見出し画像

リスク管理の補足事項

田中正男

第3章 リスク管理の補足事項

リスク管理に関する書籍やガイドブックは少なくないので、容易にリスク管理を学習できる環境にあると言える。それらの書籍等を読めば、リスク管理の歴史的変遷や、管理の考え方、あるいは、なぜリスク管理が大切であるかも理解できるであろう。また、ISOやJISからも、世間一般で規格に匹敵するものとして認識されているガイドラインが示されているので、全体管理体系や要求事項はそれらを参考にすればよいと考える。

本書の“はじめに”でも記載したが、本書は中小の企業でのリスク管理の実践のために使っていただきたいと考えている。中小企業の経営者もリスク管理の重要性は認識されている。ただ、リスク管理をISOやJISに沿って体制を構築してシステム運用している中小の会社は多くないのが実態である。システム化しない理由はいろいろあるが、まず経営者や上級管理者に意識の問題である。彼らの少なくない人たちが、管理システムなどと言わなくても現状でリスクについては対応できているので、改まったリスク管理システムは必要ないと認識している。そして、そう思わせている最大の理由は、リスク管理に割く人的余裕がないことのように思う。少なくとも筆者はそう感じている。
リスク管理ができていると認識している会社で定まったシステムがない場合は、属人的で恣意的な運用になりがちである。やっていると認識してるがゆえに、逆に大きなリスクに気づいていない可能性が十分に考えられる。しかし、マンパワーの問題が原因の場合は、それを解決する特効薬はないのかもしれない。管理体系を整え、管理体制を構築し、管理システムをしっかり継続して運営していくには確かにマンパワーが必要である。特に、ISOやJISのガイドラインを満足するようなシステムを構築しようとすると、往々にして大きなシステムとなりがちである。限られたマンパワーだと、特に運営管理が消化不良となって、システムを維持することが目的となっていると疑うケースも少なくない。
必要な管理マンパワーを相対的に下げて、かつ管理の有効性を担保するやり方がないものであろうか。属人性はリスク管理の最大の問題点である。しかし、属人性を低下させるにはやはりシステム化が欠かせない。
大きなシステムではなく、システムとしては最低合格点でリスク評価も定量性に欠けるとしても、関係者がリスクを自分のこととして考えシステムに従って対応するという基本的な行為を確実に行うこと、そしてその状態が継続しているのであれば、リスクは満足できるレベルで管理されていると考える。このような状態こそが、まずは目指すべき目標だと思えてならない。
そのための平易なシステムを提案した。とにかく提案したシステムを使ってほしい。そのうえで経験したことを反映して、属人性の排除を維持した上で自分たちにとってより良い仕組みを作り上げていただきたい。

さて、この章では、リスク管理全般を取り扱うのではなく、本書の管理規程(例)のベースにあるリスク管理の構成思想を紹介することと、他の資料にはあまり触れられていないが、リスク管理に関わる者に知っておいてほしい補足事項を記載した。
前者では、例としてISO31000:2018の考え方を取り上げる。
後者では、下記事項について説明する。
 ・リスク管理の法的位置づけについて
 ・リスクの概念
 ・リスク管理と危機管理の違い
 ・リーダーシップについて
 ・リスク管理教育の考え方

ISO31000:2018におけるリスク管理の構成要素
ISO31000は現状では指針であり、いわゆるISO9000などの認証制度の規格とは異なり、第三者による審査で公の資格取得を与えるものにはなっていない。管理システムとして活用することが好ましいという位置づけです。そうではあるが、規格と同様に活用する価値のある内容だと考えています。
ISO31000では、リスク管理が3つの要素で構成されています。それらは、「原則」、「枠組み」、「プロセス」です。
「原則」は8つの原則からなっていますが、それらはリスク管理のシステムに備わっているべき性格のようなものです。例えば、「結合されている」という原則は、リスク管理が単独のシステムではなく他の関連する管理システム(予算化や経営計画など)とリンクしているということです。
「枠組み」は管理システムを構築し維持するためのアクションのようなものです。設計、実施、評価、改善、統合の5つの要素が必要とされています。
「プロセス」は構築した枠組みの中でリスク管理を行うためのアクションのようなものです。「適用範囲、状況、基準」、「リスクアセスメント」、「リスク対応」、「モニタリング及びレビュー」、「記録作成及び報告」、「コミュニケーション及び協議」の要素があります。

