1. はじめに
リスクマネジメントについての情報を整理しはじめてから、およそ5年ほど経ちました。外資系企業で30年近くを過ごし、その間に経営企画・経営品質のプログラムや事業計画立案と達成支援の仕事に関与し、それらの仕事を通じて、いつも頭をかすめたテーマは、事業における「リスク」とはどのようなもので、そのリスクにどう対処していけば最も良いのだろうか、ということでした。
実際には、一旦事業計画を作成すれば、各事業の責任者たちは目標達成に向けて、特に財務目標の結果を出そうと懸命の取り組みを始めるのですが、戦略や戦術に沿った事業活動が進められていくとはいえ、リスクそのものを体系的に捉えてリスクをコントロールしながら成果をあげていくといったような活動は、あまり見られなかったように思います。
そのような中で、『リスクマネジメント-原則及び指針』(以下、リスクマネジメント規格と呼ぶことにします)が、JIS Q 31000:2010(ISO 31000)として財団法人日本規格協会から発行されました。
これは、いわゆる日本工業規格(JIS)ですから、また新たな認証規格が出てきたのかとしか受け止めなかったのですが、認証を目的として作成されたものではないこと、リスクマネジメントは事業計画の達成を支援する仕組みと位置付けていること、あらゆる経営活動や範囲と形態のリスクを運用管理するための原則及び指針であること、等の目的を標榜していることを知り、経営品質に関与する私たちにとっても知っておくべきコンセプトの一つであると考え、本稿を通じて前述のリスクマネジメント規格の概要を紹介することにいたします。
2. 捉えてみれば、皆リスク
私たちの所属している企業や非営利団体(以下、これを総称して「組織」と呼びます)のみならず、私たち自身の毎日の生活においても、リスクは常に存在し影響を与え続けています。事業の目標を設定し達成する活動では、市場の動きや顧客の意向は想定から大きく乖離することも多く、その情報把握と対応に追われる毎日であることは言を待ちません。
ほとんど全ての業界や組織では中期事業計画を作成し、自分たちが決めた目的や目標の達成に向けて日々の取り組みが行われているのですが、組織の外部での動きのみならず、ときによっては予期せぬ内部の事情で組織の目的や目標の達成が左右されることが少なくありません。むしろ、想定外の事情や障害などが起こる「不確かさ」のほうが多いのが実情でしょう。じつは、この不確かさこそが、私たちの会社や組織が達成したい事業目的や目標に影響を与える「リスク」と呼ぶものではないでしょうか。
組織が毎日取り組んでいる活動には、常にリスクがあります。私たちは目的や目標を達成するために、どんなリスクがあるのか、それらのリスクがどのように影響を与えるものなのか、そして、どのように対応すべきなのか、を議論しながら事業活動を進めているのですが、その運用管理は、ややもすると場当たり的(部分最適と言っても良いかと思います)な印象があります。抽出し分析されたリスクの一つひとつが個別に対応され、場合によってはその後も更なるリスク対応が新たに必要になってしまう事態が起こることもあるようです。
そのようなことにならないように、私たちはリスクそのものや、リスクを低減する仕組みをつくり、組織の経営活動に織り込んでいく必要があります。リスクを把握し、分析し、対応策を立案し、実行し、モニタリングとレビューをしていくPDCAを回せるプロセスを持つことが、組織の事業を成功に導く重要な成功要因になるはずです。リスクマネジメント規格の序文にはリスクの運用管理の大枠が説明されていますので、筆者のコメントを右欄に添えた概要を図表1にまとめておきます。
3. リスクは組織の目的を明確にしないと定まらない
リスクマネジメント規格によれば、リスクとは「不確かさが組織の目的に与える影響」と述べています。
日経産業新聞(2011年6月17日)にもリスクについての記事が掲載されていましたが、リスクを考える場合には、期待に対して好ましい方向、または好ましくない方向に乖離(かいり)することの両方を想定するべきであり、好ましい影響を最大化することと、好ましくない影響を最小化することを同時に考える事が必要と訴えていました。
また、アイソス(2011年1月号)には、目的の達成に対して何らかの原因(原因の不確かさ)が、何らかの条件下(起こりやすさや顕在化シナリオの不確かさ)によって起こる何らかの影響(影響の不確かさ)の可能性、などと説明しています。いずれにしましても、期待とか目的とかがはっきりしていることがリスクを考える場合には不可欠であることが分かります。目的を明確に設定しないと、リスクは定まらないわけです。
たとえば、投資により30億円の利益を上げる目標を持っていた場合、20億円の利益しか出せない予測が出れば、10億円の好ましくない影響をもたらすリスクがあると判断されます。
少し余談になりますが、リスクマネジメント規格には「審議中問題となった事項(翻訳における考慮事項)」が紹介されています。その中で、”objective”の訳として、目的と目標の二つを候補として検討を行ったことが書かれています。結果としては、”goal”を到達目標と訳しているケースがあることを考慮しながら、”objective”を目標と訳すと混乱するおそれがあることから、同規格では ”objective”は”goal”の上位概念として使用されていると解釈し、「目的」と訳したそうです。ISO14001(環境マネジメントシステム)でも環境目的・目標といったように、目的と目標を併用している記述になっていることもあり、この議論には多少の興味を覚えました。
4. リスクマネジメント規格と事業計画との関係
冒頭に書きましたように、リスクマネジメント規格は、組織の目的を事業計画の達成と置けば、リスクマネジメントは、事業計画の達成を支援する仕組みと位置付けることができる、としています。
