見出し画像

リスク管理規程(例)解説

田中正男

今回は、第1章で提供したリスク管理規程(例)について、記載内容の意図や目的あるいは意味について解説します。

第2章 解説

本章では、第1章のリスク管理規程(例)とリスク評価マニュアル(例)の2文書に関して、各文書の項目に沿って、記載内容を解説している。解説の目的は、文書例を適用しようとする人のために、いわば担当者が次の担当者に申し送りを行うようなやり方で内容を理解していただくことである。従って、内容を分かりやすく説明するとともに、なぜ内容のような表現にしているかという点を重視した。それは、利用する人が、自分たちに適した内容にカスタマイズしたいと考えた時に必要となるからである。

1.リスク管理規程(例)解説

Ⅰ.目的
本規程が、継続的な会社経営の達成を目的としていること、そして、会社のリスク管理の構造と基本ルールを定めたものであることをうたっている。
一般に、文書における目的の役割は、会社業務における本規程の位置づけを明確する重要な項目である。リスク管理に関しては、全てのマネジメントはリスク管理の意図と内容を理解しなければならない。管理の柱となる管理構造とルールを定めているのが本規程であり、これらは安易に変更されるべきではないので、この部分を変更する本規定の改訂はマネジメントによる合意を必要とすることが求められる。

Ⅱ.適用範囲
リスク管理の対象を、業務にマイナスの影響を及ぼすものと規定した。
ISO31000やJISQ31000では、リスクをプラスの影響を及ぼすもの(チャンスや機会と表現されることもある)を含めるとしているが、経験上、経営チャンスをマイナスのものと一体化して同じリスク管理の中で運用している会社は多くない。経営チャンスなどは、リスク管理システムが世の中に整備される前から、投資判断規程などとして制定され運用されていることが多いのが実態である。社会通念上も、リスクをネガティブなイメージでとらえていることが一般的なので、無用の混乱を避けるために本書はマイナスの影響を及ぼすものに限定した。
本書では、Ⅳ.定義の項で、プラスの影響の取り扱いについては別の規程によるとした。従って、例えばISOのリスク管理認証を取得する場合は、本書とプラスリスクに対して該当する別の規程の両方でリスク管理体系を説明する構成になる。

Ⅲ.責任
リスク管理に限らないが、システムを効果的に運用するには誰にどういう責任があるかを明確にしておくことが必須である。マネジメントは従来からリスクを意識して会社を運営しているので、リスク管理システムなどと改めて言わなくても今までもやっていた、という意識を持つ人は多い。しかしながら会社経営に影響するトラブルが発生する事例は枚挙にいとまがない。それは属人的な判断で行われることが最大の原因だと思えてならない。属人性をできるだけ排除して、システムとしてルール化して適切な管理体制を構築することが必要である。リスク対応にはお金と時間がかかるので、どうしてもリスクを過小評価するバイアスが働くことが、トラブル発生の属人的要因なのであろう。そのような属人的な判断を防ぐ有効な方法の一つがシステムによる管理なので、システム運用では定めたルールを徹底させなければならない。徹底することが日本人は苦手のようだ。臨機応変などとルール変更の理由付けを安易にしてしまう傾向があるので、システム運用には社長の強い意志とリーダーシップが絶対的に必要である。そういう意味の責任を社長の責任としている。
システムを適切に運用するには、それなりの業務負荷がかかる。社長が管理責任者となることも不可能ではないが、やはり別途管理責任者を設置したほうが良い。この場合必ずしも専任でなくてもよい。ただし社長の片腕となって部門長などの管理職の人を指導するので、それなりの上位職位の人を任命するのが良い。管理責任者は、システムを逸脱する行為が起こると予見される場合は、それがたとえ社長であっても警告を発しなければならない。
部門長が、システムを実質的に運用する役割を担う。担当部門のリスクを抽出し評価して適切なリスク対応を行うことが責務である。その為に、担当部門の業務従事者にリスク管理の目的と必要なリスク対応を理解させ、リスク対応を特別なものと意識することなく、担当業務遂行の一部として自然体で実行させなければならない。当然、規定された要求事項の実施を確認して結果を評価し、リスク管理の有効性を会社に報告する義務がある。
なお、以上の説明は、下記のリスク管理体制を念頭に置いている。

