見出し画像

今回は、先に配信した第1章第2項のリスク評価マニュアル(例)の解説です。

田中正男

2.リスク評価マニュアル(例)解説

1. 目的
本マニュアルは、リスクの評価、対応策の策定、対応策実施後のフォローについて規定していること、そして、それらを規定することによって得られる適切な評価等が、経営継続に関わる意思決定に必要な情報であると明記している。適切なリスク評価と対応によるリスクの変化を見極めることが経営に必要である。

2. 適用範囲
リスク管理規程(例)に基づくリスク評価等を対象とすると規定した。等としたのは、上記の目的の項で記載された評価以外の活動を省略しているためで、不明確を避けたいのであれば目的の項で記載されたすべてに活動を記載すればよい。ただし書きは、会社によっては、日常業務の中でリスク管理規程適用外の固有のリスク評価を行いたい場合もあり得るだろうと考えて、他に承認された文書があれば、そちらも認めるとしたものである。

3. 責任
責任の項は、基本的にリスク管理規程の責任体制の下で行うので、基本的に規程の表現と同じになっている。

4. 定義
定義では、まず本マニュアルがリスク管理規程の下位文書であることを明確にした。リスク管理規程の活動を行う上で使われるマニュアルということである。
新しく定義した言葉としては、リスクマトリックスと残余リスクである。リスクマトリックスは、リスク事象の発生確率と影響度でリスク評価を行う場合に使用される表で、多くの会社で一般的に活用されている。また、残余リスクはリスク対応を行うことによって変化したリスクであり、これも一般的に使われている。

5. 関連文書
関連文書としてはリスク管理規程しかあげていない。参考文書としては、種々の業界でリスク評価の冊子が出ているので、もし活動の中で参照すべきと判断されるのであれば、それらを記載しても良いが、特に標準的な記載は不要と判断した。

6. リスク評価基準
ここでは最初にリスクマトリックスを明記した。これがリスク評価の基準となるからである。発生確率と影響度のリスクマトリックスとして、汎用的に適用できると考えられるマトリックスを提案した。あまり複雑でなくかつ実用的であることと考えて、発生確率も影響度も4段階のマトリックスとしている。確率も影響度も各段階は定性的な表現としているものの、後述する発生確率と影響度の決定基準では、属人性を小さくするために定量性も加味した基準とした。
マトリックスは縦横4段階なので、16組のリスク評価の組合せとなっているが、リスクの大きさは大、中、小、極小、特別の5つとした。特に極小と特別のリスクの大きさ等級を設定していることがこのマトリックスの特徴で、中でも、特別という等級を設定した点に大きな特徴がある。重大な影響があるがめったに発生しないためにリスクが小さいと評価する事案を特別と設定した。これは、過去より経営破綻のような経営に大きなインパクトをもたらした事象では、滅多に発生しないからリスク小と評価して特に対策を取っていなかった実態が多いという現実があるからである。典型的な例は、巨大地震や巨大津波に対する備えの問題や、海外進出における地域紛争やクーデターなどの対応などがある。その為、特別のカテゴリーを設定し、ここに該当する事象の評価は定期的に確認するようなルールとした。

各リスクの大きさ等級に対して必要とする対応は本文に記載したとおりであるが、記載した対応内容は絶対的な基準というよりは一つの例としてとらえたほうが良いかもしれない。世の中の実態は4X4のマトリックス表示とすること、リスクの大きさの分類、そしてリスク対応の基準も、各社各様である。従って、自分たちにとって最も現実的で有効と考えられる評価基準を作成すればよいが、まずは記載した基準で実際に運用してみることを薦める。最適ではないかもしれないが、汎用的な基準になっていると考えている。

1.発生確率
上述したが、人によって判断が大きく異ならないよう、属人性を抑える目的で目安となる発生確率の判断基準を記載した。これも各社で適切な基準を設定して頂いて構わない。

2.事象の影響
影響度を人的影響と損失コストの2つの要素で決めるとしているのは、あくまで経験に基づく判断であるが、汎用性のある方法だと考えているからである。この方法の基本的な考え方は、定量性を確保して属人性を抑えることと、簡便で現実的な評価手段を選択するということである。その為、現実的な会社における定量的な影響度評価としてコスト換算を選択した。しかしながら、どうしても、人に関わる影響度は定性的とならざるを得ないので2つの要素で判断するようにしたということである。

人的影響
人的影響度は定性的な判断基準となることが避けられないので、各影響度のイメージをつかむことで判定しやすくすることを狙って、具体的な例を用いた基準を提供した。だだ、工場や工事現場などがある職場環境とオフィスビル内業務主体の職場環境では、判断の参考にする事例が異なることが想定されるので、提供した表だけでは細かな点で使いにくい職場環境があるかもしれない。その点は、活用にあたって各社の事情を考慮して工夫願いたい。

損失コスト
一定規模の会社として、売上が数百億円、営業利益が数十億円の会社を想定して標準的な基準を提案した。しかしながら、リスクに対する損失コストの評価は、会社規模(売上額、利益率など)によって影響が異なるので、各社でとっての適切な判断基準を設定してほしい。

7. リスク評価手順
リスク評価手順は、一般に下図の様なステップで実施される。
各ステップを図の左蘭に、各ステップのキーとなる要素を右蘭に記載した。キー要素はリスク管理を向上していくために、各社が経験と技術革新によって経年的に改善していく部分で、それらの情報は会社にとっての知的財産となる。