事業計画を達成する活動において、その達成に影響を与える可能性をリスクと特定し、好ましい影響を促進し、好ましくない影響を低減させ、あるいは回避させるなどの取り組みをすることにより、事業計画達成への確率を高めることができるはずです。そのためには、内外の状況を検討することによって、目的や目標を達成する既存の仕組みに入れ込んでいくことが必要となるでしょう。
事業計画のみならず、その他の既存のプロセスやシステムにも活用できるはずで、たとえば、ISO9001(品質マネジメントシステム)をはじめとするマネジメントシステム、危機管理(BCP:Business Continuity Plan)、安全分野、内部統制、等への活用も充分可能性がありますし、現にISO14001(環境マネジメントシステム)における環境側面の影響評価と特定には、リスクマネジメントの手法そのものが広く利用されているという事実が多く見られています。
そのような活用範囲の中で、本稿では事業計画達成を支援するリスクマネジメントに焦点を絞っていくことにします。
5. リスクの運用管理の流れとメリットとは
多くの経営管理や規格の解説には、それらの運用管理のための原則やフレームワーク(枠組み)が明示されていますが、ISO31000のリスクマネジメント規格でも、原則と枠組み・プロセスが示されています。
経営品質やマネジメントシステムを学習され実践された方々にとっては、それほどかけ離れた概念ではないと考え、ここでは細かな説明は省きますが、その次に注目したいのは、リスクの運用管理が、それらのフレームワークやプロセスに沿って行われると、私たちの組織は多くの効果を享受することができるのではないかという点です。
リスクマネジメント規格にはメリットも紹介されていますが、私たちの組織が実際の経営や事業活動で行っている取り組みや手法が該当するものが多くあります。たとえば、BCP(事業継続計画)も該当しますし、内外の状況を検討することによって、目的や目標を達成する仕組みに入れ込んでいく手法として、(クロス)SWOT分析や、事業目的や目標を達成する現時点でのベストなシナリオづくりにつながるBSC(バランススコアカード)なども該当するもののひとつとして挙げています。
それから、もうひとつ特筆しておきたい点は、このリスクマネジメント規格はステークホルダーのニーズを満たすことを意図している、いわば、ステークホルダー重視経営の取り組みをベースにしていることです。その流れは、PDCAを回す「マネジメント」のサイクルで構成されていることがお分かりになるかと思います。
6. 事業継続計画(BCP)への展開
リスクマネジメントの規格の内容について、一つひとつ紹介をしていくには紙面が足りませんので、その任は日本規格協会で発行されている規格書に譲ることにし、本稿では事業継続計画(BCP)と、前述しましたビジネスリスクマネジメントの2つのケースに絞って稿を進めていくことにします。
まずは事業継続計画ですが、リスクマネジメント規格は組織の目的達成に影響を及ぼすリスクを明らかにし、それらに対して対応策をとることを求めており、目的達成に影響を及ぼすリスクの中には緊急事態も含まれるとしていますので、緊急事態や危機管理のマネジメントを、より一般的なリスクマネジメントとしての観点から作成できるようにガイドできると考えています。
以下に事業継続計画(BCP)についての解説をまとめておきます。
- 事業の継続を脅かすようなリスクが顕在化したとき、ダメージの早期回復が不可能な状況に陥ることで事業活動が停滞し、ひとたびステークホルダーからの信頼を喪失してしまえば、その後の企業を維持していくことは極めて困難。
- そこで、リスクが顕在化した後の事態を想定し、あらかじめ定めた事業機能水準を維持するために事前に行うリスクマネジメント活動が「事業継続マネジメント」(Business Continuity Management:以下BCM)。
- BCMでは、事業継続計画(BCP)策定のため、経営レベルで事業リスクを適性に評価し、危機が発生した緊急時にも目標とする事業機能の継続水準を設定することで、必要な対策や投資を合理的に決定し推進。
- また、BCPは具体的な行動基準を整備しておくといった一連の取り組みを指して、さらに、策定されたBCPの実効性を検証し改善していくため、検証訓練などを通したPDCAサイクルによって継続的に行われる組織活動とも言える。
- 内閣府のガイドラインによると、BCPとは企業が災害や事故で被害を受け、通常の事業活動が中断した場合に、可能な限り妥当な時間枠とコストの中で、事業活動上、最も重要な機能を再開できるように、事前に計画・準備したものと定義。
- 災害や事故で被害を受けても、取引先等の利害関係者から、重要業務が中断しないこと、中断しても可能な限り短い期間で再開することが望まれている。
- 事業継続は、企業自らにとっても、重要な業務の中断に伴う顧客の他社への流出、マーケットシェアの低下、企業評価の低下、等から企業を守る経営レベルの戦略的課題と位置付けられているもの。
- 上記のようなリスクマネジメントの観点から、すでに構築されている会社や組織の場合では、既存のBCP(緊急時対策プログラム、等との名称で作成されているケースが多い)を再検証し、リスクの再チェックと評価、BCP対応方針の再確認、対策内容の再検討(例としてマニュアルやリカバリープラン)、等の手順を通じて、現実的で納得感のある効果的なBCM/BCPプログラムの構築と改善が重要。
- 事業継続計画(BCP)を作成する場合の主な内容としては、基本方針、想定リスク、重要業務と目標復旧日数、被害想定と復旧想定見込み、災害発生時の初動対応手順、災害発生時の実施項目手順、平時における準備項目、教育・訓練、点検、是正処置、経営者による見直し、などが考えられる。これに加えて、部門別ビジネスインパクト分析、重要書類・データ・情報リストと保護・バックアップ方法、従業員・家族の安否・被災状況確認、連絡する顧客・協力会社・委託先・供給者リストと方法、業務復旧手順と準備項目の確認、防災グッズ・緊急時用備蓄品の準備・管理確認、事前対策の整備資金計画、その他の付帯情報・手順、なども明確にしておく必要がある。
(続く)
