります(JIS Q 31000 「リスクマネジメント―原則及び指針」による)。さらに、リスクアセスメントは、リスク特定、リスク分析、リスク評価から成ります。リスクマネジメントは、各種の危険による不測の損害を最小の費用で効果的に処理するための経営管理手法です。
■企業は、継続して事業を続けることが前提となっています。すぐに無くなってしまうような会社とは継続して一緒に仕事をしていくわけにはいきません。また、事業継続を阻害する要因は、原材料費の高騰や取引先の倒産、製品事故、顧客からの苦情、情報漏洩等の様々なものがあります。
■事業継続マネジメント(BCM:Business continuity management)とは、リスクマネジメントの一種で、企業がリスク発生時にいかに事業の継続を図り、取引先に対するサービスの提供の欠落を最小限にするかを目的とする経営手段です。できあがった成果物を事業継続計画(BCP)といいます。
■2012年に国際標準化機構による国際規格 ISO 22301(Business continuity management systems - Requirements) が発行され、翌2013年にはその日本語訳である日本工業規格 JIS 22301(事業継続マネジメントシステム -- 要求事項)が制定されました。
危機管理とリスクマネジメント
■リスクマネジメントは、「転ばぬ先の杖」で、転ばないように前もって用心しておくことです。(リスクが発現しないようにリスクを管理すること)■一方、危機管理(クライシスマネジメント:Crisis management)は、転んでしまった後の対応です。
■リスク管理と同様に危機管理は、起こりうる危機やそれに伴うリスクをリストアップすることが必須となりますが、危機管理の大きな特徴は、危機が発生したときに何をすればその災害や影響を最小化できるか、危機からの早期回復のためには何をすればよいかということが、検討の中心になるということです。
企業が気になるリスク
【経 営】
@法務:製造物責任、リコール、異物混入、知的財産侵害、環境汚染、法令違反
A財務:不良債権、投資の失敗、資金繰り悪化、風評被害、株価下落、取引信用下落、事業中断、粉飾決算
B労務:労働争議、人員整理、人手不足、不正行為、セクハラ、機密漏洩、誘拐、労災
【災害・事故】
@自然災害:台風、洪水、地滑り、地震、津波、噴火
A事故:火災、爆発、汚染物質の流出、交通事故、航空機事故、コンピューター事故、放射能汚染
【政経・社会】
@政治:戦争、革命、内乱、税制変更、貿易制限、外圧、テロ
A経済:為替変動、金利変動、国家債務の危機
B社会:対企業暴力、消費者運動(不買運動)
【そ の 他】
@設備関連:老朽化、故障
A市場変化:顧客ニーズの変化、競争激化、技術の陳腐化、価格破壊、重要顧客の喪失
B情報セキュリティ:顧客情報の漏洩
リスク対応の戦略
@回 避 : リスクの原因となる活動を見合わせたり、中止すること。
例えば、将来的に企業に損失を与える可能性のある事業や部門を売却する行為。
A低 減 : 内部統制などの導入によりリスクの発生可能性や発生した場合の影響度を低くすること。
例えば、担当者の取引先との癒着をなくすために、人事ローテーションや複数人によるチェックをする行為。
B移 転 : リスクの全部または一部を組織の外部に転嫁することで影響を低くすること。
例えば、地震保険に加入し、発生時に保険金により損害を減少させる行為。
C保 有 : そのリスクのもつ影響力が小さいため、特にリスクを低減するための対策を行わないこと。
例えば、よい対策方法が見当たらない場合や、コストが見合わない場合など、意図的にリスクを残す場合と、リスクの洗い出しで発見されなかった場合の未知のリスクも含まれます。
基本方針の違い(パナソニック=P、住友商事=S)
■リスクは、会社によって異なります。それは、何を管理したいかによって異なるからです。
リスクの定義 :
P=「失敗の原因」即ち事業目的の達成を阻害する要因。
S=「予め予測若しくは予測していない事態の発生により損失を被る可能性」及び「事業活動から得られるリターンが予想から外れる可能性」
リスクマネジメントの目的 :
P=企業価値の向上、ステークホルダーの安心。
S=「業績安定」:計画と実績の乖離を少なくして安定収益を確保する。「体質強化」:リスクを体力の範囲内に収め、リスクの顕在化の場合にも事業に支障を来さないようにする。「信用維持」:法令遵守等の社会的な責任を果たし、信用を維持すること。
管理方針 :
P=リスクの洗い出し/評価。グループの重要リスクを決定。モニタリング対象リスク。
S=リスクを、計量化できる「計測可能リスク」と、計量化が困難な「計測不能リスク」に大別して管理している。
事業継続計画(BCP)
■企業は、地震・テロ・システム障害等の様々な危機に直面する可能性があります。こうした危機が実際に起こった時に、従業員の安全確保や二次災害の防止といった初期対応だけでなく、重要な事業を継続又は可能な限り短時間で復旧させるための行動計画を予め策定しておくことが求められます。この行動計画を「BCP(Business Continuity Plan)」と言います。
■2011年の「東日本大震災・原発事故」、2013年の「猛暑41.0℃」、2014年の「御嶽山噴火」、2016年の「熊本震災」、2017年の「九州北部豪雨」、2018年の「大阪府北部地震」・「西日本豪雨」・「北海道胆振東部地震」、2019年の「台風第19〜21号」・「九州北部豪雨」など、ここ10年を振り返っても自然災害は毎年のように起こり、又、その規模は年々大きくなってきています。
■そして、2020年の今年は「新型コロナウィルス」です。誰が想像出来たでしょうか?想像もしないことが、実際に起きるのです。■大規模災害や事件・事故等のリスクは、中小企業の事業継続に大きな影響を及ぼしますが、そうした影響を小さくするための事前の備えが重要です。
BCPが求められる理由
■企業にとってBCPは、事業の中断による被害(損失)を最小化することが第一の目的ですが、事業の中断によって失うものは、資産への直接の被害や事業停止中の利益だけではなく、取引先や顧客との関係を失う原因にもなります。■最近では、取引先や顧客が、企業に対してBCPでどの様な対策を講じているかの説明を求めることが増えていると言われています。■取引先や顧客との関係を強化するためにもBCPは重要な役割りを果たすのです。
東日本大震災から学ぶBCP
■日本でBCPに注目が集まったのは、米国同時多発テロが発生した2001年頃ですが、実際に策定に至った企業はごく僅かでした。その後も大規模災害が発生しているもののBCPを策定した企業の大幅な増加はなく、東日本大震災が発生する前の2010年時点でBCPを策定していた企業の割合は34.8%に過ぎませんでした。2011年以降に策定した企業の割合が65.2%と約3分の2を占めています。
■9年前の東日本大震災では、既存のBCPでは不十分であったことが浮き彫りになりました。まさに「想定外」の危機への対応が機能しなかったのでした。■それまで、火災や地震、新型インフルエンザ等の個々のリスク毎に対応するやり方では、想定外への対応が出来ないため、経営資源ベースのBCPを作成して、想定外事象にも柔軟に対応するものとなりました。
■重要な商品・サービスの提供や業務遂行に必要な経営資源である、施設、設備、技術、取引先、情報システム、人的資源などに注目するのです。
■近年ではBCPを策定する企業は増加傾向にありますが、まだ十分とはいえず、今後時間の経過とともに震災で得た教訓について風化する恐れもあります。自然災害が多く、企業を取り巻く環境の変化により多様なリスクが想定される日本においては、今後もリスクへの対応をより強固にしていくことが重要です。