リスクの特定と予防

　「内部統制評価基準 勝ち抜く会社の800のポイント」は特に「業務の有効性と効率性」を基軸にした「内部統制」の有効性を診断する評価基準です。この評価基準を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、具体的に仕組みに落とし込んでいく方法をとっています。

　内部統制評価基準の８つのカテゴリーの３つ目は
４．経営管理の実践、改善
です。

　経営管理の重要な要素である「リスク管理」について、確認します。

４．（１０）リスクの特定と予防
　会社において想定されるリスクの種類は特定され、リスクの発生を予防するための方策は講じられていますか。

　企業や組織をとりまくリスクは多種多様で、その全てに対策を立てることは事実上不可能です。リスクを把握することは大切ですが、その対策については、コストや効果、起こる可能性など様々なことを考慮した上で、合理的な範囲で実施します。

　基本的な手順としては、
１）考え得る全てのリスクを洗い出す
２）一つひとつのリスクを評価・分析する
３）その結果によって優先順位を付ける
４）対策を講じるものを選定する
５）選定したリスクに対して、最適な方法を決める

リスクの洗い出し
　過去、何らかの損害を蒙ったものはもちろんですが、それだけではありません。調査やアンケート、ブレーンストーミングなど様々な手段で、隠れたリスクも拾い出すことが大切です。
　例えば、火事があった場合、その背後には、燃えやすい物があった、火の取り扱いが不注意だった、消化装置が足りなかったなど、様々な要因があるはずで、これら全てを把握し、必要に応じて対処をしなくてはなりません。

優先順位づけ
　リスクに優先順位を付けるときには、それが起こる確率と、万一そうなった場合に想定される損害の２つの面から分析するのが一般的です。
　起こる確率は低く、もし起こってもさほど損害がない場合には、優先順位は低くなり、場合によっては何もしないという選択肢もあります。

リスク対策　
　リスク対策には様々なタイプのものがあります。
　例えば、倉庫での火災のリスクであれば、
・燃えやすいものを置かない、
・火の気を絶つ
などして、起こる確率を低くすることが考えられます。
・スプリンクラーを付ける
ことで、万一起こったとしても、早く消し止めることができようにします。
また、そもそも、
・自社で倉庫を持たない
ということで、リスクそのものをなくすことも考えられます。

　リスク管理におけるポイントとしては
・リストアップ（マッピング）されたリスクに対するリスク対応手続きを明確にする
・組織が直面しているリスクにどのようなものがあるかを想定し、それに遵ってリスクの特定を行う
・特定されたリスクはリストアップ（マッピング）され、発生する確率や頻度、リスクの発生による影響の範囲や大小が明瞭に整理されている
・特定されたリスクは、定められた方法によりそのリスクが許容できる範囲にまで軽減されていることを、確認する
・リスクの発生防止や対応に関して、相談する外部の専門家とのネットワークを構築する
・リスクの発生防止や対応のための方策は、継続的にその有効性を検討し、必要に応じて見直しを行う

　こうした取り組みは一時的ではなく、組織が直面するリスクの新たな発生や変化を継続的に観察し、発生の予防や対応方法の見直しを行うことは重要です。

★★

　内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

　ボルドリッジ（ボルドリッジ・エクセレンス・フレームワーク）は、米国発の「証明された」経営フレームワークです。
　ボルドリッジ・エクセレンス・フレームワークの要約版、「ボルドリッジ・エクセレンス・ビルダー【日本語版】」は、米国NISTのウェブサイトからダウンロードできます。ページ下方の Non-English Versions / Japanese を参照ください。

Baldrige Excellence Builder