一般的に、リスクマネジメントとは「損失を未然に回避または最低限に抑えるための対策プロセス全般」を指す意味で使われています。

経営や事業活動において将来的に考えられるリスクを管理し、企業としての体制を示すことが大切です。 企業存続のためにも、リスクマネジメントは規模にかかわらず、すべての企業や組織で取り入れるべき考え方とされます。

しかし、具体的にどのようなプロセスを踏めばよいのか分からないという方も少なくないでしょう。

本記事では、リスクマネジメントの概要やプロセス、企業リスクの具体例、大企業の事例などを解説していきます。

目次
リスクマネジメントとは
リスクマネジメントと混同しやすい単語
企業リスクの具体例
リスクマネジメントの基本的な考え方
リスクマネジメントのプロセス
実際の企業のリスクマネジメントに対する考え方
リスクマネジメントを行うなら「公認内部監査人（CIA）」も検討しよう

企業活動におけるリスクマネジメントは、経営を行う上で起こり得る様々なリスクを予測・管理し、危機発生を回避しつつ損失を最小化するための経営管理手法です。

近年では、業務のアウトソーシング化、研究開発部門のオープンイノベーションへの取り組みが進んでいます。 そのため緊急事態の発生時、万が一取引先や外注先が業務停止となった場合、各企業への連鎖的影響の拡大が懸念され始めました。

また、従業員の法令違反により、会社の存続が揺るがされるような品質問題の発生など、新たなリスクも表面化してきている状態です。 企業価値を維持し増大していくためにも、リスク管理の重要性は年を追うごとに高まっています。

企業は、積極的にリスクマネジメントへの取り組みが求められている状況となっています。

リスクマネジメントを進めていくにあたって「リスクアセスメント」「リスクヘッジ」「クライシスマネジメント」といった混同しやすい単語が存在します。

ここでは各単語の意味について解説します。リスクマネジメントとの違いを把握しておきましょう。

リスクアセスメントは、職場における危険性や有害性を調査し、リスク特定・リスク分析・リスク評価を行う一連のプロセスです。 経営者はリスクアセスメントの結果に基づき、適切なリスク低減措置の対策に努める必要があります。

なお、ステークホルダーとの対話を深め知見を活かし、体系的・理論的・計画的に行っていくことが大切です。 全社的にリスクアセスメントに取り組み、職場におけるリスクとその対策を従業員に周知し、事前に危険を可能な限り排除することは、健全な職場環境の実現に役立ちます。

参考：厚生労働省「廃棄物処理業におけるリスクアセスメントマニュアル」

リスクヘッジは予測可能な危険に対し、リスクを回避できるような対策・工夫を行うことで、リスクには「予想通りの結果が得られない可能性」という意味も含まれています。

不測の事態や回避することが難しい危機的状態に陥る場面も予測し、可能な限り影響を最小限に抑える対策や工夫もリスクヘッジです。

クライシスマネジメントは、既存のマニュアルでは対応ができないような想定外の重大な事故に対し、リスク低減のために行っておく対策法です。 たとえば自然災害やパンデミック、テロなどが日常を脅かすレベルの重大な事故として挙げられます。

クライシスマネジメントの前提として、重大な危機について対策を行います。 人だけでなく機械や設備等が機能不全に陥った場合の対応、二次災害の回避を行うのが目的です。

企業が事業活動を進めていくにあたって、様々なリスクが付随してきます。 ここでは、企業の活動に伴うリスクの具体例について紹介していきます。

事業機会・事業活動の遂行に関連するリスクをそれぞれ確認しておきましょう。

事業機会に関連するリスクとは、ビジネスチャンスを得る準備段階となる、経営戦略の立案・意思決定にまつわるリスクのことです。

商品開発戦略においては、新しい商品・サービスの開発成否の他、国内だけでなく海外も含めて知的財産権を侵害するリスクが伴います。 万が一、他社の知的財産権を侵害してしまうと損害賠償請求や差止請求の他、刑事告訴に至る可能性も考えられます。

故意ではなく不知が原因としても差止め、刑事責任が科せられるため、企業にとって致命的なリスクになりかねません。

また開発後は、消費者の価値観や行動の変容リスクも伴います。 資金調達戦略においても、金融機関から借入が受けられないリスクや、金利上昇に伴い調達コストが増加するリスクが発生しやすいです。

