【事例付き】企業が実施するリスクマネジメントとは? 定義や考え方を解説
近年、企業が抱えるリスクが多様化し、積極的なリスクマネジメントの実施が求められています。サイバー攻撃やSNSでの炎上、社内のハラスメント、業務委託先の業務停止といった新たなリスクが増え、リスク発生時の損失や影響も社会を巻き込む大きなものになりました。
しかし2015年に実施された中小企業庁の委託調査では、中小企業の40.4%、大企業でも14.6%の企業がリスクマネジメントの担当部署を設けておらず、リスクマネジメントが不十分である可能性が示されています。
本記事では、世界標準規格のISO31000をベースに、リスクマネジメントの基礎を解説します。後半では事例も掲載し、理論と実践の両面からお伝えします。
リスクマネジメントとは?
リスクマネジメントとは、さまざまリスクが発生した際の損失を最小限に抑えるための対応を考え、リスクを運用・管理するプロセスです。経営者が主導し、ステークホルダーとコミュニケーションを取りながら、目的の達成に向け、組織的、体系的に行います。
ここでのリスクとは、「目的に対する不確かさの影響」を意味します。リスクは「危険」などネガティブなイメージがありますが、このリスクには思わぬ株価の上昇といった良い影響も含む点がポイントです。
リスクマネジメントを行うことで、企業はリスク発生時にも損失を最小限に抑えることができます。その結果、企業は事業目的を達成しやすくなり、企業価値を高めながら存続することができるのです。
リスクアセスメント、クライシスマネジメント、リスクヘッジとの違い
リスクマネジメントと似た言葉には、以下のものがあります。
🟨リスクアセスメントとの意味の違い
リスクを特定、分析、評価するプロセスや手法のことです。リスクマネジメントの一部に位置付けられます。
🟧リスクヘッジとの意味の違い
リスクヘッジとは、相反する損益を相殺させて、トータルのリスクを限定することで、単に「ヘッジ」とも言われます。元々は金融取引において使われていた言葉で、英語のヘッジ(hedge)には「防止策」という意味があります。リスクヘッジは個々の取引や事象、事業に使われやすい一方、リスクマネジメントは組織全体を俯瞰し、複数のリスクを扱い、リスク間の調整も行います。
🟥クライシスマネジメントとの意味の違い
危機は必ず発生する、という前提の下、危機発生後の対処法を予め検討したり、状況管理を行ったりすることです。日本語では危機管理とも呼ばれます。クライシスマネジメントは、災害など比較的規模の大きな危機や情報漏洩などの社会的な影響の大きな事故を対象とし、発生前の備え(予防・訓練)から、発生時の対応、復旧までの一連のプロセスを含みます。
リスクマネジメントの目的と役割
リスクマネジメントの目的は主に二つあります。
1. 問題が発生しても企業の事業を存続するため
リスクマネジメントでは、企業として持続的発展を続けていくために障壁となるリスクを把握し、対策を講じます。その一つの枠組みがBCP(事業継続計画)です。BCPとは、自然災害やテロ、感染症の蔓延等が発生した際に、損失を最小限にして迅速に事業を復旧させ、事業を継続させていくための計画書です。
有事の際であってもヒト・モノ・カネ・情報・技術等のリソースを大きく失わずに済めば、事業を存続させやすくなります。簡単に事業が停止しない体制があることは、従業員や取引先などのステークホルダーにも安心感を与え、企業としての信頼確保にもつながります。
2. 企業が投資家からの高い評価を得るため
自社のリスクマネジメント体制を公開することは、投資家へのアピールにもなります。特に上場企業の場合、有価証券報告書の必須項目に「事業等のリスク」があります。そのため、リスク対策も一緒に報告することで、予測されるリスクに備えている姿勢を見せることができます。
また、ESG(環境・社会・ガバナンス)の観点から、リスクマネジメント体制を公開するケースもあります。こうした情報は、企業ホームページのIR情報で確認ができます。
リスクの種類
企業が抱えるリスクは、大きく「純粋リスク」と「投機的リスク」の二つに分けられます。
純粋リスクは損失のみを発生させるリスクです。一方、投機的リスクは、損失と好ましい影響の両方の不確実性を含みます。損失よりも好ましい影響が大きいと判断した場合は、積極的にリスクを取ることも検討されます。