Ⅳ.定義
ここでは、システムが適切にかつ効果的に運用できるように、自分たちが明確にしておきたいルールや名称を定義しておけばよい。現状では、前述のように、本規程が業務執行上のリスク管理の最上位規程であることと、リスクがマイナスの影響を及ぼすものに限定していることをうたった。業務執行上としたのは、企業合併、資本提携などのような経営者が取締役会でしか議論できないリスク事項は、本規程の管理システムに含めなくてよいという意図である。もちろんそれらを含めてもかまわないが、経験上は分けた方がシステム運営しやすいと感じている。それらのリスクを含めるとしても、やり方としては、リスク抽出と評価は含めて検討するが、対応は取締役以上の問題として切り離すなども考えられる。
また、リスクはマイナス事象の発生確率と影響の2つの要素で評価するとした。リスク評価には、リスク対策や発生後の回復の難易度を考慮するという論調もある。しかしながら、リスクの意味とは異なる概念の議論になるし、複雑化を避けるためにも広く使われている評価方法を適用した。
Ⅴ.関連文書
ここでは、本規程に直接関係する文書(リスク評価マニュアル、リスク管理委員会規程)以外に、参照文書を記載した。参照文書は特に記載する必要がないかもしれないが、世の中でリスク管理の標準と考えられている文書なので記載しておいた。
記載したのは、リスクマネジメントのグローバルな規格文書(ISO)と日本の規格文書(JIS)、そして、これらのもととなったCOSO(Committee of Sponsoring Organization of the Treadway Commission:トレッドウエイ委員会組織委員会)の文書である。これらは、現時点ではは認証規格ではないが、今後認証の動きがあった時に認証取得を目指す場合や、更により重厚な管理システムを構築したい場合には必ず参照することになると考える文書である。

Ⅵ.リスク管理システム
ここは、適切に管理を行うために必要なプロセスと、それらを実行するための仕組み、即ち管理システムを既定した内容で、システムの考え方を示す重要な部分である。

まず、最初に要求する5つのプロセスを記載した。これらのプロセスは必須であり、かつサイクルとして繰り返し継続して運用されなければならない。マネジメントシステムでよく言われるPOCA(Plan, Do, Check, Action)サイクルと類似である。

次に本書の特徴として、管理システムをA.全社管理システムとB.特定部門管理システムの2つの階層で行う構造設計にしている。これは、現場工事部門とか工場管理部門などそれだけで固有のリスク管理を要する部門を所有する会社では、専門性と量的な処理手続きの煩雑さの観点で、全社でまとめて行うよりも特定部門でリスク管理を行った方が管理しやすいからである。特定部門の管理を行って、リスクが大きなもののみを全社のリスク管理に組み込んで全社的な評価を行うことを想定している。もちろん、全社管理1本でやるという選択をしてもかまわない。
A.全社管理システムとB.特定部門管理システムの関係を下図に示す。特定部門管理システムは全社管理システムに包含されている構造になる。

A. 全社リスク管理システム

A. 全社リスク管理システム
想定しているリスク管理システムの全体像を下記に示す。左側に管理活動の5つのプロセスが示されており、1年でプロセスサイクルを回していくことになる。右側にはリスク管理会議があり、各プロセスの活動を確実にするために監視する機能を持つ。会議の性格は、リスク管理に関する審議承認機関となる。
会議における監視機能として、各プロセスの進捗状況の確認と成果(アウトプット)の有効性の審議が行われる。
なお、Ⅲ.責任の項で記載した管理体制とプロセスサイクルを確実に回すルールや仕掛けの総体がリスク管理システムと言える。