リスク事象の抽出
リスク評価は、リスク管理規程の下でリスク管理会議の審議で決定される前提の為、抽出手法や抽出メンバーは原則会議構成員である部門長とした。ただし、専門性の問題もあるので、当該会議の了承の下で部門長が推薦する専門部員や他の手法の適用についても対応可能となるような表現とした。重要な点は、部下に抽出作業を担当させたとしても、部門長のリスク管理責任はなくならないので、抽出結果に対する責任は部門長にある。このような理由から、やむを得ない理由がある場合を除いてリスク管理の代行を任命することも避けるべきである。
また、リスク事象が一つに絞れないことも、一つの事象でも一つのシナリオに特化できないこともよくあるので、その場合は複数の事象やシナリオの評価を行うのが良い。

リスク事象の発生確率評価
リスクシナリオは、事象の発生をイメージしやすいことや対策の設定等に有益であるが、シナリオをもとに発生確率を推定することは、それなりの専門知識が必要である。従って、リスク管理導入の趣旨から考えて、発生確率はあえてシナリオを意識しない方法でよいとした。明確な根拠がなくてもメンバーが納得すればその確率を使ってよいと規定した。
確率推定手法3のシナリオに沿って発生確率を求める方法は、時間と手間がかかるが、それだけの労力をかけて確率を求めても、どの程度正確かが良く分からないとの意見がある。結局、得られた確率がメンバーの感覚に合わなければ納得が得られないという事態を多く経験している。その為、経験で正確度が納得できるようになるまでは、感覚的な確率の採用で良いとしたのである。

シナリオベースの発生確率推定例を下記に示す。
 ----------------------------------------------------------------------------------
シナリオ:顧客から特殊機械の製品のオーダーが入り伝票が届いた。オーダー数量をコンピューターに入力した。①入力ミスによりオーダー数量より少ない数字が入力された。②製造部門はコンピューターの指示数に従って製品を製造した。③出荷時にコンピューター数値と製品数が同じであることを確認して、その数量で梱包して発送した。後日顧客よりクレームとともに機械数量不足のため販売できなかった数の製品の損害賠償を求められた。
シナリオの中で、ミスを犯す可能性があるのは①~③の3つの作業である。
①    では、統計上1000件に1件の割合で人的ミスが起こっていることが分かっている。②では、班長と担当者が画面をみて指示を受けるので、過去も指示の間違いは起こっていない。ここでは①と同じ確率で2名同時に間違えるとして1000000件に1件(1/1000x1/1000)とする。③では、梱包の数量確認ミスを同じ確率として1000件に1件とする。
顧客要求数量の間違い発送トラブルは、①,②、③のプロセスのどれか1つでもミスがあると発生するので、発生確率は①,②、③の確率の和となり、1/1000+1/1000000+1/1000=2001/1000000となる。
部品の年間オーダー獲得数は約700件とすると、2001/1000000 x 700 = 1.4件/年となるので、1年間に1~2件の発生可能性があると評価される。
------------------------------------------------------------------------------------

リスク事象の影響評価
人的影響については人数の要素を考慮しない点に特徴がある。一度に多数の人的影響がある場合のほうが影響度は大きいとする考えもあるが、逆に、人的影響は1人に対してであっても影響があれば、リスクの大きさは同じであるとすべきとの意見もある。後者の考えが、人への被害を防止する観点では好ましいと考えている。
損失コストについても、機会損失を含めるべきかどうかの議論がある。この点についてもリスク評価は保守的な方が良いと考えて、機械損失も含めるべきとの立場をとっている。
一方で、但し書きで示したように、年度内で計画的に回復できるのであれば機械損失を含めないとしている。これは、多くの会社では、何かあった場合に、営業計画や生産計画の見直しによって損失を回復させようとするアクションがとられることは通常の対応であることから、現実にりすく計画見直しで損失が回避できる場合はリスクは小さいからである。

リスク評価
リスク評価は、リスクマトリックスによって機械的に判断するのがよい。このように機械的に判断することが重要で、影響度と発生確率が適切であればマトリックスの評価を変更してはならない。機械的な作業とすることで、属人性の排除と効率性の向上が図れるからである。

8. リスク対応
一般に、リスク対応には ①回避(排除)、②低減、③移転、④保有 の4つの方法があると説明されている。参考のため、それぞれの具体例を下表に示す。

実際には、リスク対応は②低減を検討することが多く、①回避(排除)で対応できることは多くない。③移転は保険を掛けることにほぼ限られる。④保有はリスクを許容するということになるが、リスクが小の事案ではこのような判断も正当化される。
リスクの低減を検討する場合に、リスクシナリオが役に立つことが多いので、リスクシナリオの活用について記載を加えた。特に、直接的な投資が少なくて済むことからリスク低減に管理強化を導入することを選択する例は非常に多い。管理強化対策の場合は、人の行動に頼るので、確実性を担保するために担当者のチェックと管理者(確認者)のチェックのダブルチェックを次に続くプロセスに移行する条件としてルール化しなければならないことを規定した。
なお、管理にるリスク対応に対しては、セルフアセスメントや内部監査では、このダブルのチェックが確実に行われていることを検証することでガバナンスを保証することになる。

残余リスクが一定程度の大きさで保存された場合についても言及した。いったんリスク対応措置をとると、解決されたかのような雰囲気となって、長い時間リスクを抱えたままになっていることもしばしば経験する。残余リスクの大きさが中となった事案については、そのままでリスクを容認することは避けるべきである。新しい技術や新たな管理手法などによって、より良い対応ができないか定期的に確認する作業を必須とした。

1. 文書の改・廃
リスク管理規程(例)に同じ。

10.文書の保管
リスク管理規程(例)に同じ。

(以上が今回の配信内容です。次回は、リスク管理についての補足説明を配信します。一般的なリスク管理の話も多少含まれますが、実際のやってみなければ気づかないことを配信します。)


この記事が気に入ったらサポートをしてみませんか?