4. リスクマネジメントの原則(ISO31000)
リスクマネジメントを効果的に行うための原則は八つあり、リスクマネジメントの意義である「価値の創造と保護」を中央に置く、以下の図で表されています。
(1)統合
リスクマネジメントの取り組みは組織の活動や経営方針に組み込まれていること。
(2)体系化と包括
リスクマネジメントを体系化し、包括的に取り組むこと
(3)組織への適合
組織風土や組織内外の状況に合わせた方針・施策を立てること。また、組織の目的に関連させること。
(4)包含
適切なステークホルダーを巻き込むこと。
(5)動的
組織内外の状況や、リスク自体の変化に応じてリスクマネジメントも継続的に修正すること。
(6)利用可能な最善の情報
確かな最新情報を得て、ステークホルダーにも共有すること。
(7)人的要因および文化的要因
人間の行動と文化がリスクマネジメントに影響を与えること。
(8)継続的改善
リスクマネジメントは経験や学習を通じて、継続的に改善されること。
5. リスクマネジメントの枠組み(ISO31000)
リスクマネジメントを実施する際は、経営者のリーダーシップとコミットメントが必須です。経営者のリーダーシップを中核とし、統合とPDCAの各要素によってリスクマネジメントの枠組みが構成されます。各構成要素について順に解説します。
(1)リーダーシップおよびコミットメント
リスクマネジメントに取り組む際は、経営層が方針を示して音頭を取り、組織全体で徹底することが不可欠です。そして、組織内外の状況を考慮し、経営層が自らリソースの配分や複数のリスク間での調整を行います。
(2) 統合
リスクマネジメントは本来の業務を行う際の仕組みとして組み込まれます。そのため、リスクマネジメントは、組織活動の目的や経営戦略などと対応していることが重要です。
(3)設計
リスクマネジメントを行うにあたって、次の手順で環境を整えます。まず、組織内外の状況や組織の目的を理解します。その上で、経営層が主導してリスクマネジメントに関連する役割や権限を割り振り、資源の配分を行います。リスクマネジメントの専門部署を立ち上げたり、兼務部署を決めたりすることもあります。最後に、リスクマネジメントにおける意思決定や情報共有、関係者からのフィードバックを得られる体制を確立します。具体的には、月例会議の実施などが挙げられます。
(4)実施
設計した仕組みを現場で実行します。経営者が組織の目標達成との整合性を明示し、意思決定のプロセスを含めて組織全体に体系化されていることが重要です。また実施にあたり、全員が当事者意識を持って実行できるよう、必要な研修やマニュアルの整備なども行います。
(5)評価
リスクマネジメントが実際に機能しているかを評価します。評価の項目例は以下の通りです。
✅ リスクマネジメントの意義や実施計画、各指標から見たパフォーマンスの程度
✅ リスクマネジメントの枠組みが組織の目標達成の助けになったか
✅ 投入したリソースと成果のバランスは妥当だったか
(6)改善
リスクマネジメントでは継続的な改善が欠かせません。外部環境の変化や、評価フェーズで見出された課題を踏まえて、枠組みや施策の変更・改善を行ないます。改善を継続することで、組織風土としてリスクマネジメントの考え方を定着させられます。
リスクマネジメントのプロセス(ISO31000)
リスクマネジメントの各プロセスでは、経営層が現場や関係者とのコミュニケーションを取ることと、施策のモニタリングを行うことが最も重要です。
リスクマネジメントは全社単位でも行われますが、ISO31000の考え方は部署単位、プロジェクト単位でも応用できます。以下では、リスクマネジメント実施に向けたプロセスを一つずつ解説します。
(1)コミュニケーションおよび協議
ステークホルダーとの対話を通じて、リスクの理解と当事者意識の醸成を促すとともに、現場や専門家からの助言や組織内外に関する最新情報の収集を行います。状況は日々変化するため、リスクマネジメントの各プロセスでコミュニケーションを取り続けることが必要です。
(2)適用範囲、状況および基準
リスクマネジメントの対象範囲を決定し、評価基準を設定します。企業には多くのリスクが存在するため、内部状況を踏まえて、取り扱うリスクの範囲を決める必要があります。リスクの範囲と評価基準を明確にすることで、その後のプロセスを効果的に進められます。