Ⅲ.責任の項で述べたように、リスク管理は社長をはじめとした上級管理層の意思が共有され、管理システム運用が徹底されないと効果が上がらない。簡便性を求めて通常業務の部門長会議の中で、議題の一項目として管理会議を実施するやり方も時にはあり得ると思う。しかしながら、このやり方が常態化している場合は、経験上、議論の質が高まっていないことが多いと感じる。従って、管理の要求事項を徹底することを確実にするために、リスク管理会議を特化して協議承認等を行うこととしている。
リスク管理会議が管理上最も重要なシステムツールで、その運営の質が、管理システムの効果を決定づけると言える。従ってリスク管理責任者が会議の司会者となっていただきたい。リスク管理責任者の責任は大きいので、重要な内容については会議に先立って社長とコミュニケーションを取るなどの配慮が望まれる。
一方で、特にリスク管理責任者の負担軽減が大きな目的だが、関係する管理層のリスク管理業務を効率的にかつ効果的に行うために、リスク管理一覧表を導入した。関係する全ての管理層は、この一覧表のみで管理システムを動かすことができる。保有するリスク、リスクの大きさ、対応策、対応部門、対応の進捗状況等が網羅される。リスク管理一覧表の管理責任者はリスク管理責任者で、記載を含む表の使用者は各部門長となる。

1.リスクの抽出と評価
リスクの抽出と評価手順はリスク評価マニュアルによる。評価結果は前項に述べた全社リスク管理一覧表にまとめられる。添付の一覧表の左側の蘭には、会社や組織体が関わると考えられる一般的なリスクを記載しておいた。これらをチェックリストとして活用して、自分たちの業務形態に照らして記載リスクの存在を確認し、そのリスクの大きさを評価するのが効率的と思う。
実施要領は、Ⅶリスク管理手順を参照されたい。結果はリスク管理会議で十分審議し承認することが重要である。十分審議するという意味は、参加する個々の管理者がリスク認識を共有することである。リスク項目と関係ない部門もリスクの影響は全社に及ぶことが多いので、部門長は当事者として議論に参加してほしい。
特に、人間には、実際にはまだ大丈夫と考えてしまう安全バイアスや、対応に必要なコストと時間を避けようとするなど、人はリスクを小さく評価しがちであることを認識しておいてほしい。リスク抽出と評価が不適切であれば、以降の管理プロセスは意味がなくなってしまう。そのような属人性をできるだけ排除するためにリスク評価マニュアルがあると考えてほしい。

2.リスク対応策の策定
抽出したリスクの対応は、最もリスクに関係する部門の長が対応責任者となって実行するものとした。リスクの責任者を決めることが大切で、例えば複数部門の関わるリスクであっても、責任者は1名とするのが良い。もちろん責任者とはならなかった関係する部門長も、対応に関して責任者の要請があった場合は協力する義務がある。ある部門に固有のリスクであっても会社のリスクであるから、リスク対応策はリスク管理会議でその妥当性を審議して承認する必要がある。

3.対応策の実施
対応策は対応責任者が管理し実行する。実行には予算が必要であるが、一般には、個々の対応策が確定してから予算化の手続きを行うのではなく、予算化のタイミングで、リスク対応費用として推定した費用を承認しておくことが行われる。一方で、リスクが大きく対応費用も大きい場合は、個々の対応策が確定してから予算化の手続きを行うとする会社もあるようだ。もし、短期・中期の経営計画を作成している場合は、リスクレベルの大きいものは経営計画にも反映し、経営計画会議等においても進捗やリスク低減効果を確認する必要がある。