事業活動の遂行に関連するリスクとは、企業が利益を出すための、適切かつ効率的な事業活動の遂行にまつわるリスクです。

たとえば情報システムにおいて考えられるリスクは、情報の漏えいです。 セキュリティが甘いと、企業の機密情報や顧客に関する重要な情報が漏えいする恐れがあります。さらに予測できるのは、第三者のハッキングによる不正アクセスやマルウェア感染といったリスクの発生です。

また、自然災害発生を起因とするデジタル機器の破損やネットワークの障害、情報システムの停止、遅延、データの欠損・消失など重大な事故が発生する可能性も考えられます。 コンプライアンス面においては、法令の改正による既存ビジネスの変革によって収益源がなくなるリスクも潜在しています。

万が一、コンプライアンス違反を行ってしまった場合、法的に倒産へ追い込まれる事態にもなりかねません。 従業員が不正を働いた場合も企業のイメージが悪化し、顧客離れによって事業存続が危うくなる場合もあります。

企業は様々なリスクを想定し、リスクマネジメントに取り組むことが大切です。

ここではCOSO-ERMを基にリスクマネジメントのプロセスを見ていきましょう。

COSO-ERMではリスク対応を下記の5つに分けて提示しています。

• 受容
• 回避
• 活用
• 低減
• 共有

それぞれのリスク対応について具体的に解説していきます。

発生したリスクを受け入れ、追加対策を講じない意思決定です。 規模の小さいリスクを現状のまま受け入れる場合と、ある程度対応し残ったリスクのみを受容する2つのケースがあります。

工場の場合、従業員に小さい部品を盗まれる可能性のような小規模リスクの受容などがあります。 万が一発生してもリスクが小さいため、部品を収納する容器に鍵をつけたり、使用した部品数をカウントしたりといった対策は実施されない傾向にあります。

企業経営において起こり得るリスクを追求し、可能な限り排除するための措置です。例えば、事業における製品ラインの廃止や事業部の売却等の対応策となります。 また、小切手には不正利用のリスクが伴いますが、小切手による支払いを停止すれば回避することが可能です。

ただし、リスクがゼロに近くなるため高い効果が得られるものの、一般的に従来の業務を終了することによる影響は大きいため、対応しづらいという欠点があります。

事業において高いパフォーマンスを得るため、予測できる多くのリスクを受け入れる対策です。 例えば、経営戦略に基づき積極的に企業を成長させたい時、または新商品・サービス開発を行いたい場合などが挙げられます。

ただし、多くの投資資金や開発資源が必要となるため、全社的にしっかりとリスクマネジメントに取り組むことが重要です。

重大なリスク発生の可能性を低減するための措置です。また、リスク発生時の影響を可能な限り小さくする対応策も含まれており「リスク軽減」とも呼ばれています。

目標として定めているリスクプロファイル（組織が現時点で保有しているリスクの種類・量のこと）を確認し、平時に様々な事業上の意思決定を行っていくことが重要です。

えば、地震発生の際に起きる甚大なリスクを想定し、被害を最小限に抑えるため事業所・工場などの設備に耐震補強を行う対策などが該当します。

重要性の高いリスクを軽減させるため、リスクの一部を自社外（第三者）へ移転させたり共有したりする措置です。 相手に利益の分配や対価の支払いを提案し、リスクの一部を他社に分散させる対策になり、「リスクの分散」とも呼ばれています。

例えば、自社外の専門家への外注や保険の加入といった対策を講じるのが一般的です。 また、合併を始め共同出資や施設利用の共有、アウトソーシング・クラウドソーシングの利用なども該当します。

参考：Enterprise Risk Management Integrated Framework (COSO)｜2017

ビジネスを遂行するにあたって発生するリスクは、事業内容や規模、状況により変化するため、予測できるリスクに対応する方法も複数準備しておく必要があります。

企業規模や事業の環境によっても対応策は様々です。そのため、リスクマネジメントにおいては「プロセス」が重要視されています。

一般的に、企業がリスクマネジメントを進めていくために必要なプロセスは以下の通りです。 まずは、リスクマネジメントのプロセスを進めるにあたって、ステークホルダーとの対話や情報共有によるコミュニケーションおよび協議がすべての段階で必要とされている点に注目です。