(3)リスクアセスメント
リスクを特定し、分析し、評価を行うプロセスのことです。リスクアセスメントも状況の変化に応じて、繰り返し行います。それぞれのポイントは以下の通りです。
◾️リスク特定:組織の目的達成に影響を与えるリスクを見出します。この時、実際に対応ができるかどうかは考えず、組織として分析・評価をし、対策を取る必要がありそうなものを列挙します。なお、リスクは目標達成の妨げになるものと追い風になるものの両方を漏れなく検討します。
◾️リスク分析:リスクの特徴や性質を理解し、リスクマネジメントの方法を考える根拠となります。リスク源や発生のしやすさ、発生時のシナリオ、目的への影響度、リスク同士の関連性などについて、定量・定性両面で可能な限り情報を集め、検討します。
◾️リスク評価:リスク評価は発生頻度と目的への影響度の2軸で行われます。さらに次のリスク対応フェーズで、リスクへの影響が好ましいかどうかや、想定される対応の費用対効果などを総合的に検討します。
一般的には、リスクの発生頻度も影響度も大きな時は、リスクの回避に努めます。発生頻度も影響度も低い場合は、対策をせずモニタリングに止めることもあるでしょう。それ以外の場合には、発生頻度や影響度を下げる方法や、リスクの分散、損失の補填方法などを検討します。
(4)リスク対応
従来のリスク対応は、リスクの回避、低減、移転、受容の四つでした。しかしISO31000ではリスクに好ましい影響も含めていることから、「リスクを取る、増大する」という考え方を導入し、以下の七つにまとめています。
この他、リスクの発生率や影響力を変えるリスクコントロールと、保険加入といった金銭的な補填に焦点を当てたリスクファイナンシングに分ける考え方もあります。
(5)モニタリングとレビュー
変動するリスクに対応し、リスクマネジメントを継続的に改善するためにも、モニタリングと定期的なレビューは重要なプロセスです。パフォーマンスだけでなく組織内外に関する情報収集や分析、結果の記録を実施し、リスクマネジメントの質と効果を検証します。その結果、施策や枠組みの修正、改善、継続を決定します。
(6)記録作成および報告
リスクマネジメントの取組みを文書化し、経営層や組織全体に報告します。文書として結果や対応計画を残すことで、知識・情報の蓄積だけでなく、その後の改善、検証にも役立ちます。また、報告活動はステークホルダー同士のコミュニケーション促進にもつながります。
経営がリスクマネジメントに取り組む企業の事例
以下では3社におけるリスクマネジメントの事例をご紹介します。
🖋️ Case.1 大成ファインケミカル
ー 株式会社現場参加型のリスクマネジメントで企業価値向上と他社との連携強化に成功 ー
◾️概要
大成ファインケミカル株式会社では、コスト削減や保有資金の増額に成功しています。2010年に1度BCPの策定やマニュアル作成を行いましたが、現場の実情に合わず機能しませんでした。唯一実施した耐震ラック設置の4日後に東日本大震災が発生。耐震ラックは効果を発揮したものの、1カ月の操業停止で一部取引先を失いました。
こうした経験を踏まえ、専門の外部コンサルタントの指導のもと、監督者や現場社員も参加しBCPを再策定。耐震構造の管理棟建設や大型自家発電機の設置、現預金保有額の基準値改定など日々の業務にリスクマネジメントの施策を組み込むことに成功しています。
一連の取り組みの結果として、外部データセンター活用によるコスト削減や、保険料へのプラスの効果が生まれたほか、異業種他社と有事の際の相互支援協定を取り交わすなど社外連携も広がっています。同社社長は「リスクマネジメントの取組を進めるには、トップが強い意識を持つことが重要」と秘訣を語っています。
📕参考:https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_2_3.html
🖋️ Case.2 富士通株式会社
ー 経営が強いリーダーシップを発揮しリスクマネジメントに取り組む事例 ー
◾️概要
富士通株式会社では、業務執行取締役などで構成される「リスク・コンプライアンス委員会」を取締役会の直属組織として設置し、リージョンごとに下部委員会を設けています。