4.実施状況のモニタリングとレビュー
リスク管理の効果が上がらない大きな原因の一つとして、リスク抽出、評価、対策が決まったら、上位管理層のリスク管理意識が下がってしまうことがあげられる。対応を下位の管理者に移譲したとしても、リスク管理責任が消えるわけではないので、上位管理層はリスク対応の実施状況をモニタリングして、対応の進捗状況と当初計画の正当性を確認するレビューを行わなければならない。また、計画通りやることはもちろん大切だが、それだけでなく、状況によって計画を変更したほうが良い場合は当然発生するので、そういう視点でのレビューも行ってほしい。トップである社長は、各部門長がしっかりフォローしているかどうかを確認する義務がある。

5.リスク見直し
対応が終わった項目のリスクは小さくなっているので、リスク評価を修正すること。また、経時的にも社内外の環境変化等により、計画当初のリスクとは異なっていることがあるので、リスク管理一覧表をアップデートすることが大切である。見直し作業は、最初のリスク抽出作業に比較してワークロードは大幅に少ないので、最初のプロセスと一体化して実施してかまわない。

B. 特定部門のリスク管理システム
 
全社リスクは会社の運営に対する、いわゆる経営に関わるリスクが主体となるが、工場運営や建設工事などを管理する部門、特に現業部門は、会社の大きな柱であり、より実務に直結した専門性の高いリスクを扱いたいと考える企業も少なくない。これらのリスクも含めて全社リスクの管理システムのみで行おうとすると、要求される専門性やリスク管理階層の下位への拡大などにより、対象リスク項目が細かくなり管理が複雑になる。その結果、システム運営が消化不良となってうまく機能しなくなることが多々起こる。そういう事態にならないよう、階層を分けて全社リスク管理とは別にリスク管理を行うことを想定したものである。もちろん必要なければ本システムは無視してかまわないし、むしろ、最初は全社リスクのような大きなリスク項目を取り扱うことでも十分だと考える。
なお、基本的な仕組みは全社リスク管理の仕組みと全く変わらないので、続く1項から5項までの内容は、特記事項のみの記載となっている。

1. リスクの抽出と評価
特定部門であっても、抽出したリスクと評価結果をリスク管理会議に報告することが求められる。これは、全社リスクにかかわる大きいリスクの確認とその対応状況の確認、そしてリスク管理システムの活用状況の確認の意図である。大きいリスクがあった場合は全社リスク管理システムに組み込んで管理するのが良い。ハイリスクと判断する基準は自由に設定してかまわないが、リスク評価マニュアルで定めている“リスク大”以上とするのが良いと考える。

2. リスク対応策の策定
本項目は、全社リスク管理の内容と同じなので本文に記載はない。

3.対応策の実施
対応策の実施は、例えば工事部門など対応に最も適した部門の長が責任者となるが、予算化等を含めたリスク管理は、特定部門長が責任者でなければならない。

4.実施状況のモニタリングとレビュー
本項目では1項と同様に、リスク対応結果をリスク管理会議に報告することを規定した。意図も1項と同じである。

5.リスク見直し
本項目は、全社リスク管理内容と同じなので本文に記載はない。

Ⅶ.リスク管理手順
ここでは、全社と特定部門のリスク管理システムを運営管理するための具体的な手順を説明している。両システムともに基本的な手順は同じである。特定部門では、対象の管理階層が異なる以外では、全社システムとの関係性に関する記述が追加されている。
リスク管理の位置づけに関して、下図に一般的な経営計画との関係を示す。一般に会社では、図のように、その年の経営計画と計画達成の為の経営活動の計画が必要とされる情報に基づいて策定される。必要な情報として、抽出リスクと評価結果並びに対応策等のリスク管理情報も必須であることを表している。

経営計画との関連において、業務の順序としては、経営計画が策定される前に経営に影響するリスクを明確にしておかなければならない。ここでは経営計画策定のタイミングを年度末としているが、各社は自社の適切なタイミングでリスク管理の各プロセスを定める必要がある。
従って、リスク管理責任者は、リスク抽出・評価あるいはリスク見直しの開始のタイミングも、リスク評価に必要な時間を考慮して指示をだすことになる。
参考のために、リスク管理活動の年間スケジュール例を下記に示す。