これらの、3要素やその中に含まれる原則等はISOが改訂されるたびに多少変更されますが、重要なことは下記だと考えています。

  • リスク管理システムを単独で運営しないで、会社の経営に必要な各種の管理システムも含めてそれぞれのシステムの関連を整理して有機的に運営すること。

  • リスク管理システムを改善しながら維持管理していくこと。

  • リスク管理アクションはPDCAのサイクルを確実に行い、関係する管理者全員が情報を共有すること。

以上のような思想を踏襲して、本書の規程等は作成されています。

補足事項

1. 法的な位置づけ

企業にとって、事故や災害、あるいは投資など、社会的に重大な特定のリスクに対しては、過去より特定リスク毎に法律整備されてきていた。投資家保護を主目的とした金融商品取引法も企業のリスクを取り扱うが、企業のリスク全般を網羅するという観点で管理する必要性を規定している法律は2006年に施行された会社法であるというのが識者の意見のようである。従って、会社法について以下に触れておく。

会社法第362条(取締役会の権限等)第4項第六号を下記に示す。ここに取締役の職務の中でリスク管理に関わる規定がある。
「取締役の職務の執行が法令及び定款に適合することを確保するための株式会社の業務並びに当該株式会社及びその子会社からなる企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備」
そして同法同条第5項では、下記の記載がある。
「大会社である取締役会設置会社においては、取締役会は、前項第六号に掲げる事項を決定しなければならない」

上記の第4項第六号で言う法務省令に定める体制とは、下記である。
会社法施行規則第百条(業務の適正を確保するための体制)
「法第三百六十二条第四項第六号に規定する法務省令で定める体制は、当該株式会社における次に掲げる体制とする。
一 当該株式会社の取締役の職務の執行に係る情報の保存及び管理に関する体制
二 当該株式会社の損失の危険の管理に関する規程その他の体制
三 当該株式会社の取締役の職務の執行が効率的に行われることを確保するための体制
四 当該株式会社の使用人の職務の執行が法令及び定款に適合することを確保するための体制
五 次に掲げる体制その他の当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制
イ 当該株式会社の子会社の取締役、執行役、業務を執行する社員、法第五百九十八条第一項の職務を行うべき者その他これらの者に相当する者(ハ及びニにおいて「取締役等」という。)の職務の執行に係る事項の当該株式会社への報告に関する体制
ロ 当該株式会社の子会社の損失の危険の管理に関する規程その他の体制
ハ 当該株式会社の子会社の取締役等の職務の執行が効率的に行われることを確保するための体制
ニ 当該株式会社の子会社の取締役等及び使用人の職務の執行が法令及び定款に適合することを確保するための体制
(以下第2項以降省略)」

以上のように、まず会社法第362条第4項第六号において、業務の適正確保の体制を整備しなさいと規定し、会社法施行規則第百条で具体的に必要とされる体制を規定している。整備すべき適正確保の体制とは内部統制のシステムを意味し、その中で、施行規則第百条1項二号の損失の危険の管理に関する規程その他の体制がリスク管理体制を意味していると解釈されている。
なお、同条第5項では、この体制の整備は大会社の義務であるとしている。従って大会社でない中小の会社は、法的には、体制の整備はあくまで努力義務とされている。

2. リスク

本書では、リスクをマイナスの影響を及ぼす事象の発生確率と、発生した場合に生ずる影響の大きさの2つの要素で評価するとしている。もし二つの要素が、それぞれ値として数値化されていれば、それらの積がリスクの大きさとなる。この定義はわかりやすいし大小が明確になるので広く支持されている。
しかしながら、必ずしも要素が数値化できる事象ばかりではないのも事実である。従って定性的な評価指標でよいとする意見も多い。確かに、発生事象は多種の質の異なる事象の集まりである為、特に影響度は画一的な定量指標は不可能とも考えられる。このような事情はあるが、人による評価のばらつきを少なくするためにも、できるのであれば定量性の確保を目指すべきである。事例データを集積するなどの努力を継続することで、できるだけ定量的な評価基準となるよう工夫願いたい。

参考のため追加説明すると、リスクの定義は識者によっていろいろ提案されており、例えばISO31000では、「目的に対する不確かさの影響」と定義されている。そして、影響にはマイナスだけでなくプラスが存在するとしている。一方、上記1項に記述した会社法施行規則では、損失の危険の管理という表現がリスク管理に該当するとされていることから、会社法では内部統制を意識しているので、マイナスのリスクを対象としているものと考えられる。

また、危険性という概念でリスクを議論することもある。財務的な損失や信用の低下なども危険性で評価しても良いはずであるが、ほとんどの場合、事故やけがなどのリスクに対して危険性という言葉が使われている。これらの危険性のリスクを考える場合は、発生する事象をぺリル、発生の原因となるような状況をハザード(危険源とも言う)という。例えば、大雨で裏山ががけ崩れを起こし家が崩壊すると想定した場合、崖の近辺に人家がある状態がハザードになり、家が崩壊することがぺリルになる。ハザードはそれだけでは事故事象(ぺリル)が発生することにはならない。崖が崩れても家のない場所に土石が流れたのであれば事故とは考えない。リスクは事故の可能性を評価するので、崖崩れに影響される範囲内に人家がある場合は、その人家には事故(ぺリル)が発生するリスクがあると判定される。