さらにCRMO(Chief Risk Management Officer)を任命し、社長直下の全社リスクマネジメント室(第2線)がリスク・コンプライアンス委員会の事務局機能を担います。毎月委員会を開催して、迅速な情報共有やリスクマネジメントの実効性を高めています。
リスクアセスメントは、潜在リスクマネジメントと顕在化したリスクへの対応を両輪で運用。潜在リスクマネジメントにおいては、16項目の重要リスクを設定し、その中からセキュリティに関するリスクや製品・サービスに関わるリスクを重点対策リスクと選定、有価証券報告書等で公表しています。
現場に対しては階層別研修や全社の防災体制、防災訓練等を行い、現場への意識浸透や有事の際の事業継続力の強化に取り組んでいます。
📕参考:https://global.fujitsu/ja-jp/sustainability/riskmanagement
🖋️ Case.3 コカ・コーラボトラーズジャパン株式会社
ー リスクマネジメントにSDGsやサステナビリティ施策も統合した例 ー
◾️概要
コカ・コーラボトラーズジャパン株式会社では、世界標準の内部統制のフレームワーク「COSO」と、リスクマネジメント国際規格「ISO 31000」を取り入れ、リスク管理と収益成長を両立させる体制を構築。PDCAサイクルを基盤に、リスクを予測・管理しながらビジネスチャンスを最大化する統合的なリスクマネジメント(ERM)を展開しています。
リスクマネジメント責任者の主導の下、取締役会が中期経営計画に連動したリスク戦略を監督し、事業環境の変化に応じてリスク評価を更新。14の重要リスクには気候変動や持続可能性といったSDGsやサステナビリティの要素も組み込まれるなど、経営戦略とリスクマネジメントが統合されています。
📕参考:https://www.ccbji.co.jp/csv/risk/
まとめ
リスクマネジメントでは、さまざまな不確実性の高い影響に対し、経営層がリーダーシップを発揮し、現場を含めたステークホルダーの参加を促しながら進めることが重要です。
一方で、リスクマネジメントを実施する際は、経営からの押し付けではなく現場や管理職に当事者意識を持たせ、全員で取り組む必要があります。
質の良いリスクマネジメントは、現場と経営、社外のネットワークの結びつきを強固にし、企業価値を高めます。特にISO 31000ではステークホルダーとのコミュニケーションと全体性を重視しており、関係者との対話が欠かせません。不確実性の高い時代、1日でも早くリスクマネジメントに取り組むことをお勧めします。
リスクマネジメントとは?
リスクマネジメントとは、さまざまリスクが発生した際の損失を最小限に抑えるための対応を考え、リスクを運用・管理するプロセスです。経営者が主導し、ステークホルダーとコミュニケーションを取りながら、目的の達成に向け、組織的、体系的に行います。
ここでのリスクとは、「目的に対する不確かさの影響」を意味します。リスクは「危険」などネガティブなイメージがありますが、このリスクには思わぬ株価の上昇といった良い影響も含む点がポイントです。
リスクマネジメントを行うことで、企業はリスク発生時にも損失を最小限に抑えることができます。その結果、企業は事業目的を達成しやすくなり、企業価値を高めながら存続することができるのです。
リスクアセスメント、クライシスマネジメント、リスクヘッジとの違い
リスクマネジメントと似た言葉には、以下のものがあります。
🟨リスクアセスメントとの意味の違い
リスクを特定、分析、評価するプロセスや手法のことです。リスクマネジメントの一部に位置付けられます。
🟧リスクヘッジとの意味の違い
リスクヘッジとは、相反する損益を相殺させて、トータルのリスクを限定することで、単に「ヘッジ」とも言われます。元々は金融取引において使われていた言葉で、英語のヘッジ(hedge)には「防止策」という意味があります。リスクヘッジは個々の取引や事象、事業に使われやすい一方、リスクマネジメントは組織全体を俯瞰し、複数のリスクを扱い、リスク間の調整も行います。
🟥クライシスマネジメントとの意味の違い
危機は必ず発生する、という前提の下、危機発生後の対処法を予め検討したり、状況管理を行ったりすることです。日本語では危機管理とも呼ばれます。クライシスマネジメントは、災害など比較的規模の大きな危機や情報漏洩などの社会的な影響の大きな事故を対象とし、発生前の備え(予防・訓練)から、発生時の対応、復旧までの一連のプロセスを含みます。