初年度は、リスクの抽出と評価により多くの時間を要すことになると考えるが、次年度以降は見直しではさほど時間は要さない。また、表の例示ではリスク管理会議は四半期ごとに定期開催としているが、各社の状況に応じて頻度を決定すればよい。ただし初年度はリスク対応の担当部署を決めることや予算と対策の議論などに時間を要すかもしれないので、例示のスケジュール表によらず、臨時会議あるいは関係者による調整会議等で事前準備を進めておき、本会議で承認を取るやりかたが現実的かもしれない。どのような方法であっても、会議結果は記録に残して関係者に周知されなければならない。

A.     全社リスク管理システム

1.       リスクの抽出と評価
添付―1全社リスク管理一覧表は下記の様な構成にしており、固定部分と記述部分からできている。固定部分は標準的なリスク分類で使われるリスク項目を記載し、記述部分は一般的に計画の進捗管理に使われる様式になっている。本様式は、各リスクの内容や原因の説明を記載している点とシナリオベースのリスク管理としている点が特徴となっている。

リスクの説明を記載したのは、リスク分類や各リスクになじみのない方も、説明を参考にすることでリスク抽出や評価がやりやすいと考えたからである。また、シナリオベースにしたのは、経験上、リスクが具現化するイメージを持つことによって、リスク対応が実務的となり効果的なリスク管理につながる傾向があると実感しているからである。固定部分の一部を下記に示す。

記述部分の構成項目を下記に示すが、最上部2行には記述例を記載しておいたので、参考にして活用いただきたい。

もし管理一覧表が重くなるのを避けたいなら、原本様式とは別に実際に使う場合は、固定部分を省いて活用して頂いて構わない。
なお、リスク評価要領や評価基準は、文書が重くならないよう別紙のリスク評価マニュアルに従うとしているので、そちらを確認願いたい。
リスク管理一覧表の管理はリスク管理責任者が行う。リスク管理責任者は一覧表の原本管理を行い、自分あるいは許可された管理担当者以外に原本のアクセス権(記述や消去を行う権利)を与えてはならない。ただし、例えばコピー版を開放する等によって、関係するすべての管理者が一覧表の内容を自由に閲覧できるようにしておかなければならない。なお、一覧表原本に記載する内容はリスク管理会議で審議承認された内容のみである。
リスクシナリオやリスク対応策を関係部門長に記載してもらう時は、ここでも原本を配布せずコピー版を使って記載を依頼するのが良いと思う。

リスク抽出を行うにあたっては、記載された全てのリスク項目についてリスク評価を行うこと。これは、当初該当しないと考えていた項目も環境の変化でリスク項目になることがあり、その場合に将来必要な評価から抜け落ちることを避けるためである。一覧表のリスク項目は、運用年数とともにむしろ追加されていくのが一般的である。つまり評価によってリスクが極めて小さいという結果になっても、一覧表原本からは項目を削除せず記録しておく。ただし、リスク対応が進めば、項目は増えても会社としてのリスクは減少していくことになる。

まず、リスク項目の担当部門長を選任する。どのようなやり方でもよいが、一般には、リスク管理者がリスク項目に対して最も適任と考える部門長を仮に選定して会議で了承を得て決めるやり方や、関係部門長全員に集まってもらって協議合意のうえ決めるやり方などがある。
リスク項目の担当部門長が決まったら、リスク管理者は担当部門長に対して最もリスクが大きいリスクシナリオとその評価を一覧表に記載するよう指示する。自分の担当部門だけでは決められない場合は、担当部門長は、関係する部門長の協力を得て評価すること。ただし、あくまでリスク評価の責任は担当部門長が負うことは徹底願いたい。
リスク評価に慣れていない場合は、最初は定量的な評価にこだわらず感覚的にリスクの大小を決めても良い。大切なことは大きなリスクを抜けなく抽出することである。抽出できていれば、経験とともにより適切なリスクの大きさに修正していくことができる。

