法令、社内規則、倫理を遵守するために設けられるコンプライアンスは、リスクマネジメントの一環でもあります。コンプライアンスによって組織全体の行動指針を作ることで、様々なリスクを回避、あるいは対処することができます。
つまり逆を言えば、リスクマネジメントなしにコンプライアンスは実現しないと言っていいでしょう。
今回は、そんなコンプライアンスにおけるリスクマネジメントについて解説していきます。
リスクマネジメントとは
まずは「リスク」という言葉の定義から確認していきます。リスクを端的に言うと、「今後起こるかもしれない不確定な事象」です。よくリスクと課題と混同して考えてしまいがちですが、課題とは「既に顕在化している事象」を指します。
例えば「納入期日に間に合わないかもしれない」、「セキュリティ体制が不十分で情報漏えいが起きるかもしれない」という「~かもしれない」がリスクです。
では、マネジメントについてはどうでしょう?マネジメントとは基本的に、既に顕在化している事象(課題)や、上司が部下を管理する際に用いられる言葉です。対してリスクマネジメントとは、「今後起こるかもしれない不確定な事象を管理」するということになります。
つまり、将来的に発生し得る課題を推測し、回避あるいは対策を講じるのがリスクマネジメントです。
このリスクマネジメントの定義は、常に根底になくてはなりません。リスクマネジメントと課題マネジメントを混同してしまうと、適切な管理ができなくなってしまい、簡単なリスクすら見落としてしまう可能性もあります。
4つのポイントを解説
リスクマネジメントを実践していく上で、重要なポイントについて解説していきます。
1.過去の事例からリスクを推測する
リスクマネジメントでまず初めに行うことが「リスクの洗い出し」です。ここで、如何にしてすべてのリスクを顕在化できるかが重要なポイントとなります。そして最も簡単な方法としては、過去の事例からリスクを推測するということです。
過去に発生した課題は、将来的にも発生する可能性があり、それは企業にとってのリスクです。
ただしこれはリスクを洗い出す上での一つの方法です。リスクとは、過去に発生した課題なかりではありません。あくまで一つの方法として捉え、過去に発生したことのない課題についても、しっかりと推測していきましょう。
2.リスクを評価し優先順位をつける
すべてのリスクを洗い出したら、各リスクに対して評価を行います。「発生確率」と「影響度」で各リスクを評価していくわけですが、これはリスクごとに優先順位を付け、優先的に対応すべきリスクを明確にしていくためです。
様々なリスクが顕在する組織においては、全てのリスクに対し平行に対処することは手間やコストから考えて現実的ではありません。従ってリスクを評価し、優先順位を突ける必要があるのです。
リスクの評価方法としては、以下のような表を用いて行う方法があります。
発生確率/影響度 | 1.0 | 0.8 | 0.6 | 0.4 | 0.2 | 0.1 | 0.05 |
1.0 | 1.0 | 0.8 | 0.6 | 0.4 | 0.2 | 0.1 | 0.05 |
0.8 | 0.8 | 0.64 | 0.48 | 0.32 | 0.16 | 0.08 | 0.008 |
0.6 | 0.6 | 0.48 | 0.36 | 0.24 | 0.12 | 0.06 | 0.006 |
0.4 | 0.4 | 0.32 | 0.24 | 0.16 | 0.08 | 0.04 | 0.004 |
0.2 | 0.2 | 0.18 | 0.12 | 0.08 | 0.04 | 0.02 | 0.002 |
0.1 | 0.1 | 0.08 | 0.06 | 0.04 | 0.02 | 0.01 | 0.001 |
0.05 | 0.05 | 0.004 | 0.003 | 0.002 | 0.001 | 0.005 | 0.00025 |
このように、発生確率と影響度によってリスクを評価することで、優先的に管理すべきリスクが明確になります。
3.4つのリスク対応計画を考える
次に、評価した各リスクに対し対応計画を考えます。対応の種類としては、下記の4つから考えていきましょう。
≪回避≫
回避とは、リスクが発生する要素を取り除くことで、リスクそのものを排除するという対応策です。最も有効的な対策ではありますが、リスクに潜在する全ての要素を取り除けるケースは限られています。
また、最も手間とコストがかかる対応策でもあるので、回避すべきリスクは慎重に検討する必要があります。
≪軽減≫
軽減には2つの意味があります。一つは発生確率を軽減するという意味であり、回避に近い意味合いを持ちます。そしてもう一つは、影響度を軽減するという意味です。
万が一リスクが発生した際も、影響度が軽減されていれば、組織やプロジェクトが受けるダメージも軽減されます。また、影響度を軽減することで迅速に対処することも可能です。
リスクマネジメントの中では、最も現実的な対応策だと言えます。
≪転嫁≫
転嫁(てんか)とは、リスクを第三者に移転するという対応策です。これは「責任転嫁」とはまた違った意味があり、アウトソーシングなどを活用することでリスクを外部へ分散することを指します。
コストはかかりますが、転嫁も有効的な対応策の一つです。ただし、外注先によってはリスクが増大するといった可能性もあるので慎重な検討が必要です。
≪受容≫
受容とはつまり「リスクを受け入れる」という対応策です。組織に与える影響度が低い場合、リスクを受け入れることで無駄な手間とコストを減らし、結果的に有益な方向へと進む場合があります。
あるいは、他に対応策が考えられない場合、需要するしかないケースがあります。例えば自然災害などがそれにあたります
自然災害は多少の軽減はできても、回避や転嫁のできないリスクです。こうしたリスクは受容し、事後対応の準備に専念するのが適切でしょう
4.5W1Hを実行する
最後の目的は、ビジネスの基本でもある5W1Hに則ってリスクマネジメントを行うことです。
≪WHAT(なぜ)≫
まずは自社にとって「リスクマネジメントとは何か?」を明確にします。リスクマネジメントの目的を明確にすることで、コンプライアンスや今後の対応計画に具体性が増し、適切な管理を行うための基盤ができます。
≪WHEN(いつ)≫
リスクマネジメントはいつ行うのか?これは、リスクごとに考える必要のある事項です。例えば情報漏えい対策としてのリスクマネジメントを行う際は、定期的なセキュリティ教育が必要になります。
コンプライアンスプログラムにおいても、いつどのタイミングで教育を行うかが重要です。
≪WHERE(どこで)≫
リスクマネジメントはどこで行うのかを明確にします。あるいは全社的に取り組むべきことなのかを明確にし、必要に応じて専任組織を構築するケースも想定しましょう。
≪WHICH(どちらを)≫
どのリスクに対し優先的に取り組んでいくのか、この優先順位によってリスクマネジメントは大きく変わります。前述した優先度の付け方をご参照ください。
≪WHO(誰が)≫
リスクの対応策をだれが講じるのか、適切な人選が重要です。時には外部コンサルタントへ依頼したりなど、十何位考える必要があります。
≪HOW(どのようにして)≫
最後にどのようにしてリスクマネジメントを行っていくかが最も重要です。前述した4つの対応計画から、適切なものを選んでいきましょう。
まとめ
いかがでしょうか?本稿が今後コンプライアンスへ取り組む企業の、リスクマネジメントのお役に立てれば幸いです。また、本ブログではコンプライアンスに関する様々なノウハウも紹介しているので、ぜひ参考にしてください。