リスクマネジメントの目的と役割
リスクマネジメントの目的は主に二つあります。
1. 問題が発生しても企業の事業を存続するため
リスクマネジメントでは、企業として持続的発展を続けていくために障壁となるリスクを把握し、対策を講じます。その一つの枠組みがBCP(事業継続計画)です。BCPとは、自然災害やテロ、感染症の蔓延等が発生した際に、損失を最小限にして迅速に事業を復旧させ、事業を継続させていくための計画書です。
有事の際であってもヒト・モノ・カネ・情報・技術等のリソースを大きく失わずに済めば、事業を存続させやすくなります。簡単に事業が停止しない体制があることは、従業員や取引先などのステークホルダーにも安心感を与え、企業としての信頼確保にもつながります。
2. 企業が投資家からの高い評価を得るため
自社のリスクマネジメント体制を公開することは、投資家へのアピールにもなります。特に上場企業の場合、有価証券報告書の必須項目に「事業等のリスク」があります。そのため、リスク対策も一緒に報告することで、予測されるリスクに備えている姿勢を見せることができます。
また、ESG(環境・社会・ガバナンス)の観点から、リスクマネジメント体制を公開するケースもあります。こうした情報は、企業ホームページのIR情報で確認ができます。
リスクの種類
企業が抱えるリスクは、大きく「純粋リスク」と「投機的リスク」の二つに分けられます。
純粋リスクは損失のみを発生させるリスクです。一方、投機的リスクは、損失と好ましい影響の両方の不確実性を含みます。損失よりも好ましい影響が大きいと判断した場合は、積極的にリスクを取ることも検討されます。
4. リスクマネジメントの原則(ISO31000)
リスクマネジメントを効果的に行うための原則は八つあり、リスクマネジメントの意義である「価値の創造と保護」を中央に置く、以下の図で表されています。
(1)統合
リスクマネジメントの取り組みは組織の活動や経営方針に組み込まれていること。
(2)体系化と包括
リスクマネジメントを体系化し、包括的に取り組むこと
(3)組織への適合
組織風土や組織内外の状況に合わせた方針・施策を立てること。また、組織の目的に関連させること。
(4)包含
適切なステークホルダーを巻き込むこと。
(5)動的
組織内外の状況や、リスク自体の変化に応じてリスクマネジメントも継続的に修正すること。
(6)利用可能な最善の情報
確かな最新情報を得て、ステークホルダーにも共有すること。
(7)人的要因および文化的要因
人間の行動と文化がリスクマネジメントに影響を与えること。
(8)継続的改善
リスクマネジメントは経験や学習を通じて、継続的に改善されること。
5. リスクマネジメントの枠組み(ISO31000)
リスクマネジメントを実施する際は、経営者のリーダーシップとコミットメントが必須です。経営者のリーダーシップを中核とし、統合とPDCAの各要素によってリスクマネジメントの枠組みが構成されます。各構成要素について順に解説します。
(1)リーダーシップおよびコミットメント
リスクマネジメントに取り組む際は、経営層が方針を示して音頭を取り、組織全体で徹底することが不可欠です。そして、組織内外の状況を考慮し、経営層が自らリソースの配分や複数のリスク間での調整を行います。
(2) 統合
リスクマネジメントは本来の業務を行う際の仕組みとして組み込まれます。そのため、リスクマネジメントは、組織活動の目的や経営戦略などと対応していることが重要です。
(3)設計
リスクマネジメントを行うにあたって、次の手順で環境を整えます。まず、組織内外の状況や組織の目的を理解します。その上で、経営層が主導してリスクマネジメントに関連する役割や権限を割り振り、資源の配分を行います。リスクマネジメントの専門部署を立ち上げたり、兼務部署を決めたりすることもあります。最後に、リスクマネジメントにおける意思決定や情報共有、関係者からのフィードバックを得られる体制を確立します。具体的には、月例会議の実施などが挙げられます。
(4)実施
設計した仕組みを現場で実行します。経営者が組織の目標達成との整合性を明示し、意思決定のプロセスを含めて組織全体に体系化されていることが重要です。また実施にあたり、全員が当事者意識を持って実行できるよう、必要な研修やマニュアルの整備なども行います。