1.       リスク対応策の策定

上記1項のリスク評価結果が承認されたら担当部門長を決める。担当になることは業務の増加になるので避けたいと考える管理者がいるのは自然なことなので、会議で決めることで、関係者全員の合意で行う業務であるとの納得感を持たせることができる。リスクレベルに応じた費用対効果を意識した対応策を策定する。対応策は必ず対応実施後のリスクがどう変化するか(対応後の残存リスク)を明確にしておかなければならない。
また、対策費用の予算化のこともあるので、リスク評価と対応策の策定は時期的に近いタイミングで行い承認を得るのがよいであろう。特に大きなリスクが確認された場合は、その対策の予算化措置と経営計画への反映の是非についても十分審議してほしい。想定される対策費用が多いと結論を引き延ばしたり対応を延期する方向に流れやすいが、あくまでリスク対応ルールに基づいた対応を徹底願いたい。リスク対応ルールを安易に変更することには大きな社会的責任が生じる結果になりやすいからである。
なお、対応策の策定に関しても、担当部門長は必要に応じて関係部門長の協力を得ることは、リスク評価の時と同じである。

2.       対応策の実施
 
該当リスクに最も関連があるということで選ばれたリスク項目の担当部門長が対策の責任者となるが、対策によっては他の部門長が対策実施に適任であることが多々発生する。その場合は、担当部門長と他の部門長との協議により、対策実施担当を引き受けてもらうことが適切である。引き受けるか否かでもめることもあるようだが、要は会社にとってどの部門が対策をするのに適任かどうかを判断するということである。経営的視点で全員が協力するリスク管理文化を構築してほしい。それでも調整に時間を要す場合は、最終的には社長のリーダーシップにより任命を一任するのが良い。
なお、対応策の実施担当がリスク項目の担当部門長であっても、必要に応じて関係部門長が協力することは、リスク評価、対策策定の時と同じである。
 
3.       実施状況のモニタリングとレビュー
 
リスク管理責任者の最も大切な業務の一つが、対策の進捗監視である。対策担当部門長はリスク対応業務がメイン業務ではないので、対策の実行が計画通り進まないこともある。ことは会社リスクの軽減や排除の問題なので、対策が進捗するよう各部門長に積極的に啓もうを行ってほしい。リスク管理会議で進捗報告を行う頻度は、経験上4半期ごとの報告とした。報告の為には、少なくとも1か月前には担当部門長へ全社リスク管理一覧表に進捗報告を記載するよう依頼するのが良い。
対策をやっていく過程で、より良い改善方法が認められた場合はためらうことなく会議で変更を審議して、リスク回避・低減に貢献すべきである。変更があった場合は、従前の対策を書き換えるのではなく、変更理由を添えて追記することが大切である。変更の必要性があった場合は、できるだけ早い段階で変更を行うのが良い。年度末になってから変更することは、リスクを保有したままの期間が延長されることを意味するからである。年度管理の場合は年度末の進捗報告が1年間の実績報告となる、計画通り進捗していない場合は,進捗を促進する強化策も議論すること。
 
4.       リスク見直し
 
リスク対応によってリスクは残存リスクまで低下しているはずである。リスク管理責任者はそれらを反映して次年度のリスク管理一覧表をアップデートする。ただし、社会的、法改正などの種々の要因でリスクが変化していることもある。その視点で毎年関係者による見直しが必要である。また、長期的には、例えばリスク評価時点で大地震が30年内に発生する可能性があると報告されていた場合など、そこから10年が経過していればリスクは増大している。重大な被害が想定されるものの、発生確率が低いとしてリスクが小さくなっている項目は要注意であり、何年かに1回はリスク見直しをしなければならない。世の中のリスク対応失敗事例は、発生確率を小さくしてリスクを小さいとみなすことが原因となっていることが多い。
なお、リスク見直しは最初のプロセスを行ったことになる。見直されたリスクに基づいて新たなプロセスサイクルを繰り返していく。これを毎年繰り返すことで会社の経営体質が強化されていくことになる。