また図の通り、企業のリスクマネジメントには、モニタリングおよびレビューもすべての段階において必要不可欠と考えられています。

参考：ISO31000:2018 リスクマネジメントー指針｜ニュートン・コンサルティング株式会社

有名企業のリスクマネジメントに対する考え方について解説していきます。それぞれの企業の考え方を比較しつつ参考にしましょう。

化粧品業界で国内シェアNo.1を誇る資生堂では、各ステークホルダーとの信頼関係構築、中長期的な戦略による実現をより確実にすることに主眼を置き、リスクマネジメントを推進しています。

資生堂は、グローバル本社にCLO（Chief Legal Officer）直属のリスクマネジメント部門を設置しています。 さらに各地域にも、RMO（Risk Management Officer）を設置、リスクに関連した情報の集約に徹しています。

外部有識者の知見も加えリスクアセスメントを行い、分析結果で抽出したリスクを以下の3つのカテゴリー別に分けて集約しました。

• 外部変化の起因：生活者・社会に関わるリスク
• 内部活動の起因：事業基盤に関わるリスク
• その他のリスク

また、各リスクにおける相互依存関係の高まり、消費者のニーズ多様化、優秀な人材獲得・維持などが他のリスクに大きな影響を与えると考え、対策しています。

参考：株式会社資生堂「リスクマネジメント」

食品企業であるカゴメ（KAGOME）では、食に関する安全を中心に様々なリスクへの低減活動の取り組みとして、リスクマネジメントを推進しています。

カゴメは全社的なリスクマネジメントの体制を取っており、代表取締役社長を議長とした、総合リスク対策会議を設置しました。 取締役専務執行委員・取締役常勤監査等委員・常務執行役員最高人事責任者が参画し、客観的評価を得るため社外取締役をメンバーに加入させています。

さらに、食品企業として重要視すべき箇所に以下の5つの専門委員会を設置しています。

• コンプライアンス委員会
• 情報セキュリティ委員会
• 品質保証委員会
• 研究倫理審査委員会
• 投資委員会

全社的会議の他、各部門もそれぞれにおいて、課題を遂行する上でのコンプライアンスリスク・業務リスクの対応を進めています。

参考：カゴメ株式会社「さまざまなリスクへの対応」

総合電機メーカーの富士通は、富士通グループの事業その他におけるリスクを適切に把握し、対応することを目的として、取締役会に直属するリスク・コンプライアンス委員会を設立しました。

富士通グループにおいてリスク・コンプライアンス委員会は、特に重要と考える33項目のリスクを中心に抽出・分析・評価を行い、国内外すべての部門やグループ間で連携を取りながら、問題の原因究明・早期解決に取り組む体制を整えています。

危機管理体制を強化するため、各グループ会社や各部門にリスク・コンプライアンス責任者を割り当てるとともに、独立部門である全社リスクマネジメント室にリスク・コンプライアンス委員会事務局機能を移管させています。

CRMO（Chief Risk Management Officer）のもと、リスクへの迅速・的確な対応を行っています。 富士通はグループ全体で、リスクマネジメントをはじめとしたコンプライアンスに関する様々な社員教育も実施しています。

参考：富士通株式会社「リスクマネジメント」

この記事ではリスクマネジメントについて、その概要や具体例、各企業の取り組み方などを見てきました。 リスクマネジメントや内部監査業務を行うなら、公認内部監査人（CIA）の資格を検討しましょう。

公認内部監査人（CIA）の資格は、被監査部門や経営サイドの内部監査計画・実施する手続きの説明等、業務上必要とされる体系的な知識や能力の証明になります。 経営目標達成のために必要不可欠となるガバナンス、リスクマネジメントおよびコントロールに関する学習が必要だからです。

さらに、妥当性・有効性の評価を行う内部監査の業務を体系的に学ぶことにより、リスクマネジメントに関する知識も得られます。 様々な業界において評価されている資格のため、セカンドキャリアを考えた時にも有利に働きます。

国際資格の専門校アビタスでは2005年にCIAプログラムを開講しました。開講以来、アビタスは圧倒的な合格実績を挙げ続けています。 試験の合格率を高めるため、徹底的に効率化されたオリジナル教材や講師の質の良さも、選ばれる理由の1つです。

アビタスの講師たちは専門分野に精通しているのはもちろん、ティーチングスキルにも優れています。 2年間の安心サポートもあり、通学コースだけでなく通信コースもあるため、遠方にお住まいの方にもおすすめです。

公認内部監査人（CIA）の資格取得を狙うなら、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。