3. リスク管理と危機管理

リスク管理と危機管理は似て非なる者なのですが、これらを同じもののように考えているケースや混同して用いられるケースがあります。管理体系の構築を行う時など、無用の混乱を避けるためにもそれぞれの意味を理解して使う必要があります。お互いの違いを説明した分かりやすい例としては次のような言い方があります。
「リスク管理は対象とする事象が潜在している(まだ発生していない)段階で行うのに対して、危機管理は顕在化した(発生した)段階で行う行動である。」
リスク管理としてリスク対応を行う場合、リスク事象によっては、危機管理体制を整備しておくことで発生した現象による影響度を下げるというリスク対応をとることが良く行われます。つまり、リスク管理には危機管理が包含されているという言い方ができるかもしれません。不幸にも想定されるような事故などの事象が発生した場合は、リスク管理で検討された定められた危機管理体制で定められた危機管理手順に従って対応することになります。
なお、危機管理では、事故などの発生事象の直接的対処と、迅速に元の業務状態に戻す対応(リカバリー対応)が両輪となります。また、発生事象の対応には、事象の対応だけでなく、事業をできるだけ維持継続する対応(BCP : Business Continuity Plan)も策定すべきと判断される場合があります。

4. リーダーシップ

リスク管理に限りませんが、マネジメントシステムを有効に運用するうえで最も重要な要素はリーダーシップです。リーダーという言葉に対して、よく引き合いに出されるボスやマネジメントは業務組織の職位を強く意識した言葉です。ボスは当人にとっての上司を、マネジメントは組織の長としての業績管理のニュアンスが強い言い方と言えるでしょう。一方、リーダーは組織に関わらず、ある目的のために行動する集団を構成する人間を指導することに重点が置かれます。マネジメントシステムはある目的を達成するために構築されたシステムなので、リーターはそのシステムが有効に機能するよう人を導くことが求められます。システム運用がうまくいかないとか、期待されるパフォーマンスが出ないなどの責任はリーダーが負います。社長は部門長に対して、部門長は部下に対してリーダーシップを発揮しなければなりません。
ボスやマネジメントは組織階層を意識したイメージで、部下に指示を出すイメージであるのに対して、リーダーは階層的ではなく平面的なイメージで、集団の輪の中心にいて活動する感覚に近いと言えます。
ISOなどのマネジメントシステムでは、システムに必要な機能として必ずリーダーシップという言葉が最初に出てきますので、グローバルに重要性が認識されているということだと思います。部下に任せきりにしてはならないと考えていただきたい。
なお、リーダーがリーダーシップを発揮するには、マネジメントシステムのパフォーマンス情報がタイムリーに把握できることが必須です。最前線のリーダーは所属員の活動からその情報を逐次把握できますが、上位のリーダーは下位のリーダーから情報を入手する必要があります。従って、社長のような最上位のリーダーを除く各リーダーは、上位のリーダーにマネジメントシステムのパフォーマンスに関わる必要で正確な情報をタイムリーに提供することが求められます。これはスチュワードシップと呼ばれます。

5. リスク管理教育

リスク管理だけの話ではありませんが、マネジメントシステムは基本的にマネジメント(組織管理者)のためのシステムです。従って、理解を必要とするのはマネジメントです。極論すれば、一般従業員はリスク管理がどのようなものかを知らなくても、マネジメントの指導の下にマニュアル通り日常業務を行えばよいとも言えます。
ただ、管理システムはマネジメントのためのシステムですが、従業員全員が理解することでシステムがより効果的に働くのは明白です。以上の観点から、2つの視点で教育を行うのが良いと考えます。
1.全従業員教育(リスク管理の必要性、リスク管理システム、管理体制など)
2.マネジメント教育(上記1項に加えて、リスク管理が重要であるとの意識教育)
会社経営に影響する事象の発生は、そのほとんどでマネジメントの行動が関与しています。財務報告に関わる不正や海外展開の失敗などは直接的なマネジメントの関与ですが、災害や事故に対するリスク対応の不備なども、リスクを小さく評価してしまうなどのマネジメント行動が関係しています。
マネジメントは、過去の経験や慣習にとらわれず、定められたシステムのルールに従って判断しなければならないと認識して、常にシステムを意識して行動することが求められます。

(今回の発信は以上です。発信のたびにタイトル末尾につけた①から今回の⑥までの発信で、リスク管理に最低限必要な文書とその解説は終わりです。次回は、リスク管理を行う上で、運営管理に便利な管理一覧表を提供する予定です。)


この記事が気に入ったらサポートをしてみませんか?