(5)評価
リスクマネジメントが実際に機能しているかを評価します。評価の項目例は以下の通りです。
✅ リスクマネジメントの意義や実施計画、各指標から見たパフォーマンスの程度
✅ リスクマネジメントの枠組みが組織の目標達成の助けになったか
✅ 投入したリソースと成果のバランスは妥当だったか
(6)改善
リスクマネジメントでは継続的な改善が欠かせません。外部環境の変化や、評価フェーズで見出された課題を踏まえて、枠組みや施策の変更・改善を行ないます。改善を継続することで、組織風土としてリスクマネジメントの考え方を定着させられます。
リスクマネジメントのプロセス(ISO31000)
リスクマネジメントの各プロセスでは、経営層が現場や関係者とのコミュニケーションを取ることと、施策のモニタリングを行うことが最も重要です。
リスクマネジメントは全社単位でも行われますが、ISO31000の考え方は部署単位、プロジェクト単位でも応用できます。以下では、リスクマネジメント実施に向けたプロセスを一つずつ解説します。
(1)コミュニケーションおよび協議
ステークホルダーとの対話を通じて、リスクの理解と当事者意識の醸成を促すとともに、現場や専門家からの助言や組織内外に関する最新情報の収集を行います。状況は日々変化するため、リスクマネジメントの各プロセスでコミュニケーションを取り続けることが必要です。
(2)適用範囲、状況および基準
リスクマネジメントの対象範囲を決定し、評価基準を設定します。企業には多くのリスクが存在するため、内部状況を踏まえて、取り扱うリスクの範囲を決める必要があります。リスクの範囲と評価基準を明確にすることで、その後のプロセスを効果的に進められます。
(3)リスクアセスメント
リスクを特定し、分析し、評価を行うプロセスのことです。リスクアセスメントも状況の変化に応じて、繰り返し行います。それぞれのポイントは以下の通りです。
◾️リスク特定:組織の目的達成に影響を与えるリスクを見出します。この時、実際に対応ができるかどうかは考えず、組織として分析・評価をし、対策を取る必要がありそうなものを列挙します。なお、リスクは目標達成の妨げになるものと追い風になるものの両方を漏れなく検討します。
◾️リスク分析:リスクの特徴や性質を理解し、リスクマネジメントの方法を考える根拠となります。リスク源や発生のしやすさ、発生時のシナリオ、目的への影響度、リスク同士の関連性などについて、定量・定性両面で可能な限り情報を集め、検討します。
◾️リスク評価:リスク評価は発生頻度と目的への影響度の2軸で行われます。さらに次のリスク対応フェーズで、リスクへの影響が好ましいかどうかや、想定される対応の費用対効果などを総合的に検討します。
一般的には、リスクの発生頻度も影響度も大きな時は、リスクの回避に努めます。発生頻度も影響度も低い場合は、対策をせずモニタリングに止めることもあるでしょう。それ以外の場合には、発生頻度や影響度を下げる方法や、リスクの分散、損失の補填方法などを検討します。
(4)リスク対応
従来のリスク対応は、リスクの回避、低減、移転、受容の四つでした。しかしISO31000ではリスクに好ましい影響も含めていることから、「リスクを取る、増大する」という考え方を導入し、以下の七つにまとめています。
この他、リスクの発生率や影響力を変えるリスクコントロールと、保険加入といった金銭的な補填に焦点を当てたリスクファイナンシングに分ける考え方もあります。
(5)モニタリングとレビュー
変動するリスクに対応し、リスクマネジメントを継続的に改善するためにも、モニタリングと定期的なレビューは重要なプロセスです。パフォーマンスだけでなく組織内外に関する情報収集や分析、結果の記録を実施し、リスクマネジメントの質と効果を検証します。その結果、施策や枠組みの修正、改善、継続を決定します。
(6)記録作成および報告
リスクマネジメントの取組みを文書化し、経営層や組織全体に報告します。文書として結果や対応計画を残すことで、知識・情報の蓄積だけでなく、その後の改善、検証にも役立ちます。また、報告活動はステークホルダー同士のコミュニケーション促進にもつながります。
経営がリスクマネジメントに取り組む企業の事例