 
B.     特定部門のリスク管理システム

Ⅵ.リスク管理システムの項の解説でも述べたように、工場部門や工事部門が主たる事業である会社は、その部門だけで固有の大きなリスクが多く存在しうる。このような場合は、全社的システムから特定部門のリスクを分離して管理するのが有利であることが多い。この項では、その特定の部門主導でリスク管理を行う仕組みを示す。一般的には、複数の特定部門でリスク管理システムを運営するのは、投入労力を考えると業務執行上非効率で好ましくないので、やってもせいぜい一つか二つと考えている。そのために全社と分けて特定分野でリスク管理を行うことについては、管理会議で関係者の承認を得ておく必要があるとしている。

1.リスクの抽出と評価

特定部門のリスク管理は全社のリスク管理の中の一部と位置付けているので、常に、全社リスク管理活動のタイミングに合わせて活動を行わなければならない。特に経営計画に反映する年度末に向けての活動が重要である。
特定部門では特定部門長がリスク管理の責任者となるとしている。ただし、管理一覧表の記載ルールなどは全社システムと同じでなければならないので特定部門の原本管理も全社のリスク管理責任者が行うと設定した。しかしながら、それぞれの判断で、特定部門長の管理にするなどのやりやすいような管理体制で運用してもらって構わない。
重要なことは、特定部門のリスク管理も全社のリスク管理下で行われている構造であること。従って、特定部門長は特定リスク管理会議で承認された結果を全社のリスク管理会議で報告し情報共有するとし、リスクの高い項目は全社リスク管理一覧表にも記載して上位にあるリスク管理会議での審議監視対象とするとしている。もちろん、管理一覧表のお互いの記載の重複を避けるために、片方の一覧表は項目のみ記載とするなどの工夫を行ってうまく運用願いたい。
なお、添付―2特定リスク管理一覧表は様式だけであり、全社版と異なりリスク分類や名称は記載されていない。各社の対象とする特定部門の業務に応じたリスクを各社で分類して、固有のリスク項目を明らかにしなければならないからである。

2.リスク対応策の策定

特定部門のリスク管理においても、リスク対応策の策定要領は全社のリスク対応の場合と変わらない。特定部門長だけで解決できないリスクもあるので、その場合は、必要な部門の長の協力を得て対策を策定する。また、対策実施についても、設備の設置や改造など会社組織内で専門的部門があるのであれば、そこに実施を委託することもあり得る。そのような事情も考慮して対策実施担当部門を決定する。
対応策は特定リスク管理会議で承認されるが、あらゆるリスクは全社的な管理体系の中で管理されなければならないので、特定リスク管理会議の承認内容は上位のリスク管理会議にて報告する必要がある。ただし、リスク項目が多い場合は、報告を一定レベルのリスク項目以上としても良い。
また、1項のリスク評価で決定したリスクの高い項目については、対応策もリスク管理会議の審議対象である。上位管理者は、自部門だけでなく会社の大きなリスクを認識し業務を行うことが求められていることを認識してほしい。

3.対応策の実施

リスク対応策の実施要領も全社のリスク対応の場合と変わらない。特定部門のリスク管理責任は特定部門長にあるので、必要な予算化や対策の進捗管理責任がある。対応策の実施を他部門に委託したとしても、対応責任は特定部門長にあるので、リスク管理者として担当部門長をリード願いたい。
逆に、特定部門長以外の部門長は、他部門のリスクであってもその影響は会社に及ぶのでリスク対応に協力する義務があると考えてほしい。