以下では3社におけるリスクマネジメントの事例をご紹介します。
🖋️ Case.1 大成ファインケミカル
ー 株式会社現場参加型のリスクマネジメントで企業価値向上と他社との連携強化に成功 ー
◾️概要
大成ファインケミカル株式会社では、コスト削減や保有資金の増額に成功しています。2010年に1度BCPの策定やマニュアル作成を行いましたが、現場の実情に合わず機能しませんでした。唯一実施した耐震ラック設置の4日後に東日本大震災が発生。耐震ラックは効果を発揮したものの、1カ月の操業停止で一部取引先を失いました。
こうした経験を踏まえ、専門の外部コンサルタントの指導のもと、監督者や現場社員も参加しBCPを再策定。耐震構造の管理棟建設や大型自家発電機の設置、現預金保有額の基準値改定など日々の業務にリスクマネジメントの施策を組み込むことに成功しています。
一連の取り組みの結果として、外部データセンター活用によるコスト削減や、保険料へのプラスの効果が生まれたほか、異業種他社と有事の際の相互支援協定を取り交わすなど社外連携も広がっています。同社社長は「リスクマネジメントの取組を進めるには、トップが強い意識を持つことが重要」と秘訣を語っています。
📕参考:https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_2_3.html
🖋️ Case.2 富士通株式会社
ー 経営が強いリーダーシップを発揮しリスクマネジメントに取り組む事例 ー
◾️概要
富士通株式会社では、業務執行取締役などで構成される「リスク・コンプライアンス委員会」を取締役会の直属組織として設置し、リージョンごとに下部委員会を設けています。
さらにCRMO(Chief Risk Management Officer)を任命し、社長直下の全社リスクマネジメント室(第2線)がリスク・コンプライアンス委員会の事務局機能を担います。毎月委員会を開催して、迅速な情報共有やリスクマネジメントの実効性を高めています。
リスクアセスメントは、潜在リスクマネジメントと顕在化したリスクへの対応を両輪で運用。潜在リスクマネジメントにおいては、16項目の重要リスクを設定し、その中からセキュリティに関するリスクや製品・サービスに関わるリスクを重点対策リスクと選定、有価証券報告書等で公表しています。
現場に対しては階層別研修や全社の防災体制、防災訓練等を行い、現場への意識浸透や有事の際の事業継続力の強化に取り組んでいます。
📕参考:https://global.fujitsu/ja-jp/sustainability/riskmanagement
🖋️ Case.3 コカ・コーラボトラーズジャパン株式会社
ー リスクマネジメントにSDGsやサステナビリティ施策も統合した例 ー
◾️概要
コカ・コーラボトラーズジャパン株式会社では、世界標準の内部統制のフレームワーク「COSO」と、リスクマネジメント国際規格「ISO 31000」を取り入れ、リスク管理と収益成長を両立させる体制を構築。PDCAサイクルを基盤に、リスクを予測・管理しながらビジネスチャンスを最大化する統合的なリスクマネジメント(ERM)を展開しています。
リスクマネジメント責任者の主導の下、取締役会が中期経営計画に連動したリスク戦略を監督し、事業環境の変化に応じてリスク評価を更新。14の重要リスクには気候変動や持続可能性といったSDGsやサステナビリティの要素も組み込まれるなど、経営戦略とリスクマネジメントが統合されています。
📕参考:https://www.ccbji.co.jp/csv/risk/
まとめ
リスクマネジメントでは、さまざまな不確実性の高い影響に対し、経営層がリーダーシップを発揮し、現場を含めたステークホルダーの参加を促しながら進めることが重要です。
一方で、リスクマネジメントを実施する際は、経営からの押し付けではなく現場や管理職に当事者意識を持たせ、全員で取り組む必要があります。
質の良いリスクマネジメントは、現場と経営、社外のネットワークの結びつきを強固にし、企業価値を高めます。特にISO 31000ではステークホルダーとのコミュニケーションと全体性を重視しており、関係者との対話が欠かせません。不確実性の高い時代、1日でも早くリスクマネジメントに取り組むことをお勧めします。