4.実施状況のモニタリングとレビュー

モニタリングとレビューの実施要領も全社のリスク管理の要領と変わらない。特定部門長は、定期の特定リスク管理会議の開催に先立って対応策の進捗状況を確認し、確認結果を特定リスク管理一覧表に記載する。対応策を実施していく中で、有効性に疑問が生じた対策や必要コストの増加などが認識される場合がある。その場合は関係者で協議を行い変更することを可能としている。その場合は、特定リスク管理会議にてメンバーと情報共有するとともに変更の承認を得ることで修正を図る機能が期待される。ただし、上位の会議のリスク管理項目となっている場合は、上位の会議にて承認されなければならない。
当然だが、対応策が完了するまでは徹底してフォローしなければならない。フォローを徹底することがリスク管理の要点の一つである。

5.リスク見直し

リスクは変化するので、いったん決定したリスクは定期的に見直すのがリスク管理の原則である。全社のリスク見直しと同じタイミングで見直すのが良い。ただ、全社リスクでもそうであるが、毎年相当のエネルギーをかけて見直すのではなく、メリハリをつけて、例えば、通年は、対策の完了、法律や発生したトラブル事案のみを見直し、何年に1回は全項目を見直すなどでもよいと考える。
大切なことは、リスクが管理された状態の下で会社業務を運営することである。
 
Ⅷ.管理の検証

リスク評価や対応といった一連のリスク管理プログラムは、一度実施したら終了ではない。何度も言われている通り、リスクは変化することに加え、リスク管理の有効性は人の行動、組織の行動と密接に関係している。人や組織は間違いを起こすものであるし、時間の経過とともに管理の質が低下する傾向になりがちなのは万人の感じるところである。そうなっていないと感じていても、自分たちが行った管理が有効に機能していることを常に確認する責任はある。
確認する方法として一般的な手法が評価指標による定量的な検証である。指標による検証は、リスク管理に関わらず、経営計画の評価や業務の各市活動の評価など、多くの場面で活用されているはずで、それらと同じである。
指標は、1.目的が達成されたことが確認できる達成結果の指標(結果指標)と 2.目的を達成するために必要なプロセスが適切に行われていることを検証する指標(プロセス指標)で構成する。前者は、最終的にリスクが軽減されたかどうかを直接判断できる。後者は、全社の結果が出るまでに時間を要するなど、なかなか有効性評価が結論できない場合においても、少なくとも管理がしっかりやられていることを示すことができる。
指標の例を本文中に記載しておいた。もちろん、そのまま使ってもらう想定ではあるが、自分たちで使いやすいように追加、変更することは問題ない。
どのような形であれ、リスク管理を形骸化させないためには、実施状況のモニタリング(Ⅶ 3項)と本項目を徹底することが重要である。

なお、内部統制の視点では、管理システムそのものの検証が必要となり、一般に内部監査、外部監査、監査役監査をもってリスク管理システムの検証がなされるとされる。これらは内部統制あるいは監査のシステムの中で規定されるのでここでは触れていない。あくまで自分たちが行うセルフアセスメントの位置づけとしている。

Ⅸ.文書の改訂・廃止
 
一般的なシステム変更の手順ではあるが、文書の“てにおは”などの修正変更はリスク管理会議に諮問する必要はなく、リスク管理責任者が自分の判断で行い管理会議で改訂報告すればよい。審議を要するのは、あくまで管理システムの変更に関わる改訂である。

改訂廃止の事務処理要領は各社の文書管理の規程(諸規程類管理規程等)に従ってもらって構わない。
 
Ⅹ.文書の保管

改訂後の文書の保管期限は5年としたが、これも各社の文書管理の規程に従ってもらえば良い。ただし、リスク評価結果は、リスクの性質を考えて少なくとも10年は保管することを薦める。トラブルがあった場合に、過去のリスク評価を確認することは再発防止に必須だからである。

(今回は以上です。次回は第1章第2項のリスク評価マニュアル(例)の解説を提供します。)

この記事が気に入ったらサポートをしてみませんか?